Au cours de l’année écoulée, les chercheurs en sécurité ont exhorté l’industrie mondiale du transport maritime à renforcer ses cyberdéfenses après qu’une vague de vols de marchandises ait été associée à des pirates informatiques. Les chercheurs affirment avoir observé des piratages sophistiqués ciblant des entreprises de logistique pour détourner et rediriger de grandes quantités de produits de leurs clients entre les mains de criminels, dans ce qui est devenu une collusion alarmante entre des pirates informatiques et de véritables gangs du crime organisé.
Un camion de livraison de vapes volées ici, un braquage de homard présumé là.
Une entreprise américaine peu connue et critique de technologie du transport maritime a passé les derniers mois à corriger ses propres systèmes suite à la découverte d’une série de vulnérabilités simples, qui ont par inadvertance laissé les portes de sa plate-forme de transport maritime grandes ouvertes à tous les internautes.
Il s’agit de Bluspark Global, une société basée à New York dont la plateforme d’expédition et de chaîne d’approvisionnement, Bluvoyix, permet à des centaines de grandes entreprises de transporter leurs produits et de suivre leur cargaison lors de son voyage à travers le monde. Bien que Bluspark ne soit peut-être pas un nom familier, la société contribue à alimenter une grande partie des expéditions de fret mondiales, notamment des géants de la vente au détail, des épiceries, des fabricants de meubles, etc. Le logiciel de la société est également utilisé par plusieurs autres sociétés affiliées à Bluspark.
Bluspark a déclaré à TechCrunch cette semaine que ses problèmes de sécurité étaient désormais résolus. L’entreprise a corrigé cinq failles dans sa plate-forme, notamment l’utilisation de mots de passe en clair par les employés et les clients, ainsi que la possibilité d’accéder et d’interagir à distance avec le logiciel d’expédition de Bluvoyix. Les failles ont exposé l’accès à toutes les données des clients, y compris leurs enregistrements d’expédition, remontant à des décennies.
Mais pour le chercheur en sécurité Eaton Zveare, qui a découvert les vulnérabilités des systèmes de Bluspark en octobre, alerter l’entreprise des failles de sécurité a pris plus de temps que la découverte des bugs eux-mêmes, puisque Bluspark n’avait aucun moyen perceptible de le contacter.
Dans un article de blog récemment publié, Zveare a déclaré avoir soumis les détails des cinq failles de la plateforme Bluspark au Maritime Hacking Village, une organisation à but non lucratif qui œuvre pour sécuriser l’espace maritime et, comme dans ce cas, aide les chercheurs à informer les entreprises travaillant dans l’industrie maritime des failles de sécurité actives.
Quelques semaines plus tard, et suite à plusieurs e-mails, messages vocaux et messages LinkedIn, l’entreprise n’avait pas répondu à Zveare. Pendant ce temps, les failles pourraient toujours être exploitées par n’importe qui sur Internet.
En dernier recours, Zveare a contacté TechCrunch dans le but de signaler les problèmes.
TechCrunch a envoyé des e-mails au PDG de Bluspark, Ken O’Brien, et à la haute direction de l’entreprise les alertant d’une faille de sécurité, mais n’a pas reçu de réponse. TechCrunch a ensuite envoyé un e-mail à un client de Bluspark, une société américaine de vente au détail cotée en bourse, pour l’avertir de la faille de sécurité en amont, mais nous n’avons pas non plus reçu de réponse.
La troisième fois que TechCrunch a envoyé un e-mail au PDG de Bluspark, nous avons inclus une copie partielle de son mot de passe pour démontrer la gravité de la faille de sécurité.
Quelques heures plus tard, TechCrunch a reçu une réponse d’un cabinet d’avocats représentant Bluspark.
Mots de passe en texte brut et API non authentifiée
Dans son article de blog, Zveare a expliqué qu’il avait initialement découvert les vulnérabilités après avoir visité le site Web d’un client de Bluspark.
Zveare a écrit que le site Web du client disposait d’un formulaire de contact permettant aux clients potentiels de poser des questions. En visualisant le code source de la page Web avec les outils intégrés de son navigateur, Zveare a remarqué que le formulaire enverrait le message du client via les serveurs de Bluspark via son API. (Une API permet à deux ou plusieurs systèmes connectés de communiquer entre eux via Internet ; dans ce cas, un formulaire de contact d’un site Web et la boîte de réception du client Bluspark.)
Étant donné que le code d’envoi d’e-mails était intégré dans la page Web elle-même, cela signifiait que n’importe qui pouvait modifier le code et abuser de ce formulaire pour envoyer des e-mails malveillants, tels que des leurres de phishing, provenant d’un véritable client Bluspark.
