YouTube vient de corriger une faille particulièrement dangereuse. Peut-être même la pire de toute l’histoire de la plateforme. Elle permettait effectivement à un utilisateur mal attentionné de supprimer n’importe quelle vidéo sans pour autant en être le propriétaire. Cette fois, nous ne sommes pas passés loin d’une véritable catastrophe.
Imaginez un instant. C’est la fin de la semaine et vous venez de téléverser votre dernière vidéo. La cinquantième, ou quelque chose dans ce goût-là. Vous vous sentez très fier de vous et c’est normal car vous avez travaillé pendant de longues heures dessus.
L’envoi se termine. Ni une, ni deux, vous décidez de retourner dans le Creator Studio pour faire un peu de rangement, et pour réorganiser vos listes de lecture.
Là, soudain, votre monde s’écroule. Il n’y a plus aucune vidéo. Tout a disparu, comme par enchantement. Dans un premier temps, vous allez penser que c’est un simple bug et vous allez donc vous déconnecter pour vous reconnecter un peu plus tard.
Malheureusement pour vous, cela ne corrigera pas le problème.
Avec YouTube Creator Studio, chacun pouvait supprimer les vidéos de son choix, sans pour autant en être le propriétaire
En menant différents tests, le chercheur en sécurité Kamii Hismatullin a mis le doigt sur une des pires vulnérabilités jamais vues sur YouTube. Et pour cause puisqu’elle permettait à n’importe quel utilisateur de supprimer les vidéos de son choix, qu’elles lui appartiennent ou pas.
Comment est-ce possible ? C’est très simple en fait, et ce n’est pas vraiment le portail web qui est en cause, mais plutôt le YouTube Creator Studio.
Si vous ne la connaissez pas, il s’agit simplement d’une application mobile disponible à la fois sur iOS et Android. Elle permet aux youtubeurs de gérer leur chaine depuis n’importe quel terminal nomade, avec des options similaires à celles du service.
Il est donc possible de l’utiliser pour supprimer une vidéo de sa chaine. Oui mais voilà, le système ne vérifiait pas l’identité de la personne générant le token. Il suffisait donc de changer l’identifiant pour supprimer n’importe quelle vidéo sans pour autant disposer des droits associés.
Fort heureusement, Google a été prompt à réagir et la faille a été corrigée en l’espace de quelques heures seulement. Kamii, lui, a touché 5 000 dollars comme récompense. Une somme un peu légère si vous voulez mon avis. Avec un bon script derrière, cette faille aurait pu provoquer d’importants dommages sur toute la plateforme, et sur toutes les chaines.
Si l’histoire vous intéresse, Kamii a relaté tous les faits dans cet article.
