Tests: Entre le 17 et 19 février 2024
Rapport: Le 20 février 2024
CVE Request: 05 Avril 2024
Publication des failles: 02 Juillet 2024 (après validation du fournisseur ESKOOLY)
J'ai toujours été passionné par la cybersécurité, et ce week-end du 17 et 18 février, j'ai eu l'opportunité de mettre en pratique mes compétences en dehors de mon travail quotidien. Un ami m'avait demandé de vérifier la sécurité d'une application de gestion scolaire gratuite qu'il avait trouvée, nommée Eskooly. Son inquiétude principale était la sécurité de l'application, notamment la possibilité pour des étudiants de voler des informations ou de modifier leurs notes.
L'idée m'a tout de suite plu. Un challenge de sécurité indépendant, c'était exactement ce dont j'avais besoin. J'ai donc décidé de consacrer mon week-end à cette tâche.
Pour commencer, j'ai utilisé plusieurs outils automatisés bien connus dans le domaine de la cybersécurité :
NMAP : Un scanner de ports et de services.
SQLMAP : Un outil pour détecter et exploiter les failles SQL.
Ces outils m'ont permis de gagner du temps en automatisant une partie des tests de sécurité. Cependant, l'automatisation a ses limites, et il est souvent nécessaire d'ajouter une couche de tests manuels pour découvrir des vulnérabilités plus complexes.
Après plusieurs heures de tests, j'ai commencé à trouver des failles intéressantes. Parmi les vulnérabilités critiques découvertes, voici quelques exemples :
SQL Injection : Cette faille permettait d'interférer avec les requêtes SQL de l'application, donnant potentiellement accès à toute la base de données.
Broken Authentification: Absence de politique de verrouillage de compte après plusieurs tentatives de connexion échouées, ce qui ouvrait la porte aux attaques par force brute.
Cross-site scripting (XSS) : Permettait l'injection de scripts malveillants dans les pages web vues par d'autres utilisateurs, compromettant leurs comptes.
Configuration incorrecte des en-têtes de sécurité : Absence de plusieurs en-têtes de sécurité essentiels pour protéger l'application contre diverses attaques.
Ces vulnérabilités exposaient des informations critiques telles que les identifiants et mots de passe en clair des utilisateurs de la plateforme, posant un risque majeur de sécurité.
Le 20 février, j'ai rédigé un rapport de PENTEST complet détaillant toutes les vulnérabilités découvertes et les recommandations pour les corriger. Ce rapport a été envoyé directement au fournisseur d'Eskooly.
Le fournisseur m'a contacté dès le lendemain, le 21 février, pour discuter des findings. Il a accepté le rapport et a sollicité mon aide pour résoudre les problèmes identifiés.
Le 5 avril 2024, les vulnérabilités découvertes ont été publiées sur la plateforme CVE MITRE. Depuis lors, nous avons travaillé en étroite collaboration pour améliorer la sécurité de l'application. Le 2 juillet 2024, le fournisseur m'a donné son accord pour publier ces findings, ce qui permettra la validation et la publication officielle des CVE.
Ce fut une expérience enrichissante de plonger dans ce projet de sécurité, de découvrir des vulnérabilités critiques, et de travailler avec le fournisseur pour les corriger. Dans les articles suivants, nous allons explorer plus en détail comment ces vulnérabilités ont été trouvées, exploitées, et surtout, comment y remédier.
: Un outil pour tester les vulnérabilités web.
