azgaresncf
commented
4 months ago edit important : le qcm est bypassable en mettant "EDMOBILE" comme user-agent (on sait pas de pourquoi ???)
Closed azgaresncf closed 4 months ago
azgaresncf
commented
4 months ago edit important : le qcm est bypassable en mettant "EDMOBILE" comme user-agent (on sait pas de pourquoi ???)
MrBeam89
commented
4 months ago L'application mobile n'utilise pas le QCM ?
azgaresncf
commented
4 months ago L'application mobile n'utilise pas le QCM ?
Oui, c'est vraiment bizarre... J'ai l'impression que Aplim va rapidement le fix...
azgaresncf
commented
4 months ago c'est Vexcited qui m'a mis au courant de ce bypass
MrBeam89
commented
4 months ago Oui, c'est vraiment bizarre... J'ai l'impression que Aplim va rapidement le fix...
Est-ce qu'ils vont vraiment prendre la peine d'implémenter le QCM sur l'application mobile ? Mais au moins les projets utilisant l'API ont une solution temporaire simple
azgaresncf
commented
4 months ago Oui, c'est vraiment bizarre... J'ai l'impression que Aplim va rapidement le fix...
Est-ce qu'ils vont vraiment prendre la peine d'implémenter le QCM sur l'application mobile ? Mais au moins les projets utilisant l'API ont une solution temporaire simple
Je ne sais pas du tout... en y réfléchissant, je ne pense pas qu'ils vont le fix, surtout que les anciennes versions de l'API ne peuvent pas l'implémenter (si les gens gardent les anciennes versions de l'appli), là où c'est bien plus facile de faire une update pour PC, où tout le monde a la même version du site.
MrBeam89
commented
4 months ago Par contre si des personnes mal intentionnées se rendent compte de cette "faille" et s'ils ont les compétences nécessaires (juste de simples requêtes HTTP), Aplim sera obligé de l'ajouter sur mobile avec les attaques qui vont utiliser ce contournement
azgaresncf
commented
4 months ago Par contre si des personnes mal intentionnées se rendent compte de cette "faille" et s'ils ont les compétences nécessaires (juste de simples requêtes HTTP), Aplim sera obligé de l'ajouter sur mobile avec les attaques qui vont utiliser ce contournement
C'est ce qui risque d'être le plus compliqué, le contournement en question commençant déjà à être implémenté dans certaines bibliothèques...
(Précision importante : ces bibliothèques en question ne sont pas du tout malveillantes, bien au contraire, mais elles peuvent être utilisées à des fins malveillantes)
MrBeam89
commented
4 months ago Étant donné qu'ils ont probablement brute-force les endpoints avec énormément de requêtes HTTP (je ne vois pas comment ils pourraient faire autrement, peut être juste de l'ingénierie sociale), je pense qu'il est juste question de temps avant qu'une nouvelle vagues d'attaques arrive.
(Précision importante : ces bibliothèques en question ne sont pas du tout malveillantes, bien au contraire, mais elles peuvent être utilisées à des fins malveillantes)
Même si c'est vrai (et je ne blâme bien sûr pas les créateurs de ces bibliothèques) et que dans la globalité leurs disponibilités est une bonne chose, cela risque d'être dangereux.
azgaresncf
commented
4 months ago Étant donné qu'ils ont probablement brute-force les endpoints avec énormément de requêtes HTTP (je ne vois pas comment ils pourraient faire autrement, peut être juste de l'ingénierie sociale), je pense qu'il est juste question de temps avant qu'une nouvelle vagues d'attaques arrive.
(Précision importante : ces bibliothèques en question ne sont pas du tout malveillantes, bien au contraire, mais elles peuvent être utilisées à des fins malveillantes)
Même si c'est vrai (et je ne blâme bien sûr pas les créateurs de ces bibliothèques) et que dans la globalité leurs disponibilités est une bonne chose, cela risque d'être dangereux.
Ils ont simplement testé les requêtes en changeant juste de User-Agent, et ils se sont rendu compte que le QCM n'apparait pas.
Pour faire le test plus facilement, connecte-toi avec tes identifiants ED sur l'application mobile.
Même si c'est vrai (et je ne blâme bien sûr pas les créateurs de ces bibliothèques) et que dans la globalité leurs disponibilités est une bonne chose, cela risque d'être dangereux.
Bien sûr, je comprends totalement ton point de vue.
VoutouZ
commented
4 months ago Dans mon établissement, on a reçu un message de la direction indiquant que l'équipe EcoleDirecte allait déployer le QCM dans l'application mobile dans les prochains jours. Ce qui signifie que le fait que ce soit bypassable en ajoutant cette info en header ne sera probablement plus possible parce que l'équipe a dû se rendre compte que sans ça, la connexion sur l'app ne fonctionnerait pas comme elle n'a pas été mise à jour pour intégrer le QCM de l'API.
azgaresncf
commented
4 months ago Dans mon établissement, on a reçu un message de la direction indiquant que l'équipe EcoleDirecte allait déployer le QCM dans l'application mobile dans les prochains jours. Ce qui signifie que le fait que ce soit bypassable en ajoutant cette info en header ne sera probablement plus possible parce que l'équipe a dû se rendre compte que sans ça, la connexion sur l'app ne fonctionnerait pas comme elle n'a pas été mise à jour pour intégrer le QCM de l'API.
C'est vrai.
"Ce 2ème facteur d'authentification sera ensuite déployé sur l'application mobile dans les prochains jours."
- L'équipe d'EcoleDirecte.
Contexte
Malheureusement, en ce moment, beaucoup de personnes menacent des établissements en piratant les comptes EcoleDirecte d'enseignants ou d'élèves. Aplim a ainsi développé un système de sécurité, afin de pouvoir protéger plus facilement les comptes EcoleDirecte.
Je vais essayer de faire une PR pour implémenter ça ASAP.