IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Il n'aura fallu que 10 minutes pour trouver des failles dans le chapelet « intelligent » lancé par le Pape
Pour inviter les fidèles à la prière partout dans le monde

Le , par Stéphane le calme

111PARTAGES

22  0 
C’est au beau milieu du mois missionnaire extraordinaire (15 octobre 2019) que le Réseau mondial de prière du Pape a lancé l’eRosaire, un chapelet « intelligent » dont l’objectif est de permettre aux fidèles de prier partout dans le monde via une application. Développé et commercialisé par Acer, cet eRosaire peut être porté comme un bracelet. Il s’active en faisant le signe de croix, qui synchronise alors l’application (gratuite) avec un audioguide, des images exclusives et un contenu personnalisé sur la prière du Rosaire. Dans un billet, Vatican News note que le projet « réunit le meilleur de la tradition spirituelle de l’Église et les dernières avancées du monde technologique ».

Physiquement, l'appareil se compose de dix grains de chapelet d'agate noire et d'hématite, et d'une « croix intelligente » qui stocke toutes les données technologiques reliées à l'application. Une fois activé, l'utilisateur a la possibilité de choisir entre le chapelet standard, un chapelet contemplatif et différents types de chapelets thématiques qui seront mis à jour chaque année. Enfin, une fois la prière commencée, le chapelet intelligent montre la progression de l'utilisateur à travers les différents mystères et garde la trace de chaque chapelet complété.

Ce chapelet appartient à la famille de « Click To Pray », l’application officielle du réseau mondial de prière du pape (où le pape François a son profil personnel), qui permet à des milliers de personnes dans le monde entier de prier chaque jour. L’appareil guide son propriétaire et garde la mémoire de chaque chapelet complété. Disponible sur AppStore et GooglePlay le rosaire électronique est incorporé à l’application mobile « Click to pray » et coûte la modique somme de 99 €.

« 10 ;% des recettes sont aussi reversées pour le développement du réseau mondial de prière du pape ;», explique le père Fornos qui a laissé entendre que de nouvelles innovations sont en cours de développement.


Des vulnérabilités déjà découvertes

Chez Fidus Information Security, spécialiste de la cybersécurité basé au Royaume-Uni, les chercheurs ont rapidement mis au jour des failles dans les systèmes backend utilisés par l'application Click to Pray, disponible pour iOS et Android.

« Un de nos chercheurs a décidé de vérifier le code et, en à peine 10 minutes, a découvert des problèmes évidents », a expliqué Andrew Mabbitt, fondateur de Fidus. « On dirait que quelqu'un a pris une application de groupe de fitness et l'a intégrée au code existant qui laisse tout compte d'utilisateur piratable ».

Chris, le chercheur qui a trouvé la faille a expliqué qu'il y avait deux problèmes principaux. Tout d'abord, lorsque vous installez l'application Click to Pray, vous êtes invité à créer un compte en ligne. Il y a trois manières de se connecter à l'application :
  • par une authentification Google
    ;
  • par une authentification Facebook
    ;
  • par une connexion par courrier électronique classique - il s’agit du paramètre problématique qui ne permet pas de saisir un mot de passe, mais plutôt un code PIN à 4 chiffres.

En clair, votre profil peut être protégé par un code PIN à quatre chiffres, un moyen d'authentification qui peut tomber face à une attaque par force brute étant donné que l'utilisateur dispose de tentatives illimitées et aucun mécanisme n'est embarqué pour ralentir le processus.

Ensuite, l'application communique avec ses systèmes backend via des appels d'API : sendPIN et resetPIN. En raison d'une vulnérabilité dans le code, il était possible d'envoyer l'adresse électronique d'un utilisateur via cette API et de récupérer le code PIN du compte correspondant dans un format lisible. Cela signifiait que si quelqu'un envoyait l'adresse électronique d'un inconnu, il pourrait avoir accès au profil Click to Pray correspondant, s'il en existait un.

