Parler, l’arnaque Twitter qui a servi d’un des principaux outils d’organisation pour les fanatiques de Donald Trump qui ont pris d’assaut le Capitole américain le 6 janvier, a été largement hors ligne pendant plus d’une semaine. Mais même en animation suspendue, le foyer en ligne préféré de QAnon, des Proud Boys et d’autres éléments de l’extrême droite américaine continue de créer des problèmes.
Les décisions d’Amazon, d’Apple et de Google de ne plus héberger le site et d’interdire aux utilisateurs mobiles de télécharger l’application ont déclenché des cris de censure de la Big Tech. Premier amendement et politique de réglementation de l’Internet mis à part, la façon dont Parler a fait jaillir des données sur son chemin vers la porte soulève de sérieuses questions de cybersécurité, ainsi que des inquiétudes quant à savoir si d’autres acteurs de l’Internet ont des violations de données dans leur avenir.
Bien qu’il soit impossible de le vérifier sans jeter un coup d’œil sous le capot de Parler – une tâche désormais impossible puisque le site web est hors ligne – le récit dominant est qu’une faille de sécurité de Parler (ou des failles) a permis à un pirate en chapeau blanc de télécharger et d’archiver toutes les données des utilisateurs de Parler peu avant qu’Amazon Web Services ne retire la prise de l’hébergement du site. Parmi les données présentées à l’accès du public (et des forces de l’ordre) figuraient, dans certains cas, des données de localisation potentiellement compromettantes.
Parler s’appuyait sur Worpress, le système de gestion de contenu le plus utilisé au monde. Cela a donné lieu à des spéculations selon lesquelles WordPress faisait partie de la faille et que toute autre personne utilisant WordPress était en danger. Cependant, selon un consensus général d’experts en cybersécurité, dont plusieurs ont été contactés pour cet article, la violation des données de Parler ne s’est pas produite simplement parce que Parler utilisait WordPress. Au lieu de cela, les données des utilisateurs de Parler ont fui parce que le PDG John Matze et les architectes du site ont laissé des failles majeures dans l’API de Parler, le lien entre le front-end de Parler et ses données utilisateur.
Voir aussi : Elon Musk accuse Facebook et Mark Zuckerberg d’être à l’origine de l’émeute du Capitole
La « croyance prédominante » est « que Parler était une conception précipitée, médiocre, soutenue par des investisseurs de droite pour devenir assez grand avant d’avoir vraiment construit une base solide, technologiquement parlant », a déclaré à l’Observer Andrew Zolides, professeur de communication à l’Université Xavier qui donne des cours sur la conception numérique. (Parmi les investisseurs de Parler, on trouve la milliardaire de droite Rebekah Mercer, qui a essayé de capitaliser sur la colère de la droite à l’égard de Twitter et de Facebook pour accroître l’audience de Parler.)
« Alors que tout site Web a ses préoccupations en matière de confidentialité, Parler semble être un problème de devenir trop gros, trop vite et de ne pas avoir la capacité ou le savoir-faire technique pour vraiment se préparer à cela », a ajouté Zolides.
Dans un développement bienvenu pour toute personne préoccupée par l’anonymat ou la sécurité en général, d’autres sites Web peuvent éviter le piège de Parler… à condition qu’ils ne soient pas des startups relativement nouvelles et petites qui tentent de concurrencer des géants établis comme Twitter et Facebook, ce qui est exactement ce que Parler a fait.
« Oui, Parler aurait pu être mieux conçu, mais de manière réaliste, c’est le genre de problème qui se produit lorsque vous êtes en concurrence avec des entreprises matures qui ont investi des milliards et des milliards de dollars dans leurs produits », a déclaré Joseph Steinberg, expert en sécurité et auteur de Cybersecurity for Dummies. « Vous allez avoir du mal à concevoir tout ce que vous voulez de manière sécurisée. »
Google, Apple et Amazon ont suspendu l’application de réseau social Parler. Parler est devenu indisponible dans l’App Store, Google Play et Amazon Web Services, apparemment comme dit le contrôle insuffisant sur les postes des utilisateurs qui ont encouragé la violence, apparemment par les médias. Photo d’illustration par Pavlo Gonchar/SOPA Images/LightRocket via Getty Images
D’abord, la méthode du prétendu « hack ». Avant que Parler ne soit retiré d’AWS, un utilisateur de Twitter avec le handle @donk_enby a compris comment télécharger les données des utilisateurs du site web – tout cela, ainsi que n’importe quelle autre preuve très publique d’utilisateurs de Parler ayant violé le Capitole, agressé des officiers et comploté d’autres violences, était potentiellement très incriminant, comme le rapporte Gizmodo.
@donk_enby a finalement accroché 56 téraoctets de données : des photos, des vidéos et des messages texte, dont beaucoup comprenaient certaines métadonnées GPS qui situaient positivement les utilisateurs de Parler dans et autour du Capitole le 6 janvier, y compris dans des zones sécurisées. Au moins une partie de ces données – 56 000 gigaoctets – a été utilisée pour identifier et appréhender les participants à l’émeute, selon des affidavits fédéraux, mais il n’y a aucune preuve positive que les fédéraux ont utilisé la tranche de données de @donk_envy.
Mais comment cela a-t-il été fait ? Les premières spéculations ont fait état de la possibilité que @donk_enby ou un autre pirate ait volé les identifiants d’administration de Parler, ce qui serait un acte illégal. La théorie acceptée est que, comme The Startup l’a rapporté et plusieurs experts en sécurité l’ont souligné, au lieu de cela, la propre API de Parler a été utilisée contre elle pour archiver les données du site Web – et pour le faire rapidement.
