Des experts en sécurité mettent à nu les failles de Mastodon

Plateforme de médias sociaux Mastodon
(Crédit photo: Mastodon)

La popularité croissante de Mastodon, en partie due au rachat de Twitter par Elon Musk, a déclenché une vague de découvertes de ses vulnérabilités dans l'application.

Les chercheurs en cybersécurité qui utilisent la plateforme ont récemment dévoilé trois vulnérabilités bien distinctes qui pourraient permettre aux cybercriminels d'altérer vos données, voire de les télécharger. 

Par exemple, un chercheur de PortSwigger, Gareth Heyes, a découvert une faille d'injection HTML. Un ingénieur logiciel de sécurité de MinIO, Lenin Alevski, a découvert une mauvaise configuration du système qui lui a permis de télécharger, de modifier et même de supprimer tout ce qui se trouvait dans le répertoire de stockage cloud S3 d'une instance de Mastodon, et Anurag Sen a découvert un serveur anonyme qui récupérait les données des utilisateurs de Mastodon.

Des milliers de nouveaux utilisateurs

Chaque fois qu'un tremblement de terre se produit sur une plateforme de médias sociaux, certains utilisateurs décident qu'il est préférable d'aller voir ailleurs. 

La récente acquisition de Twitter par Elon Musk ne fait pas exception. Certains rapports affirment que Mastodon a accueilli jusqu'à 30 000 nouveaux utilisateurs par jour, dans les jours précédant l'acquisition (contre 2 000 par jour habituellement). Le 7 novembre, Mastodon a même accueilli 135 000 nouvelles personnes.

Une popularité croissante signifie également une surveillance accrue, ce qui n'est pas nécessairement une mauvaise chose. Mastodon a toujours été perçu comme une bonne alternative à Twitter, et la découverte suivie de la correction de diverses vulnérabilités ne peuvent qu'en faire un concurrent plus fort. 

Contrairement à l'oiseau bleu, Mastodon est une plateforme sociale décentralisée, composée d'une série de serveurs qui peuvent communiquer entre eux mais qui sont pour l'essentiel gérés séparément, avec des règles et des configurations distinctes. Ces serveurs et communautés sont appelés des instances. 

Dans un entretien avec la rédaction, Melissa Bischoping, directrice et spécialiste de la recherche sur la sécurité des terminaux chez Tanium, a mis en garde les utilisateurs sur le partage de données sensibles via la plateforme. 

"N'utilisez pas Mastodon pour envoyer des informations sensibles, personnelles ou privées que vous ne seriez pas enclin  poster publiquement", a-t-elle déclaré. 

Via: Dark Reading (s'ouvre dans un nouvel onglet)

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.