Figaro.fr : les raisons de la fuite de mots de passe

C'est une faille dans le CMS Drupal qui a entrainé l'indexation par Google d'identifiants et mots de passe d'abonnés. Le site de presse généraliste a détaillé le problème.

Suite à un problème technique découvert le 8 juillet, les données de connexion de quelque 170 comptes utilisateurs du Figaro.fr (identifiants et mots de passe) se sont retrouvées indexées en clair sur Google.fr. Ces informations se retrouvaient dans les URLs de pages de commentaires référencées par le moteur (lire l'article : Figaro.fr : fuite de mots de passe sur Google). Alertées le 10 juillet, les équipes informatiques du site n'ont pas tardé à trouver l'origine du problème, avant de le corriger. Dès le 11 juillet, le site a publié un message affirmant avoir corrigé la faille à l'origine de l'incident.
Car il s'agit bien d'une faille. Dans un second message plus complet, le Figaro.fr décrypte l'origine du bug. La faille en question était présente dans le CMS Drupal, sur lequel le site s'adosse pour gérer ses services communautaires, ses commentaires notamment. La direction technique explique : "la fonction Drupal qui génère les blocs de pagination sur les pages de listes, construit les URLs de chaque lien en reproduisant le contenu de la variable PHP $_REQUEST, qui agrège les données GET, composant l'URL de la page, et les données POST, contenant les données de soumission de formulaires. Lorsque la page est affichée suite au post d'un formulaire, les URLs de pagination contiennent donc la totalité des valeurs présentes dans le formulaire, y compris donc un mot de passe s'il s'agit d'un formulaire de login."

Identifiée par la communauté Drupal, cette faille a été prise en compte dans la version 7 du CMS - par une limitation du dispositif de pagination aux données GET. Le correctif a également été appliqué à la version 6, utilisée par le Figaro, mais seulement au formulaire de login fourni en standard par Drupal. "Or, le formulaire de login proposé sur plus.lefigaro.fr lors du post de commentaires est un formulaire "custom", développé par l'équipe de développement du site, dans lequel le champ mot de passe est nommé différemment", explique Le Figaro. Le formulaire était donc toujours sujet à la faille, dont la direction technique du site affirme ne pas avoir eu connaissance (le développement du Figaro.fr ayant eu lieu après la publication de la celle-ci).
Les URLs comprenant les données confidentielles auraient cependant dû rester visibles qu'aux abonnées les concernant. Comment se sont-elles donc retrouvées indexées par Google ? Sur ce point, le Figaro apporte son explication. "Pour améliorer les performances du site, le code HTML de la liste des commentaires sur un article, bloc de pagination inclus, est mis en cache après génération, et servi aux internautes suivants, pour une durée de quelques minutes", indique le site, qui conclut : "cette combinaison, relativement rare, a impacté à notre connaissance 168 comptes, auprès desquels nous nous excusons vivement, et que le service client a contacté".

CMS / Faille