L'apport majeur de StrongWebmail est une double authentification, par login et mot de passe dans un premier temps, puis par l'envoi hors-bande d'un code de sécurité complémentaire par SMS vers un numéro de votre choix, parmi ceux que vous aurez fournis. Ce genre de système n'est pas nouveau. Nous hébergions chez Cartel une plate-forme d'authentification fonctionnant de la même manière pour des systèmes bancaires. Quelques banques utilisent également ce type de fonctionnalités pour la gestion des virements. Pour autant, c'est la première fois que je vois ce mécanisme déployé sur une webmail, et c'est intéressant pour lutter contre pas mal de techniques de vol d'identifiants.

Tout fiers de leur système, ils ont donc lancé un challenge en fin de semaine dernière. On vous met au défi de compromettre la mailbox du patron, et comme c'est super difficile, on vous fournissait même ses identifiants. L'interview de Berkovitz par Dancho Danchev sur Zero Day vaut d'ailleurs le détour, en particulier sous l'éclairage de cet échec. Sauf qu'ils ont oublié un léger détail dans l'histoire : contourner l'authentification n'est pas le seul moyen de compromettre une webmail...

Et c'est précisément ce que viennent de leur démontrer Aviv Raff, Lance James et Mike Bailey en accédant à la-dite boîte aux lettres. Comment ? En exploitant un XSS persistant bien sûr ! Avec à la clé une jolie prise de contrôle du compte. Oh oh oh... Voilà qui aurait pu donner un exemple de choix à Pierre Gardenat pour son talk de vendredi matin sur le sujet...

Mais au delà de l'embarras dans lequel se trouve aujourd'hui StrongWebmail, il y a nettement plus intéressant. C'est le côté pinailleur qu'on retrouve assez souvent. Si Berkovitz confirme bien les dires de nos trois compères, leur victoire n'est toujours pas validée. Certains évoquent quelque discussion réthorique autour du concept de XSS pour savoir si ça tombe ou non dans la notion de compromission du compte. Quand vous ne pouvez pas gagner par la technique, jouez sur les mots : la forme est bien plus maléable que le fond. C'est un principe de déplacement du débat, bien connu des adeptes de la mauvaise foi... De plus, les règles du concours leur interdisent de publier les détails de leur attaque, sans aucune limite de temps. Ce qui veut dire qu'on pourrait bien ne jamais avoir le fin mot de l'histoire. Ce qui se révèle bien pratique pour StrongWebmail...

Mais le pire dans cette histoire, c'est que l'idée derrière le système StrongWebmail est bonne. On sait tous ce que valent les authentifications web par login/password, et les méthodes qui permettent d'ajouter simplement une couche de sécurité supplémentaire sont les bienvenues. Le soucis, c'est que l'authentification n'est qu'une partie du problème, même si c'est un soucis majeur. Et alors que l'attaque réussie de Raff, James et Bailey ne remet pas en cause le principe de base de cette webmail, ce que les gens retiendront, c'est qu'ils se sont fait trouer en moins d'une semaine. Ce qui risque de leur coûter largement plus que 10kUSD sur le long terme...


Dans un style approchant, je vous recommande chaudement la lecture de cet article de Wired sur Marc Weber Tobias, célèbre spécialiste du crochetage de serrures, et ses travaux sur les serrures de haute sécurité, en particulier ceux fabriqués par Medeco. En particulier, le cylindre Medeco³ qui est qualifié de "quasiment incrochetable". Tout au moins, ils sont censés tenir les dix ou quinze minutes exigées par leur niveau de certification.

Or, comme il le montre dans le livre qu'il a co-écrit avec Tobias Bluzmanis, ces cylindres ne sont pas vraiment du niveau attendu... Une vidéo vous montrera Bluzmanis en forcer six de suite dans des temps compris entre deux et huit minutes. Tobias, quant à lui, en forcera un avec une bump key en huit secondes. Ce qui la fout un peu mal, tout autant que se faire bumper en trente secondes par une gamine de treize ans à la dernière Defcon après avoir annoncé à que ce n'était pas possible...

Je vous conseille également la lecture des slides de la présentation qu'ils ont faite avec Matt Fiddler à cette même Defcon. C'est... édifiant...