Abracadabra et ta photo apparaîtra

Le site web du magicien vedette Eric Antoine a mis 5 ans avant de corriger une fuite de photos. Des pirates avaient trouvé le moyen de s’installer dans le portail de l’artiste.

Pour les fidèles de ZATAZ, souvenez-vous. Nous sommes alors en 2017. Le Protocole ZATAZ [70 176 alertes bénévoles au 22/07/2019] alerte le gestionnaire du site web du magicien vedette Eric Antoine. Pour ceux qui ne connaisse pas ce doux génie de la magie, Eric Antoine un artiste de « music hall » spécialisé dans la magie comique et totalement déjantée.

Bonjour @eric_antoine ! Un troisième courriel a été communiqué à vos équipes via @damien_bancal. #merci @zataz #cybersécurité #fic2017

— Protocole_ZATAZ (@Protocole_ZATAZ) January 23, 2017

Comme le veut le protocole ZATAZ, une fois les responsables d’un site alerté, nous ne cherchons pas à savoir si la correction a été effectuée. Aux webmasteurs, administrateurs… de prendre leur responsabilité face à une fuite de données. Un message de l’artiste sur Twitter m’a rappelé le problème croisé en 2014 et 2017. Eric Antoine communiquait sur l’affaire FaceApp « J’ai l’impression que beaucoup se sont fait voler leurs visages …« . Je suis donc retourné sur son site !

Fuite depuis 2014

Pour la petite histoire, mes enfants (et moi) sommes fans de cet artiste. En 2014, l’une de mes filles souhaite visiter l’espace web. Une option, baptisée « devient Bernard » était proposée. Elle permettait de prendre la place d’un des personnages de l’artiste sur scène. « Mon expérience dans le sujet des fuites de données me rend plus parano que la moyenne », ai-je confié au comédien que j’ai pu joindre mi juillet 2019. Surtout face aux applications web/smartphone. »

A l’époque, ma fille souhaitait participer et devenir « Bernard ». Pour cela, une application web proposait de recevoir une photo. L’application web plaçait le visage sous une cagoule et offrait la possibilité de télécharger le montage. Sauf que la photographie d’origine était sauvegardée sur le serveur du site web du magicien.

L’URL de l’image s’affichait dans le code source du portail web. Il suffisait de le recopier pour tomber sur la photo. Autant dire qu’un coup de recherche Google et il était possible d’intercepter les autres photographies de participants, adultes comme mineurs. Plutôt gênant pour la confidentialité. Vous pensiez être sous une cagoule et votre véritable visage était accessible en deux clics de souris.

2017

En 2017, suite à un article de ZATAZ, la lecture des dossiers contenant les photos sera bloquée. Oui, les dossiers étaient aussi ouverts aux quatre vents. Un problème qui persiste encore dans des captures effectuées par des moteurs de recherche, tel que Archive.org.

Bref, une fuite de photo tombe sous le coupe du RGPD, le Règlement Général des Données Personnelles… sauf qu’il va être compliqué pour la maison de production d’alerter. Les utilisateurs « Bernard » n’avait pas besoin de fournir leur adresse mail.

Un Magicien et des pirates, partout

Le second problème était de type « pirate ». Des malveillants s’étaient rendus compte qu’il était possible d’injecter autre chose qu’une image. Bilan, des pages pirates retrouvées dans le serveur du magicien. Des « deface » (barbouillage d’une page d’un site web) ou encore des pages de phishing comme celle visant les utilisateurs de Facebook.

Bonsoir @eric_antoine ! Pouvez-vous me contacter, c'est TRES urgent ! #merci #cybersecurite #rgpd @CNIL

— Damien Bancal (@Damien_Bancal) July 18, 2019

Bref, mon idée de re-tester Bernard va me permettre de relancer un second protocole d’alerte, deux ans après le second, cinq ans après le premier. Cette fois, c’est l’artiste lui même qui va me répondre en moins de 2 heures.

Corrigé en quelques heures, plus de fichiers malveillants, ni de sauvegardes de photos en accès libre. Adieu Bernard et vive la magie !