5/5 - (3 votes)

Découverte d’une faille critique dans Le réseau social Mastodon.

La vulnérabilité Mastodon permet aux attaquants de s’emparer des comptes. Mastodon, la plateforme de réseau social décentralisée gratuite et open source, a corrigé une vulnérabilité critique qui permet aux attaquants de usurper l’identité et de prendre le contrôle de n’importe quel compte distant. La plateforme est devenue populaire après l’acquisition de Twitter par Elon Musk et compte désormais près de 12 millions d’utilisateurs répartis sur 11 000 instances. Cette faiblesse axée sur les attaques est causée par des schémas d’authentification mal mis en œuvre et sujets à des attaques d’usurpation d’identité.

CVE-2024-23832, Mastodon est un serveur de réseau social gratuit et open source basé sur ActivityPub Mastodon permet la configuration de LDAP pour l’authentification. En raison d’une validation d’origine insuffisante dans tous les Mastodon, les attaquants peuvent usurper l’identité et prendre le contrôle de n’importe quel compte distant. Chaque version de Mastodon antérieure à 3.5.17 est vulnérable, ainsi que les versions 4.0.x antérieures à 4.0.13, 4.1.x antérieures à 4.1.13 et 4.2.x antérieures à 4.2.5.

Mastodon a appelé les administrateurs à l’action suite à la divulgation d’une vulnérabilité critique affectant le réseau social décentralisé privilégié par les anciens amateurs de Twitter. Avec un score de gravité de 9,4, l’exploitation de CVE-2024-23832 permet potentiellement aux attaquants de s’emparer des comptes Mastodon à distance.


La confidentialité a été définie par l'Organisation internationale de normalisation comme « le fait de s'assurer que l'information n'est accessible qu'à ceux dont l'accès est autorisé », et est une des pierres angulaires de la sécurité de l'information. La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données. De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation. Nul doute que l'utilisation d'un Réseau Privé Virtuel chiffré (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges. En juin 2023, la société Proton lance son extension de navigateur Proton Pass. Un gestionnaire de mots de passe sécurisé, gratuit et open source.


Une élévation des privilèges est, en informatique, un mécanisme permettant à un utilisateur d'obtenir des privilèges supérieurs à ceux qu'il a normalement. Généralement, un utilisateur va vouloir élever ses privilèges pour devenir administrateur du système, afin d'effectuer des tâches qu'il n'a pas le droit de faire en temps normal. Ce mécanisme est utile pour lancer des processus sensibles, pouvant nécessiter des compétences particulières en administration système : par exemple lors d'une manipulation des partitions d'un disque dur, ou lors du lancement d'un nouveau service. L'administrateur peut reconfigurer le système d'exploitation. Il peut gérer les autorisations d'accès au réseau. Il surveille le système, gère la sécurité et automatise certaines tâches. Toutes ces fonctions présentent un risque pour les systèmes infectés et une atteinte à la politique de sécurité.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut