USA: Nouvelle bourde pour Go.usa.gov

Go-usa-govQuelques jours après que le raccourcisseur de liens Go.usa.gov ait été lancé par le gouvernement américain, réservé à un usage exclusif par les membres de l’administration publique, les nom d’utilisateur et clé privée à l’API ont été publiés sur la page de documentation de l’API Go.usa.gov. Cette gourde a pu permettre aux personnes mal-intentionnées d’utiliser l’outil de création de liens officiel du gouvernement pour rediriger les internautes vers des sites de spams, d’arnaque ou de phishing.

Le gouvernement américain a mis à disposition de son administration un raccourcisseur de lien officiel, Go.usa.gov, dans le but de protéger les contenus partagés par les membres de son administration sur les réseaux sociaux. Lancé la semaine dernière, le service avait déjà été pris d’assaut par des spammeurs qui avaient trouvé une faille (utiliser 1.usa.gov via Bit.ly) pour exploiter les liens officiels à leur propre compte.

Cette semaine, la gourde vient de l’équipe technique du site Go.usa.gov: Sur la documentation de l’API de Go.usa.gov, les administrateurs du site avaient omis de remplacer leurs identifiant et clé privée d’API par de fausses données. Avec ces données plutôt simples à récolter, toute personne étant un brin développeur pouvait se connecter à l’API Go.usa.gov et créer ses propres URLs raccourcies. D’ailleurs, le développeur qui a trouvé la « faille », Jack Cola, ne s’est pas gêné pour créer un lien raccourci go.usa.gov/YGmR vers son site www.jackcola.org. Les responsables de Go.usa.gov ont affirmé depuis que l’erreur avait été réglée, et la clé privé à l’API changée, mais selon Zack Whittaker de ZDNet, les identifiants malencontreusement dévoilés fonctionnaient encore au moment de la publication de son article (hier soir).

Source: ZDNet