Les concepteurs de Parler n’ont pas restreint l’accès à l’API en exigeant une authentification. Les utilisateurs n’avaient pas besoin d’informations d’identification spécifiques pour accéder aux données en arrière-plan. Cela a laissé une énorme porte dérobée ouverte.
La plupart des sites Web conscients du protocole de sécurité de base ne permettent pas l’accès à l’API sans une forme d’authentification de l’utilisateur pour s’assurer que la demande n’est pas malveillante. Comme l’a souligné The Startup, deux solutions d’authentification courantes sont les clés d’API et les « jetons », qui nécessitent tous deux certaines informations d’identification valides qui permettent également au site Web de savoir qui accède aux données.
Aucune exigence d’authentification n’a laissé une porte entrouverte. En plus de cela, les concepteurs de Parler n’ont pas pris la peine d’ajouter une deuxième couche de défense sous la forme d’une limitation de taux – ce qui signifie qu’au lieu d’une porte entrouverte ou laissée fissurée, la porte était grande ouverte.
La limitation de taux plafonne la quantité de données à laquelle un utilisateur peut accéder, quelles que soient ses informations d’identification. Les internautes ont peut-être vu 429 messages d’erreur « Too Many Request » dans la nature, ce qui est un signe qu’il y a eu trop de coups ou de tentatives pour passer la porte. Parler n’en avait pas non plus, ce qui signifie qu’une fois le back-end non sécurisé accessible, @donk_enby a également pu archiver les données de Parler en 48 heures. (Curieusement, comme l’a souligné The Startup, Amazon Web Service dispose d’une option de pare-feu de base dont Parler n’a pas semblé s’embarrasser.)
Enfin, Parler a également permis aux posts que ses utilisateurs croyaient supprimés d’être à la fois disponibles et facilement découverts une fois que quelqu’un était dans le back-end. Au lendemain des émeutes meurtrières, certains utilisateurs de Parler, conscients des rames de preuves disponibles sur le web, ont encouragé les autres à supprimer leurs posts à partir du 6 janvier.
Tous les posts de Parler recevaient des numéros séquentiels qui augmentaient de 1. Même lorsque ces posts étaient supprimés par l’utilisateur, ils restaient sur le back-end. @donk_enby n’a apparemment eu besoin d’écrire qu’un script très basique qui trouvait et archivait chaque message, un par un. Et comme Parler n’a pas pris la peine de supprimer les données géo-taguées des photos, des vidéos et des posts avant qu’ils ne soient téléchargés, ces informations étaient également là, attendant d’être archivées.
Il est possible que d’autres sites web qui utilisent WordPress ou d’autres logiciels d’hébergement au total aient des failles de sécurité similaires, mais ils pourraient aussi ne pas être assez tristement célèbres pour que ces failles de sécurité deviennent l’intérêt de hackers justiciers et soient ainsi violées.
« Il n’est pas rare que des sites web présentent des failles de sécurité, parfois importantes, qui passent inaperçues parce qu’ils ne sont pas assez populaires pour attirer plus que de simples tentatives, souvent automatisées, de les compromettre », a déclaré Erich Kron, expert en sécurité chez KnowBe4, une importante société de solutions de sécurité. « Lorsque le site devient rapidement populaire, la concentration et la complexité de ces tests augmentent, ce qui conduit souvent à la découverte de vulnérabilités. »
Un exemple récent de ce phénomène, selon Kron, est Zoom. Lorsque la pandémie de COVID-19 a rendu tout le travail à distance, les failles de sécurité de Zoom, jusque-là non détectées, ont été découvertes, exploitées, puis rapidement corrigées. Mais avec Parler, lorsque les fournisseurs de sécurité ont commencé à abandonner leur client d’antan, « cela a laissé Parler vulnérable à un moment où ils étaient également la cible d’attaquants, d’hacktivistes et autres », a ajouté Kron.
Parler n’est pas encore tout à fait mort. Au cours du week-end, une certaine version de Parler est revenue sur les mêmes serveurs web qui hébergent d’autres sites marginaux accueillant des discours de haine. Depuis mardi soir, la page d’accueil du site est une page d’atterrissage « difficultés techniques » ; le fondateur du site, John Matze, a déclaré à Fox News que le site Web prévoit d’être entièrement fonctionnel d’ici la fin du mois (bien que les utilisateurs mobiles seront probablement obligés d’utiliser la version Web au lieu d’une application). Et il existe d’autres foyers pour l’extrême droite en ligne – bien que, comme l’a souligné Zolides, les forums axés sur la « liberté d’expression » comme Gab ont été plus proactifs avec la modération du contenu que Parler.
Plus de détails peuvent encore émerger sur la façon exacte dont @donk_enby a accédé aux données de Parler et si la théorie de la « porte ouverte » était exactement ce qui s’est passé. (Et indépendamment de la question de la cybersécurité, il y a des questions d’éthique ; brèche ou piratage, les données des utilisateurs de Parler ont quand même été volées, comme l’a dit Steinberg, et il n’y a pas lieu de célébrer un hold-up.)
En supposant que les données de Parler aient été faites par une mauvaise conception, pour l’instant, l’histoire en ligne du 6 janvier est celle d’une auto-incrimination répétée : des émeutiers non masqués déambulant dans le Capitole américain, discutant gaiement et ouvertement de leurs plans supplémentaires déjoués, postant des preuves incriminantes sur Internet pendant tout ce temps, sur un site Web qui n’était pas préparé à garder ces preuves anonymes ou sécurisées.