Sarahah

Selon ce que l'on peut lire sur la page Web de The Next, un chercheur britannique a signalé de nombreuses failles de sécurité dans l'application Sarahah, qui fait fureur chez les adolescents. Sarahah, en arabe, signifie honnêteté. Et bien que beaucoup utilisent l'application pour harceler ou pratiquer l'intimidation, le but de l'application est exactement le contraire : complimenter nos semblables. Les problèmes de sécurité auxquels ils font référence se limitent exclusivement à la version desktop de l'application Sarahah, laissant sa version mobile gratuite pour le moment.

De nombreux bogues affligent la version Web de Sarahah

Scott Helme, un chercheur, a découvert que la protection contre le virus CSRF sur le site Web de Sarahah était extrêmement facile à casser. Le virus CSRF est extrêmement nocif et dangereux, étant capable de prendre le contrôle de notre compte, en effectuant des opérations sans rapport avec notre utilisation. Un attaquant, explique Helme, pourrait utiliser notre compte pour mettre en signet d'autres comptes inconnus, afin d'en tirer un profit financier.

Il souligne également qu'en août dernier, un autre chercheur du nom de Rony Das a également découvert d'autres failles de sécurité. Plus précisément, il a trouvé une vulnérabilité XSS. En bref : un pirate pourrait insérer un code malveillant dans le code HTML de la page de Sarahah, qui pourrait inclure des virus et des logiciels espions.

Autres problèmes : Helme a identifié de graves erreurs dans l'en-tête de sécurité, ce qui empêche l'utilisation d'un protocole de sécurité HSTS. Il s'agit d'un outil de plus en plus utilisé pour lutter contre le détournement de cookies et la possibilité d'une attaque profitant des anciennes versions du web. Le travail de Helme est d'essayer d'amener Sarahah à protéger correctement ses utilisateurs. Comme l'indique le web, son grand concurrent, Ask.fm, est un site truffé d'erreurs et de failles de sécurité. Alors, quoi de mieux que Sarahah pour apprendre des échecs de celui-ci et devenir une page Web sûre.

Harcèlement et démontage : le danger de Sarahah sur le web

Concernant le filtre sécurité et anti-harcèlement, la chercheuse a aussi son mot à dire. Il a remarqué que, par exemple, dans la phrase 'Je tuerais pour un cheeseburger', l'application supprimerait le post, puisqu'elle trouve un mot négatif, 'Tuer'.Cependant, si une virgule était placée après 'Would kill', l'application l'ignorerait. Oui, ce n'est pas grammaticalement correct, mais le message passerait quand même.

Et plus d'échecs : la page de Sarahah n'a pas de limite à la vitesse à laquelle ses utilisateurs écrivent des commentaires, donc n'importe qui peut subir un bombardement de harcèlement, avec une simple ligne de script. Sarahah n'a pas non plus de fonction de suppression en masse, donc si nous sommes victimes d'un bombardement de commentaires, nous devons les supprimer un par un.

De plus, pour réinitialiser le mot de passe dans Sarahah, le site ne demande à l'utilisateur que l'adresse e-mail associée au compte. Une fois demandé, le système en génère un nouveau et l'envoie automatiquement à l'utilisateur. En ce sens, un pirate pourrait modifier une ligne de script de manière à ce que le mot de passe change à chaque instant, et ainsi il serait impossible pour le propriétaire du compte d'y accéder.Ce même script pourrait également être utilisé pour rendre l'accès au compte infructueux, même si le mot de passe est valide. Sarahah verrouille tous les comptes d'utilisateurs qui ont plus de 10 tentatives de connexion.

La chercheuse a ensuite contacté Sarahah pour l'informer de toute cette avalanche de failles de sécurité dans sa version web. Une enquête qui a pris des mois de son temps et qui peut enfin faire de l'application Sarahah une communauté exempte de harcèlement et de cyberattaques préméditées.