Suite à la lecture de différents articles sur le sujet, j'en viens à me demander l'attitude à avoir lorsque l'on découvre (volontairement ou pas) une vulnérabilité sur une application Internet publique (site web, backoffice, webgiciel, etc.).

J'en ai découvert plusieurs récemment (involontairement) permettant entre autre d'avoir accès à toute la partie administrative d'un journal en ligne, de se connecter sur le compte perso d'un fournisseur d'accès Internet, de récupérer des informations personnelles sur un site de vente en ligne (voire même de changer les prix des produits vendus...) ou plus simplement d'avoir accès à du contenu censé être en accès restreint sans aucune authentification (moins grave évidemment). Le plus souvent, je suis tombé par hasard sur ces failles en regardant simplement l'URL ou en ayant une erreur de script sur une page web découvrant ainsi le chemin complet vers le backoffice et sa configuration.

J'ai évidemment contacté les responsables techniques et rédactionnel de ces sites là ainsi que des sites spécialisés pensant qu'ils auraient plus de contacts et surtout plus de poids pour faire réparer ces failles mais malheureusement, au bout de 4 semaines, elles ne sont toujours pas corrigées exceptée celle du journal en ligne (un nouveau système était soit disant en phase de test...).

Donc que faire ?? Je suis utilisateur de ces sites là, mes données personnelles voire même mes informations bancaires sont stockées dans leurs bases de données, si quelqu'un d'autre découvre ces vulnérabilités et les exploite, contre qui puis-je me retourner ? Contre les administrateurs qui n'ont pas pris la peine de corriger ces failles pensant surement que ça ne valait pas la peine (surtout que les sociétés mises en cause ne sont pas vraiment réputée pour leur réactivité face à leurs clients...) ? Il y aurait bien la CNIL qui pourrait aller mettre son grain de sel pour obliger les responsables des sites en questions à corriger pour protéger les données personnelles mais les pauvres, ils sont débordés...

Un autre point est important, ce que je fais en découvrant ces failles est à la limite de la légalité car évidemment, je n'ai pas l'accord des responsables et peut être même qu'en avertissant ces personnes, je m'expose à des poursuites mais alors que dois-je faire ? Laisser comme ça et oublier ce que je viens de trouver en me disant qu'à chaque fois que je me connecte sur ces sites là quelqu'un peut intercepter mon ID de session et se connecter derrière moi ou alors aller plus loin dans l'illégalité, exploiter ces failles en espérant les faire réagir ?

La sécurité des applications Web n'est pas un sujet nouveau mais j'ai l'impression que les admins et développeurs s'en moquent complètement à tel point que beaucoup d'entre eux ne testent même pas un minimum la sécurité de leurs applications avant de publier leur travail. Encore une fois, le problème pourrait être résolu en faisant un peu d'évangélisation autour de la sécurité mais quand je vois que certains développeurs d'applications n'ont aucune culture informatique et surtout aucune volonté d'aller voir autre chose que ce que leur fournisseur de logiciel préféré leur donne, ça me fait froid dans le dos...