Deezer est l'ami de vos soirées. Plus besoin de trimballer sa mallette de CD, bye bye les compils gravées pour un soir : il suffit d'un accès à internet, d'un navigateur et de se souvenir de l'URL de ce bon vieux camarade. Beaucoup cherchent des moyens de télécharger les musiques diffusées en streaming, mais Deezer s'investit corps et âmes dans la sécurisation de ses contenus...tant et si bien qu'il semble laisser de côté celle de ses utilisateurs.



Comment bypasser la validation mail d'un compte?
Il y a environ deux semaines, sur le forum de la communauté internationale de sécurité informatique Security Scene Team (SSTeam), le membre [Narko]$: (aidé dans ses recherches de NightMare.LmW) révèle comment on peut ouvrir un compte sur Deezer sans avoir à attendre de mail de validation, juste en modifiant les données présentent dans l'URL.
En effet, actuellement le lien de confirmation d'un email est celui-ci : http://www.deezer.com/fr/confirm.php?mail=[BASE64 DE L'EMAIL]. Base64 est un algorithme de codage de caractère. L'équivalent B64 de [email protected] est Ymlkb25AZGVlemVyLmNvbQ==.
Ainsi il est possible de créer un compte, de rentrer une adresse mail bidon ou non fonctionnelle, puis de se rendre à l'adresse http://www.deezer.com/fr/confirm.php?mail=XXX.
Dans la foulée de ce disclosure, Xylitol code une Preuve de Concept (Proof of Concept ou PoC). Son petit logiciel permet de s'enregistrer sur le site sans avoir à ouvrir son navigateur :

Il suffit de rentrer un mail bidon, un mot de passe et un nom d'utilisateur, de cliquer sur [Create a free account and activate]. Dans le petit carré en haut à droite s'ouvre une page deezer, confirmant la création du compte. Sur le forum, Xylitol précise pourquoi il a désactivé le bouton [flood] : "Il y a une option flood pour créer/activer automatiquement des comptes [...] Quelqu'un peut laisser ce PoC s'exécuter en boucle pour ruiner le site de deezer, et ce n'est pas ce que je veux." En effet des personnes malveillantes pourraient surcharger les serveurs et la base de données du site de streaming audio, jusqu'à peut être provoquer un crash ou un blocage. Xylitol a contacté deezer, a créé un ticket incident le 6 juin clairement intitulé "Problème de sécurité avec votre site" : aucune réponse. Le site serait également resté muet aux solicitations de Damien Bancal (zataz).


Partant de cette découverte, la communauté a supposé que d'autres vulnérabilités devaient être présentes, tel l'arbre qui cacha la forêt.


Une XSS bien dangereuse
Une fois la battue lancée, une vulnérabilité du type Cross-Site Scripting (XSS) a été découverte par theSnailSnapper. Cette vulnérabilité permet en changeant les variables d'une URL de faire à peu près ce que l'on veut avec la page internet. Dans une vidéo qu'il m'a fait parvenir, le bidouilleur démontre la vulnérabilité avec une fonction javascript:alert() qui fait apparaitre à l'écran une boite d'affichage. Puis il montre en injectant du code HTML dans la barre d'adresse, comment transformer la page deezer vulnérable en un module malicieux de réinitialisation de mot de passe.


Comme il le montre à la fin de la vidéo, deezer a été prévenu début juin de la vulnérabilité. theSnailSnapper donne en prime des exemples aux techniciens de deezer pour leur faire juger de la dangerosité de cette faille...mais visiblement en vain :


Le ticket est toujours en 'Open', ce qui signifie généralement qu'il n'a pas encore été assigné à un technicien. Après deux semaines c'est tout de même un peu long!

En novembre dernier Deezer lançait une offre payante à 9.99€/mois. Ces utilisateurs 'premium' vont être content de découvrir que leur sécurité ne vaut pas grand chose.
J'ai du mal à croire que deezer n'ai pas les compétences pour régler ce problème.Pour chiffrer leur flux audio avec AES ils sont là, par contre pour protéger leurs variables avec de petites fonction comme html_special_chars() qui "transforme" le code HTML ou javascript en texte inoffensif c'est "sauve qui peut".