Mastodon : une faille notée 9,4 sur 10 qui ouvrait grand les serveurs

Par Maxime le 6 février 2024 à 14h35

Mastodon, le réseau social libre présenté comme l’alternative décentralisée à Twitter, a été rattrapé par la réalité de la sécurité. Une faille majeure, référencée CVE-2024-23832, y a été repérée par un chercheur. Et son niveau de gravité fait un peu froid dans le dos : 9,4 sur 10.

Concrètement, le défaut permettait à un attaquant de prendre le contrôle complet d’un serveur Mastodon. Une fois dedans, il pouvait accéder aux données sensibles des utilisateurs, lire leurs communications, et même installer une porte dérobée pour revenir tranquillement plus tard. Le genre de scénario que personne n’a envie de voir sur la plateforme où il a migré pour fuir les travers de Twitter.

Petit rappel de contexte : Mastodon a vu sa population exploser après le rachat de Twitter par Elon Musk en 2022, jusqu’à dépasser les 12 millions d’utilisateurs. Sauf que cette popularité a aussi attiré l’attention sur ses fragilités. Le modèle décentralisé, c’est son grand argument, chaque communauté gère son propre serveur, ses propres règles, sa propre gouvernance. Mais ça veut aussi dire que la sécurité est éclatée entre des milliers d’instances, et que chacune doit appliquer ses correctifs dans son coin. Si l’administrateur d’un serveur traîne, ses utilisateurs restent exposés pendant que les autres sont déjà protégés.

Ce n’est d’ailleurs pas la première frayeur du genre. Une autre faille, baptisée TootRoot et référencée CVE-2023-36460, avait déjà tapé encore plus fort avec un score de 9,9 sur 10. Elle visait la façon dont Mastodon traite les médias attachés aux toots, l’équivalent local des tweets, au moment de leur importation. Un attaquant pouvait s’en servir pour exécuter du code à distance sur le serveur, ou y déposer une porte dérobée. Bref, la totale, là encore.

La cybersécurité Pour les Nuls

Pour comprendre ce que recouvrent vraiment ces failles et mieux protéger vos comptes, ce guide accessible fait le tour de la question.

La cybersécurité Pour les Nuls → voir sur Amazon

Lien affilié Amazon. En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions requises.

Du côté de l’équipe Mastodon, la réaction a été rapide. Des correctifs ont été publiés pour colmater plusieurs vulnérabilités d’un coup, dont CVE-2023-36459, CVE-2023-36460, CVE-2023-36461 et CVE-2023-36462. Le travail est fait, encore faut-il qu’il soit appliqué partout.

Si vous gérez une instance, la marche à suivre est simple : installez les mises à jour de sécurité sans attendre. Plus vous tardez, plus la fenêtre de tir reste ouverte pour les petits malins. Et si vous êtes juste utilisateur, le réflexe utile, c’est de demander à l’administrateur de votre serveur si les derniers correctifs sont bien passés. En cas de doute, lever le pied quelques jours en attendant confirmation n’a rien d’absurde.

C’est tout le paradoxe du décentralisé. La liberté et l’indépendance des instances font le charme de Mastodon, mais elles transforment chaque mise à jour en course individuelle. La sécurité d’un réseau social libre tient autant à la réactivité de ses développeurs qu’à la vigilance des centaines d’admins bénévoles qui le font tourner.

Crédit photo : DR