Mastodon, le réseau social en open source, a été victime d'une vulnérabilité majeure permettant à des acteurs malveillants de contrôler n'importe quel compte. Si la plateforme a déployé un correctif, il n'est pas certain que tous les serveurs l'aient appliqué pour le moment.
Créé en 2016, Mastodon a connu un important gain de popularité à la fin 2022, lorsqu'Elon Musk a racheté Twitter pour 44 milliards de dollars. Faisant craindre à certains utilisateurs une évolution de la plateforme dans un sens qui ne leur convient pas, l'acquisition a permis à Mastodon d'obtenir 1 million d'utilisateurs supplémentaires. La plateforme en enregistre désormais 12 millions, et possède des atouts dont la désormais X.com ne peut se vanter, à commencer par la décentralisation de ses serveurs. Néanmoins, elle est également sujette à d'importantes failles de sécurité.
Un taux de gravité de 9,4 sur 10
Découverte par un chercheur en cybersécurité, la vulnérabilité CVE-2024-23832 est décrite comme une « erreur de validation de l'origine ». Elle détient un taux de gravité de 9,4 sur un maximum de 10. Des acteurs malveillants peuvent l'exploiter pour compromettre complètement les serveurs Mastodon, ce qui leur permettrait d'accéder aux informations sensibles des utilisateurs, aux communications et de mettre en place des portes dérobées.
Les répercussions peuvent être dramatiques pour les utilisateurs individuels, les communautés et l'intégrité de la plateforme, les faits pouvant aller jusqu'à l'usurpation d'identité. Si Mastodon a déjà publié un correctif, encore faut-il que tous les administrateurs effectuent la mise à jour en temps voulu pour sécuriser les instances contre les risques potentiels. Les serveurs du réseau social sont en effet hébergés et exploités indépendamment, les administrateurs mettant en place leurs propres règlements appliqués localement.
Pour leur part, les utilisateurs sont impuissants face à cette vulnérabilité, ils peuvent toutefois s'assurer que les administrateurs du serveur qu'ils exploitent ont bien actualisé le dispositif. Dans le cas contraire, leur compte est susceptible d'être compromis.
Pas une première
Consciente de l'ampleur de la faille, Mastodon a alerté les administrateurs via une bannière très visible, les invitant à opérer la mise à jour critique. La plateforme n'a pas encore partagé de détails sur la vulnérabilité, mais prévoit de publier de nouvelles informations à son sujet le 15 février prochain.
En juillet dernier, les équipes de Mastodon ont corrigé deux autres failles qui auraient pu être exploitées pour mener une attaque par déni de service ou l'exécution de code à distance.
- La décentralisation des serveurs (ou instances)
- La facilité de publication de contenu
- La diversité des communautés présentes
Mastodon est un réseau social alternatif disponible sous forme de service web et d'applications pour Android et iOS. Les utilisateurs peuvent suivre leurs proches, rejoindre des communautés et discuter avec des individus aux quatre coins du monde. Gratuit, pratique et respectueux des données personnelles, ce service web séduit des utilisateurs de plus en plus nombreux.
Mastodon est un réseau social alternatif disponible sous forme de service web et d'applications pour Android et iOS. Les utilisateurs peuvent suivre leurs proches, rejoindre des communautés et discuter avec des individus aux quatre coins du monde. Gratuit, pratique et respectueux des données personnelles, ce service web séduit des utilisateurs de plus en plus nombreux.
Source : The Hacker News
Après mes études de journalisme, j’ai décidé de m’orienter vers les domaines qui me passionnent : nouvelles technologies, jeu vidéo, ou encore astronomie. J’adore partager autour de ces sujets mais ma curiosité m’entraîne à évoquer de nombreux autres sujets au travers de mes articles.
Lire d'autres articles
