La boutique en ligne de Tuxedo Computers, un fabricant d’ordinateurs spécialisé dans Linux, a connu plusieurs problèmes de sécurité. L’un d’entre eux, une faille Stored-XSS, permettait aux comptes clients d’accéder aux données d’adresse d’autres clients et à leurs mots de passe – insuffisamment hachés. Tuxedo Computers a déjà corrigé ces problèmes, mais ils concernent en partie le système de boutique sous-jacent en général.

Les failles ont été découvertes par un développeur externe qui, selon ses propres dires, a d’abord essayé de contacter le fabricant du système de boutique, puis directement Tuxedo Computers, dès la fin de l’année dernière. N’obtenant aucune réaction, il est passé à l’action et a informé samedi soir dernier une partie des clients concernés par e-mail. Il est piquant de constater que les adresses e-mail nécessaires étaient justement accessibles via la faille XSS stockée mentionnée. Dans son courriel, le développeur souligne qu’il ne vendra ni ne publiera les données récupérées.

Une réaction reconnaissante

Tuxedo Computers a pris connaissance des failles après avoir été contacté par un client inquiet et les a comblées le dimanche suivant. En début de semaine, l’entreprise a également informé tous les clients concernés et leur a demandé de modifier leur mot de passe. Tuxedo Computers a également déclaré avoir informé les autorités compétentes en matière de protection des données.

Les clients devraient prendre au sérieux l’invitation à changer de mot de passe, car la méthode de hachage MD5, qui n’est plus considérée comme sûre depuis longtemps, était utilisée jusqu’à présent. Plus grave encore : les hashs étaient créés sans valeurs Salt. Selon Tuxedo, ces deux éléments ont été modifiés, les nouveaux mots de passe utilisent des salt et une procédure de hachage basée sur Blowfish. En outre, Tuxedo veut proposer une authentification à deux facteurs.

Pour heise online, l’entreprise remercie expressément le développeur avec lequel elle est désormais en contact et qu’elle loue comme étant « très aimable et digne de confiance ». Ce dernier lui rend la pareille : depuis la prise de contact, la communication a été « super » et il a rarement vu des corrections aussi rapides. En revanche, l’entreprise n’a pas pu reconstituer la raison pour laquelle personne chez Tuxedo n’a réagi à la prise de contact initiale. A l’avenir, l’entreprise entend proposer sur son site web une possibilité de contact explicite pour de tels cas.

Problèmes dans le multistore H.H.G.

Les corrections sont probablement moins rapides pour « H.H.G. Multistore », le système de boutique sur lequel est basé le site web de Tuxedo. Le fabricant d’ordinateurs utilise toutefois une variante nettement modifiée du logiciel. Le fournisseur de H.H.G. Multistore souligne auprès de heise online que la grave faille XSS a été créée par une modification de la part de Tuxedo et n’affecte pas les autres utilisateurs.

D’autres problèmes découverts par le développeur se retrouvent toutefois aussi dans les variantes originales du logiciel. Nous avons pu vérifier qu’il s’agissait de la procédure de hachage déficiente décrite, mais aussi d’une Open Redirect et d’entrées insuffisamment validées dans le backend d’administration, qui peuvent être utilisées par exemple pour des injections SQL. Avec les redirections ouvertes, les pirates peuvent créer des liens qui semblent pointer vers un site fiable, mais qui en réalité redirigent vers n’importe quelle autre destination.

Pour heise online, H.H.G. Multistore promet une « maintenance de la version dans les semaines à venir », qui corrigera les « critiques » formulées par le développeur. Le logiciel continue en effet d’être développé, même si le site web affiche des versions plus anciennes. Les mêmes versions y sont proposées depuis des années : 5.1.0 de « H.H.G. multistore EE » et 4.10.3 de « H.H.G. multistore CE ».