Une mauvaise configuration qui hante les plateformes de streaming d'entreprise pourrait exposer des données sensibles

Les principaux services de streaming commeNetflix et Disney+ ont investi massivement au fil des ans pour sécuriser leurs contenus. Dès qu'ils le peuvent, ils empêchent les utilisateurs d'accéder aux vidéos sans abonnement ou de visionner des contenus bloqués géographiquement. Cependant, de nouvelles conclusions présentées aujourd'hui lors de la conférence sur la sécurité Defcon à Las Vegas indiquent que les plateformes de streaming utilisées pour des activités telles que les diffusions internes d'entreprise et les diffusions sportives en direct peuvent présenter des défauts de conception fondamentaux permettant à quiconque d'accéder à une vaste gamme de contenus sans se connecter.

Le chercheur indépendant Farzan Karimi a constaté il y a des années que des erreurs de configuration dans les interfaces de programmation d'applications (API) exposaient les contenus en streaming à des accès non autorisés. En 2020, il a révélé à Vimeo un ensemble de failles de ce type qui auraient pu lui permettre d'accéder à près de 2 000 réunions internes d'entreprise, ainsi qu'à d'autres types de diffusions en direct. L'entreprise a rapidement corrigé le problème à l'époque, mais cette découverte a laissé Karimi craindre que des problèmes similaires ne se reproduisent sur d'autres plateformes.

Des années plus tard, il a réalisé qu'en perfectionnant une technique de cartographie de la façon dont les API récupèrent les données et interagissent, il pourrait identifier d'autres plateformes vulnérables. À la Defcon, Karimi présente ses conclusions sur les expositions actuelles sur une plateforme de streaming sportif grand public – il ne nomme pas le site car les problèmes ne sont pas encore résolus – et publie un outil pour aider les autres à identifier le problème sur d'autres sites.

« Lors d'une réunion générale d'entreprise ou d'une autre réunion sensible, des informations internes clés peuvent être partagées : des PDG ou d'autres cadres évoquent des licenciements ou des questions de propriété intellectuelle sensibles », a déclaré Karimi à WIRED avant sa conférence. « On observe une tendance négative à contourner facilement l'authentification pour accéder aux flux, mais ce type de problème était auparavant considéré comme nécessitant une connaissance approfondie de l'entreprise concernée. »

Les API sont des services qui récupèrent et renvoient des données à quiconque les demande. Karimi donne l'exemple d'une recherche sur le film Fight Club sur une plateforme de streaming. Le flux du film peut renvoyer des informations sur sa durée, ses bandes-annonces, ses acteurs et d'autres métadonnées. Plusieurs API collaborent pour rassembler toutes ces informations, chacune récupérant certains types de données. De même, si vous recherchez Brad Pitt, un ensemble d'API interagira pour vous proposer Fight Club ainsi que d'autres films dans lesquels il a joué, comme Troie et Seven . Certaines de ces API sont conçues pour exiger une preuve d'authentification avant de renvoyer des résultats, mais si un système n'a pas été examiné en profondeur, il est courant que d'autres API renvoient aveuglément des données sans exiger de preuve d'autorisation, partant du principe que seul un demandeur authentifié sera en mesure d'envoyer des requêtes.

« Il y a souvent quatre, cinq, voire un certain nombre d'API contenant toutes ces métadonnées, et si vous savez les identifier, vous pouvez accéder gratuitement à du contenu payant », explique Karimi. « C'est un modèle de sécurité par l'obscurité, où personne n'imaginerait que quelqu'un puisse relier manuellement ces API. L'automatisation que j'introduis permet cependant de détecter rapidement ces failles d'autorisation à grande échelle. »

Karimi souligne que les principaux services de streaming sont largement verrouillés et ont soit corrigé ces erreurs de configuration d'API depuis longtemps, soit les ont évitées dès le départ. Il souligne cependant que les plateformes plus utilitaires pour le streaming d'entreprise et autres événements en direct – notamment les caméras allumées en permanence dans les stades et autres lieux censés n'être accessibles qu'à certaines heures – sont probablement vulnérables et exposent des vidéos censées être protégées.