Zveare a collé l’adresse Web de l’API dans son navigateur, qui a chargé une page contenant la documentation générée automatiquement par l’API. Cette page Web était une liste principale de toutes les actions pouvant être effectuées avec l’API de l’entreprise, comme demander une liste d’utilisateurs ayant accès aux plateformes de Bluspark, ainsi que créer de nouveaux comptes d’utilisateurs.
La page de documentation de l’API comportait également une fonctionnalité permettant à quiconque de « tester » l’API en soumettant des commandes pour récupérer des données sur les serveurs de Bluspark en tant qu’utilisateur connecté.
Zveare a constaté que l’API, malgré la page affirmant qu’elle nécessitait une authentification pour être utilisée, n’avait pas besoin de mot de passe ni d’informations d’identification pour renvoyer des informations sensibles depuis les serveurs de Bluspark.
En utilisant uniquement la liste des commandes API, Zveare a pu récupérer les enregistrements des comptes d’utilisateurs des employés et des clients qui utilisent la plateforme Bluspark, entièrement non authentifiés. Cela incluait des noms d’utilisateur et des mots de passe, visibles en clair et non cryptés, y compris un compte associé à l’administrateur de la plateforme.
Avec le nom d’utilisateur et le mot de passe de l’administrateur en main, un attaquant aurait pu se connecter à ce compte et se déchaîner. En tant que chercheur en sécurité de bonne foi, Zveare ne pouvait pas utiliser les informations d’identification, car utiliser le mot de passe de quelqu’un d’autre sans sa permission est illégal.
Étant donné que la documentation de l’API répertoriait une commande permettant à quiconque de créer un nouvel utilisateur avec un accès administrateur, Zveare a décidé de le faire et a obtenu un accès illimité à sa plate-forme de chaîne d’approvisionnement Bluvoyix. Zveare a déclaré que le niveau d’accès de l’administrateur permettait de visualiser les données des clients dès 2007.
Zveare a découvert qu’une fois connecté avec cet utilisateur nouvellement créé, chaque demande d’API était enveloppée dans un jeton spécifique à l’utilisateur, destiné à garantir que l’utilisateur était effectivement autorisé à accéder à une page du portail à chaque fois qu’il cliquait sur un lien. Mais le jeton n’était pas nécessaire pour terminer la commande, permettant à Zveare d’envoyer des requêtes sans le jeton, confirmant ainsi que l’API n’était pas authentifiée.
Bugs corrigés, l’entreprise prévoit une nouvelle politique de sécurité
Après avoir pris contact avec le cabinet d’avocats Bluspark, Zveare a autorisé TechCrunch à partager une copie de son rapport de vulnérabilité avec ses représentants.
Quelques jours plus tard, le cabinet d’avocats a déclaré que Bluspark avait corrigé la plupart des défauts et s’efforçait de retenir les services d’une société tierce pour une évaluation indépendante.
Les efforts de Zveare pour divulguer les bogues mettent en évidence un problème courant dans le monde de la cybersécurité. Il arrive souvent que les entreprises ne proposent aucun moyen, tel qu’une adresse e-mail publique, de les alerter des failles de sécurité. En tant que tel, il peut être difficile pour les chercheurs en sécurité de révéler publiquement les vulnérabilités de sécurité qui restent actives, de peur que la divulgation de détails ne mette en danger les données des utilisateurs.
Ming Lee, un avocat représentant Bluspark, a déclaré mardi à TechCrunch que la société était « confiante dans les mesures prises pour atténuer les risques potentiels découlant des conclusions du chercheur », mais ne ferait aucun commentaire sur les détails des vulnérabilités ou leurs correctifs ; indiquer quelle société d’évaluation tierce elle a retenue, le cas échéant ; ou commenter ses pratiques de sécurité spécifiques.
Interrogé par TechCrunch, Bluspark n’a pas répondu s’il était en mesure de vérifier si l’une des expéditions de ses clients avait été manipulée par quelqu’un exploitant les bugs de manière malveillante. Lee a déclaré qu’il n’y avait « aucune indication d’impact sur les clients ou d’activité malveillante attribuable aux problèmes identifiés par le chercheur ». Bluspark n’a pas voulu dire de quelles preuves il disposait pour parvenir à cette conclusion.
Lee a déclaré que Bluspark envisageait d’introduire un programme de divulgation, permettant aux chercheurs externes en sécurité de signaler les bogues et les failles à l’entreprise, mais que ses discussions étaient toujours en cours.
Ken O’Brien, PDG de Bluspark, n’a pas commenté cet article.
Pour contacter ce journaliste en toute sécurité, vous pouvez le contacter en utilisant Signal via le nom d’utilisateur : zackwhittaker.1337.