Il note que « le code PIN à 4 chiffres contrôle l’accès à l’application et, lors de la réinitialisation d’un compte utilisateur, est envoyé à l’e-mail enregistré. Lorsque l’application demande l’envoi d’un code PIN, elle appelle "resend_pin" qui envoie le code PIN à l’e-mail, mais renvoie également de manière catastrophique le code PIN à la réponse de l’API; permettant à quiconque d'obtenir le code PIN à 4 chiffres envoyé SANS accès par courrier électronique ».

Voici un exemple de demande POST effectuée pour le compte d'utilisateur :


La réponse de l'API renvoyée à l'utilisateur contenant le code PIN (qui est également envoyé à l'e-mail enregistré) est visible ci-dessous:


Armés de cela, nous pouvons simplement nous connecter à l’application avec le code PIN fourni, ce qui permet de compromettre le compte avec un minimum d’effort.

Bien que les comptes ne stockent rien de trop sensible à l'instar des informations financières, ils contiennent des données d'identification personnelle comme les noms et descriptions physiques de personnes. Dans des pays comme la Chine, où les catholiques ne sont pas très populaires, ce type de données pourrait être dommageable s’il était exposé.

Le Père Frédéric Fornos, réseau mondial de prière du directeur international du pape, a déclaré que dès qu'il a été alerté des failles de sécurité de Fidus, il a mis les développeurs du Vatican sur le coup pour les corriger et il s'était engagé à produire un correctif dans les 24 heures. Selon Fidus, les développeurs ont déjà renforcé le logiciel, en quelque sorte. « Ils ont résolu le problème [de l’API], mais d’une manière très alambiquée », a souligné Mabbitt.

« Désormais, lorsque l’API est appelée, vous ne pouvez pas extraire le code PIN à quatre chiffres [des données renvoyées]. Mais il n’existe toujours aucune protection contre le fait de forcer brutalement le code PIN, donc cette attaque reste réalisable ».

D'ailleurs, Chris a noté que « le correctif a été publié dans les 36 heures suivant le signalement du problème. Il est intéressant de noter qu’il est toujours possible d’utiliser la vulnérabilité décrite ci-dessus pour récupérer un code PIN, bien que la réponse de l’API indique désormais 8 chiffres, tandis que l’e-mail de l’application fournit un code PIN à 4 chiffres correct. Il ne semble pas y avoir de corrélation directe entre le nouveau code confidentiel à 8 chiffres et le code confidentiel correct à 4 chiffres envoyé par courrier électronique. Il est probable que les données renvoyées ne soient pas aléatoires, mais plutôt obscurcies, bien qu'il n'ait pas encore été possible de procéder à l'ingénierie inverse de l'algorithme utilisé… pour le moment ».

Par la suite, un porte-parole du Vatican a déclaré que les failles de l'API avaient également été repérées par un chercheur en sécurité répondant au pseudonyme Elliot Alderson et qui, comme Fidus, a rapporté en privé les bogues, mais a également envoyé le code du Vatican pour résoudre le problème.

Quoi qu'il en soit, en se basant sur le nombre de téléchargements de l'application, il est possible qu'un millier de personnes se servent de ce chapelet numérique, ce qui réduit la portée potentielle d'une attaque lancée contre le dispositif. En plus, un porte-parole du Vatican a confirmé que le problème lié à la force brute a été résolu.

eRosaire (1, 2), Android, iOS

Sources : Fidus, Elliot Alderson

Et vous ?

Que pensez-vous de la « collaboration » entre religion et technologie en général, et de ce chapelet numérique en particulier ?

Voir aussi :

Google, Samsung, Xiaomi, Huawei et autres affectés par une faille zéro-day dans le système d'exploitation mobile Android, qui déverrouille l'accès root des appareils cibles
GitHub de Microsoft annonce l'acquisition de Semmle, un outil d'analyse de code qui permet de détecter des failles de sécurité potentielles
600 000 traceurs GPS pour enfants et personnes âgées utilisent « 123456 » comme mot de passe et ont des failles qui mettent la sécurité des personnes en danger
Des milliers d'utilisateurs iOS ont été espionnés chaque semaine pendant deux ans par des hackers qui ont exploité 14 failles 0-day

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de SoyouzH2
Membre régulier https://www.developpez.com
Le 21/10/2019 à 15:42
"Que pensez-vous de la « collaboration » entre religion et technologie en général, et de ce chapelet numérique en particulier ?"

