Mastodon, l’une des alternatives les plus populaires à Twitter, a révélé avoir été affecté par une faille de sécurité très grave, qui aurait pu permettre à des pirates de prendre le contrôle de n’importe quel compte sur la plateforme. Bien qu’un correctif ait été rapidement diffusé, il se peut que certains serveurs n’aient pas encore été mis à jour, exposant ainsi leurs utilisateurs à des risques de piratage.
Qu’est-ce que Mastodon ?
Mastodon est un réseau social en open source, qui se distingue de Twitter par son fonctionnement décentralisé. Au lieu de dépendre d’un seul serveur central, Mastodon repose sur un réseau de serveurs indépendants, appelés instances, qui hébergent chacun une communauté d’utilisateurs. Chaque instance peut avoir ses propres règles, ses propres thèmes et ses propres administrateurs. Les utilisateurs peuvent interagir entre eux au sein de leur instance, mais aussi avec les utilisateurs d’autres instances, grâce à un système de fédération.
Mastodon a été lancé en 2016, mais a connu un regain d’intérêt à la fin de l’année 2022, suite au rachat de Twitter par Elon Musk, le fondateur de Tesla, StarLink et de SpaceX. Ce rachat a suscité des inquiétudes chez certains utilisateurs de Twitter, qui craignaient que la plateforme ne change de politique ou de direction. Mastodon a alors attiré plus d’un million de nouveaux utilisateurs, portant son nombre total à 12 millions. Mastodon offre en effet des avantages que Twitter ne peut pas offrir, comme la possibilité de publier des messages plus longs (jusqu’à 500 caractères), de choisir son propre nom d’utilisateur, de personnaliser son interface, ou encore de protéger sa vie privée.
Quelle est la faille qui a touché Mastodon ?
La faille CVE-2024-23832, qui a touché Mastodon a été découverte par un chercheur en cybersécurité, qui l’a signalée à la plateforme le 4 février 2024. Il s’agit d’une vulnérabilité de type « erreur de validation de l’origine », qui permet à un attaquant de se faire passer pour un autre utilisateur, en envoyant des requêtes malveillantes à son serveur. Cette faille a été classée comme étant d’une gravité de 9,4 sur une échelle de 10, ce qui signifie qu’elle représente un danger élevé pour la sécurité des utilisateurs et des serveurs de Mastodon.
En exploitant cette faille, un pirate pourrait accéder aux données personnelles des utilisateurs, à leurs messages, à leurs contacts, et même à leurs mots de passe. Il pourrait également modifier ou supprimer leurs publications, envoyer des messages en leur nom, ou créer des portes dérobées pour accéder à leur compte à tout moment. Les conséquences pourraient être désastreuses pour les utilisateurs individuels, mais aussi pour les communautés et l’intégrité de la plateforme, qui pourraient être victimes de désinformation, de harcèlement, ou d’usurpation d’identité.
Comment se protéger de cette faille ?
Mastodon a réagi rapidement à la découverte de cette faille, en publiant un correctif le 5 février 2024. Ce correctif vise à renforcer la vérification de l’origine des requêtes, afin d’empêcher les attaques par usurpation. Mastodon a également alerté les administrateurs des instances, en leur demandant de mettre à jour leur serveur le plus vite possible, en affichant une bannière rouge sur leur interface. Mastodon n’a pas encore communiqué sur le nombre de serveurs ou d’utilisateurs qui auraient pu être affectés par la faille, mais prévoit de donner plus de détails le 15 février 2024.
Cependant, le correctif n’est pas automatique, et il dépend de la réactivité des administrateurs des instances. Certains serveurs peuvent donc être encore vulnérables, si leurs administrateurs n’ont pas effectué la mise à jour. Les utilisateurs de Mastodon sont donc invités à vérifier que leur instance est bien à jour, en se rendant sur la page https://[nom de l’instance]/about/more. Si la version du serveur est inférieure à 3.4.4, cela signifie que l’instance n’a pas encore appliqué le correctif, et que le compte de l’utilisateur est potentiellement en danger. Dans ce cas, il est conseillé de contacter l’administrateur de l’instance, ou de changer d’instance.
Source : Thehacker News