Ce n'est pas la première fois que Mastodon est victime d'une faille de sécurité. © Tada Images / Shutterstock
Ce n'est pas la première fois que Mastodon est victime d'une faille de sécurité. © Tada Images / Shutterstock

Mastodon, le réseau social en open source, a été victime d'une vulnérabilité majeure permettant à des acteurs malveillants de contrôler n'importe quel compte. Si la plateforme a déployé un correctif, il n'est pas certain que tous les serveurs l'aient appliqué pour le moment.

Créé en 2016, Mastodon a connu un important gain de popularité à la fin 2022, lorsqu'Elon Musk a racheté Twitter pour 44 milliards de dollars. Faisant craindre à certains utilisateurs une évolution de la plateforme dans un sens qui ne leur convient pas, l'acquisition a permis à Mastodon d'obtenir 1 million d'utilisateurs supplémentaires. La plateforme en enregistre désormais 12 millions, et possède des atouts dont la désormais X.com ne peut se vanter, à commencer par la décentralisation de ses serveurs. Néanmoins, elle est également sujette à d'importantes failles de sécurité.

Un taux de gravité de 9,4 sur 10

Découverte par un chercheur en cybersécurité, la vulnérabilité CVE-2024-23832 est décrite comme une « erreur de validation de l'origine ». Elle détient un taux de gravité de 9,4 sur un maximum de 10. Des acteurs malveillants peuvent l'exploiter pour compromettre complètement les serveurs Mastodon, ce qui leur permettrait d'accéder aux informations sensibles des utilisateurs, aux communications et de mettre en place des portes dérobées.

Les répercussions peuvent être dramatiques pour les utilisateurs individuels, les communautés et l'intégrité de la plateforme, les faits pouvant aller jusqu'à l'usurpation d'identité. Si Mastodon a déjà publié un correctif, encore faut-il que tous les administrateurs effectuent la mise à jour en temps voulu pour sécuriser les instances contre les risques potentiels. Les serveurs du réseau social sont en effet hébergés et exploités indépendamment, les administrateurs mettant en place leurs propres règlements appliqués localement.

Pour leur part, les utilisateurs sont impuissants face à cette vulnérabilité, ils peuvent toutefois s'assurer que les administrateurs du serveur qu'ils exploitent ont bien actualisé le dispositif. Dans le cas contraire, leur compte est susceptible d'être compromis.

Mastodon s'impose comme une alternative à X.com et Threads. © Juan Roballo / Shutterstock
Mastodon s'impose comme une alternative à X.com et Threads. © Juan Roballo / Shutterstock

Pas une première

Consciente de l'ampleur de la faille, Mastodon a alerté les administrateurs via une bannière très visible, les invitant à opérer la mise à jour critique. La plateforme n'a pas encore partagé de détails sur la vulnérabilité, mais prévoit de publier de nouvelles informations à son sujet le 15 février prochain.

En juillet dernier, les équipes de Mastodon ont corrigé deux autres failles qui auraient pu être exploitées pour mener une attaque par déni de service ou l'exécution de code à distance.

Mastodon
  • La décentralisation des serveurs (ou instances)
  • La facilité de publication de contenu
  • La diversité des communautés présentes
8 / 10
Télécharger

Source : The Hacker News