Je pense qu'il n'y a pas de raison pour que les Etats, et les grosses sociétés privées soient les seuls a avoir le droit de voler la vie privée des citoyens en les traquant
10  0 
Avatar de vanquish
Membre chevronné https://www.developpez.com
Le 22/10/2019 à 9:10
Bible de Jérusalem (traduction catholique ; mais la Second ou la TOB utilisent quasi les même mot)
Matthieu 6:7 "Dans vos prières, ne rabâchez pas comme les païens: ils s'imaginent qu'en parlant beaucoup ils se feront mieux écouter.
C'est extrait du sermon sur la montagne.
Quand on sait à quoi sert un chapelet, électronique ou pas...... Voilà ce qu'en pensait l'initiateur du christianisme.
7  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 21/10/2019 à 16:15
Diablerie !
6  0 
Avatar de Heydrickx
Membre à l'essai https://www.developpez.com
Le 22/10/2019 à 0:48
En tant que catholique, je dois dire que je trouve cette application parfaitement ridicule.
Je suis déçu de constater que le Vatican se laisse prendre à ces niaiseries.
Mon seul espoir c'est que cette faille tueras l'application dans l’œuf et leur retirera à jamais l'envie de recommencer.
6  0 
Avatar de Mat.M
Expert éminent sénior https://www.developpez.com
Le 21/10/2019 à 20:03
Il n'aura fallu que 10 minutes pour trouver des failles dans le chapelet « intelligent » lancé par le Pape
pourtant j'ai toujours cru que les voies du Seigneur étaient impénétrables...amen.
Non ne vous offusquez pas c'était juste une ânerie de ma part

Citation Envoyé par Stéphane le calme Voir le message
Disponible sur AppStore et GooglePlay le rosaire électronique est incorporé à l’application mobile «Click to pray» et coûte la modique somme de 99€.
Que Dieu soit loué et qu'il vous bénisse ,d'accord mais à 99euros ça fait cher de la location, vous ne trouvez pas ?
5  0 
Avatar de Askeridos
Membre régulier https://www.developpez.com
Le 21/10/2019 à 18:56
C'est Pape Ossible....
5  1 
Avatar de CoderInTheDark
Membre émérite https://www.developpez.com
Le 21/10/2019 à 17:51
"Pirater les tous Dieu reconnaîtra les sien !!!"

Bon je sorts pour me confesser et me faire pardonner toutes les c*! que je dis ici.
3  0 
Avatar de ddoumeche
Membre extrêmement actif https://www.developpez.com
Le 22/10/2019 à 10:36
Citation Envoyé par vanquish Voir le message
Bible de Jérusalem (traduction catholique ; mais la Second ou la TOB utilisent quasi les même mot)
Il faut envoyer ce verset à Boris Jonhson, en proie à une armée de pharisien soit disant députés.
3  0 
Avatar de JackIsJack
Membre éclairé https://www.developpez.com
Le 22/10/2019 à 7:49
C'est une preuve de maturité de cette religion je trouve.

Ils ne se sont pas arrêté à 'sciences = diable'.

Il y a un potentiel énorme entre le monde de la spiritualité et les nouvelles technologies.

En tant qu'agnostique, je suis séduit par l'approche.
2  0 
Avatar de Mingolito
Membre extrêmement actif https://www.developpez.com
Le 21/10/2019 à 15:44
En fait un Chapelet c'est une sorte de boulier simpliste antique qui sert au dévot naïf à parfaire son auto hypnose.

Pour augmenter les profits autant inventer des versions informatisées de ces objets de superstition ridicule, c'est plus cher donc plus profitables financièrement. Bientôt :
- Le distributeur automatique d'Ostie dans les Eglises désaffectées
- Le collier électrique pour punir les dévot qui ont oublié de faire leurs prières en utilisant leur rosaire connecté, ou si il ont échappé un Juron "Oh mon dieu !"
- La ceinture de chasteté connectée reliée au mobile de son conjoint
- Le robot prêtre pour pallier aux manque des vocations, il est déjà la :

5  4