Le « mode débogage » d’un outil de développement Web

 

 

Des centaines de sites Web réalisés à l’aide d’un outil de développement Web populaire ont exposé des données sensibles à toute personne disposant d’un navigateur Web. Parmi eux, le site officiel de la campagne de Donald Trump, permettant potentiellement à des attaquants de détourner le serveur de courrier électronique du site. L’outil, un framework PHP appelé Laravel, comprend un « mode débogage » qui permet aux développeurs d’identifier les erreurs et les mauvaises configurations avant la mise en ligne des sites Web. Le problème, c’est que de nombreux développeurs omettent de désactiver le mode de débogage après la mise en ligne, exposant ainsi les détails du site Web backend comme les emplacements des bases de données, les mots de passe, les clés secrètes et d’autres informations sensibles.

 

Qu’est-ce que Laravel ?

Laravel est un framework PHP open-source populaire utilisé pour développer des applications Web. Selon BuiltWith, plus de 135 000 sites Web en direct l’utilisent actuellement. Comme les frameworks similaires, il comprend un mode de débogage avec une interface qui permet aux développeurs d’identifier les erreurs et les mauvaises configurations sur le réseau du site. Ce mode de débogage est destiné à être utilisé avant la mise en ligne du site, mais de nombreux développeurs ont omis de le désactiver. Pour être clair, il s’agit d’une erreur commise par l’administrateur ou le développeur du site et non pas d’un bug de Laravel. Elle contient souvent des détails sensibles en texte clair et des identifiants d’API tels que des secrets partagés, des mots de passe et des emplacements de base de données, des informations que les pirates peuvent utiliser pour voler des données ou développer d’autres attaques sur le système.

 

Comment et pourquoi nous avons découvert cette exposition ?

L’équipe de recherche en sécurité scrute l’internet à la recherche de sites Web mal configurés et de bases de données laissées exposées sur le Web. Nous faisons tout ce qui est en notre pouvoir pour alerter les organisations responsables afin de minimiser les dommages causés aux utilisateurs finaux. Bob Diachenko dirige nos efforts en utilisant ses connaissances et son expérience approfondies en matière de cybersécurité. L’équipe enquête ensuite sur les données qui ont été exposées, pendant combien de temps, à qui elles appartiennent et qui est affecté. Nous communiquons les résultats pour sensibiliser les victimes afin qu’elles prennent les mesures nécessaires pour se protéger. Notre objectif est de mettre fin à l’accès non autorisé aux informations personnelles et d’atténuer les préjudices qui peuvent résulter de ces expositions et violations de données.