C'est par ces mots que ce bloggueur a attiré mon attention sur son blog.
Netvibes hacké ?
http://securityweb20.blogspot.com/


Et en lisant son billet, je suis resté scotché et dubitatif.
D'après lui, il a réussi l'exploit d'hacker Netvibes qui, je le rappelle, est une sorte de page personnalisable qui peut accueillir autant vos fils rss que vos emails et pleins de petits widgets intéressants.
Il explique qu'il a réussi via un module qu'il a déposé dans l'écosystème et fait validé par les responsables de Netvibes à s'introduire dans les comptes des utilisateurs de ce service dit '2.0' et donc de récupérer les mots de passe de leurs comptes gmail, calendar, ...

En allant un peu plus loin dans ses recherches, il a trouvé le compte d'un des développeurs de Netvibes et est ainsi arrivé à choper un login et mot de passe (inscrit dans le Webnote) qui lui a permis de s'introduire dans la base de donnée même de Netvibes, avec nos données à nous tous !

Tout ceci, si cela s'avére vrai, serait une petite bombe. Ces nouveaux services "2.0" sont-ils vraiment aussi sécurisés qu'ils le prétendent ? Le surfeur lambda peut-il réellement faire confiance au net ? Blablabla...

Pour qu'il prouve qu'il est capable d'entrer dans cette fameuse base de donnée, je lui ai proposé dans ce commentaire (voir n°5) sur son blog de récupérer une phrase secrète dans mon Webnote de mon compte Netvibes.
S'il y arrive, il devra inscrire à son tour cette phrase dans un commentaire de ce billet.

A suivre donc...


23h51 : Samy de l'équipe Netvibes vient de placer un commentaire :
samy a dit...
Nous sommes en contact avec l'auteur de cette attaque. Quelles que soient les objectifs de la démarche, il s'agit d'un hack, ce qui est innaceptable et sévèrement puni par la loi. Pour le reste, nous renforcons sur le champs nos sécurités. Les utilisateurs n'ont pas a être inquétés plus que celà. Merci.
Punissable oui, même si on ne m'enlèvera pas l'idée qu'il vaut mieux un gars qui 'fraude' et qui le dit plutôt que se taire et s'en mettre plein les poches (google adsense, paypal,...)

05.02.07 à 13h25 : les responsables de Netvibes viennent de publier un communiqué annoncant une mise à jour sécurisant le problème soulevé par ce blog. A souligner, l'hypocrisie des responsables Netvibesiens. Parce que je suis un gros fainéant, après cette journée plutôt sportivie, je vous copie-colle ma pensée sur ce communiqué envoyé aujourd'hui à M'sieur Dam VanAcht :
Ce qui me sidère dans le communiqué c'est qu'ils déclarent que "le développeur de ce module a posté de manière non éthique" => euh... il avertit les gens comme il veut non ? surtout qu'il a nommé son site "sécurity web2.0". Comme mise en bouche, y'avait pas mieux. Depuis il a retiré son billet.
Ensuite, ils disent : "Cela dit, vous devez faire très attention quand vous ajoutez des modules tiers à votre page." => ils se foutent de la gueule du monde là non ? C'est comme si Microsoft annonçait qu'il faudrait que chacun vérifie le code de Vista avant de l'installer sur son ordi parce qu'il y a un risque ! C'est fou !
D'autant plus que ce module était dispo dans l'écosystème de Netvibes et non quelque part sur le net. Et aussi, vérifié par les développeurs de Netvibes.

‘fin bon voilà, je trouve l’attitude des développeurs de Netvibes très bonne au niveau réactivité mais très mauvaise pour la communication.