Le site web d’actualité du Vatican peut être à ce point manipulé que des personnes mal intentionnées peuvent y insérer leurs messages. Voilà ce qu’a découvert le pirate éthique belge Inti De Ceukelaire.
‘Le Pape vient de déclarer que la ville d’Alost (Aalst) est à présent la Terre Sainte. Dieu sera désormais décrit comme un ‘ajuin’, comme s’appellent les habitants de cette ville.’ Voilà ce qu’on peut lire actuellement sur Vaticannews.va.
Du moins à ce qu’il paraît car la page, qui montre une vidéo du carnaval d’Alost accompagnée d’un texte bref, a été en réalité manipulée et affiche maintenant toutes sortes de phrases et d’éléments supplémentaires. L’auteur n’est autre que l’hacker éthique Inti De Ceuckelaire qui, dans le passé, a assez souvent déjà exposé des problèmes de sécurité de sites connus.
Ancienne technique
En fait, il est question ici de ‘cross-site-scripting’ (XSS), à savoir une technique de manipulation permettant d’ajouter du code dans un champ de texte ou dans la barre d’URL. “Si vous complétez l’URL avec le code et les apostrophes corrects, il vous est possible de sortir de ce champ et d’ajouter des choses dans le reste de la page HTML”, déclare De Ceukelaire à Data News.
En bref, cela revient à ce que l’URL adaptée donne instruction au navigateur de charger d’autres éléments sur la page. De la sorte, la vidéo et le texte apparaissent sur le site, comme s’il s’agissait d’éléments normaux de ce dernier.
Le ‘cross-site-scripting’ est une technique qui existe depuis des années déjà, mais qui est moins utilisée ces derniers temps. “La plupart des navigateurs disposent aujourd’hui de fonctions permettant de détecter et d’éviter les manipulations de ce genre. Mais sur Vaticannews, il y avait encore une deuxième faille permettant de contourner ces fonctions.”
Aucune mauvaise intention
De Ceukelaire insiste sur le fait qu’il n’avait aucune mauvaise intention en faisant cette… blague. Il voulait surtout montrer que c’était possible. “Vous pouvez y répandre vos propres fausses nouvelles et faire semblant qu’elles émanent du Vatican. Cela peut s’avérer dangereux sur une page dont le contenu s’adresse aux croyants”, explique-t-il.
Le Vatican est du reste au courant du problème. De Ceuckelaire a pris plusieurs fois contact par mail avec l’administrateur du site: “Je lui ai envoyé plusieurs courriels et ai suscité une réaction, mais l’administrateur ne considère pas cela comme un problème. Je lui ai cependant dit que j’allais moi-même communiquer sur le sujet.”
Le pirate éthique n’en est pas à son coup d’essai. Rien que l’année dernière, il a démontré notamment comment il est possible de laisser sur Facebook le numéro de téléphone de quelqu’un et comment un mécanisme d’assistance ( helpdesk) donne accès aux canaux internes d’une entreprise. De Ceuckelaire prévient alors chaque fois le site ou l’entreprise concerné, mais rend ensuite le problème public pour en montrer les risques.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici