Parler, l'arnaque de Twitter qui a été l'un des principaux outils d'organisation des fanatiques de Donald Trump qui a pris d'assaut le Capitole des États-Unis le 6 janvier, a été en grande partie hors ligne pendant plus d'une semaine. Mais même dans l'animation suspendue, la maison en ligne préférée de QAnon, des Proud Boys et d'autres éléments de l'extrême droite américaine crée toujours des problèmes.
Les décisions d'Amazon, d'Apple et de Google de cesser d'héberger le site et d'interdire aux utilisateurs mobiles de télécharger l'application ont déclenché des cris de censure des Big Tech. Mis à part le premier amendement et la politique de réglementation d'Internet, la façon dont Parler a fait jaillir des données lors de sa sortie soulève de sérieuses questions de cybersécurité ainsi que des inquiétudes quant à savoir si d'autres acteurs sur Internet ont des violations de données à l'avenir.
Bien qu'il soit impossible de vérifier sans jeter un coup d'œil sous le capot de Parler - une tâche désormais impossible puisque le site Web est hors ligne - le récit dominant est qu'une faille de sécurité de Parler (ou des failles) a permis à un pirate informatique de télécharger et d'archiver toutes les données utilisateur de Parler sous peu. avant qu'Amazon Web Services ne débranche l'hébergement du site. Parmi les données présentées à l'accès du public (et des forces de l'ordre), figuraient, dans certains cas, des données de localisation potentiellement incriminantes.
Parler s'est appuyé sur Worpress , le système de gestion de contenu le plus utilisé au monde. Cela a conduit à la spéculation que WordPress faisait partie de la faille et que toute autre personne utilisant WordPress était en danger. cependant, selon un consensus général des experts en cybersécurité , y compris plusieurs personnes contactées pour cet article, la violation de données de Parler ne s'est pas produite simplement parce que Parler a utilisé WordPress. Au lieu de cela, les données utilisateur de Parler ont fui parce que le PDG John Matze et les architectes du site ont laissé des failles majeures dans l'API de Parler, le lien entre le front-end de Parler et ses données utilisateur.
Voir également: Elon Musk blâme Facebook et Mark Zuckerberg pour l'émeute du Capitole
La croyance prédominante est que Parler était une conception précipitée et médiocre soutenue par des investisseurs de droite pour devenir assez grande avant qu'ils n'aient vraiment construit une base solide, technologiquement parlant, André Zolides , a déclaré à Braganca un professeur de communication à l'Université Xavier qui enseigne des cours de conception numérique. (Parmi les investisseurs de Parler sont la milliardaire de droite Rebekah Mercer , qui a tenté de capitaliser sur la colère de la droite contre Twitter et Facebook pour accroître l'audience de Parler.)
Bien que tout site Web ait ses problèmes de confidentialité, Parler semble être un problème de devenir trop gros, trop rapide et de ne pas avoir la capacité ou le savoir-faire technique pour s'y préparer, a ajouté Zolides.
Dans un développement bienvenu pour toute personne soucieuse de l'anonymat ou de la sécurité en général, d'autres sites Web peuvent éviter le piège de Parler… à condition qu'il ne s'agisse pas de startups relativement nouvelles et petites qui tentent de rivaliser avec des géants établis comme Twitter et Facebook, ce qui est exactement ce que Parler a fait .
Oui, Parler aurait pu être mieux conçu, mais de manière réaliste, c'est le genre de problème qui se produit lorsque vous êtes en concurrence avec des entreprises matures qui ont investi des milliards et des milliards de dollars dans leurs produits, dit Joseph Steinberg , expert en sécurité et auteur de La cybersécurité pour les nuls . Vous allez avoir du mal à concevoir tout ce que vous voulez de manière sécurisée. 
Google, Apple et Amazon ont suspendu l'application de réseau social Parler. Parler est devenu indisponible dans l'App Store, Google Play et Amazon Web Services, apparemment en raison d'un contrôle insuffisant sur les publications des utilisateurs qui encouragent la violence, apparemment par les médias.Illustration photo par Pavlo Gonchar/SOPA Images/LightRocket via Getty Images
Premièrement, la méthode du prétendu piratage. Avant que Parler ne soit retiré d'AWS, un utilisateur de Twitter avec le pseudo @donk_enby a compris comment télécharger les données utilisateur du site Web, ainsi que toute autre preuve très publique d'utilisateurs de Parler violant le Capitole, agressant des agents et complotant de nouvelles violences. , était potentiellement très incriminant, comme l'a rapporté Gizmodo .
@donk_enby a finalement récupéré 56 téraoctets de données : photos, vidéos et messages texte, dont beaucoup incluaient des métadonnées GPS qui ont positivement placé les utilisateurs de Parler dans et autour du Capitole le 6 janvier, y compris dans des zones sécurisées. Au moins certaines de ces données – 56 000 gigaoctets – ont été utilisées pour identifier et appréhender les participants aux émeutes, selon des déclarations sous serment fédérales, mais rien ne prouve que le gouvernement fédéral ait utilisé la tranche de données de @donk_envy.
Mais comment cela a-t-il été fait ? Les premières spéculations bourdonnaient que @donk_enby ou un autre pirate informatique pourrait avoir volé les informations d'identification de l'administrateur Parler, ce qui serait un acte illégal. La théorie admise est que, comme La startup signalé et plusieurs experts en sécurité ont souligné, à la place, que la propre API de Parler a été utilisée contre elle pour archiver les données du site Web et pour le faire rapidement.
Les concepteurs de Parler n'ont pas restreint l'accès à l'API en exigeant une authentification. Les utilisateurs n'avaient pas besoin d'informations d'identification spécifiques pour accéder aux données sur le back-end. Cela a laissé une énorme porte arrière ouverte.
La plupart des sites Web conscients du protocole de sécurité de base n'autorisent pas l'accès à l'API sans une forme d'authentification de l'utilisateur pour garantir que la demande n'est pas malveillante. Comme l'a souligné The Startup, deux solutions d'authentification courantes sont les clés API et les jetons, qui nécessitent tous deux des informations d'identification valides qui permettent également au site Web de savoir qui accède aux données.
Aucune exigence d'authentification n'a laissé une porte entrouverte. En plus de cela, les concepteurs de Parler n'ont pas pris la peine d'ajouter une deuxième couche de défense en termes de limitation de débit, ce qui signifie qu'au lieu d'une porte entrouverte ou laissée fissurée, la porte était grande ouverte.
La limitation du débit limite la quantité de données auxquelles un utilisateur peut accéder, quelles que soient ses informations d'identification. Les internautes ont peut-être vu les messages d'erreur 429 Too Many Request à l'état sauvage, signe qu'il y a eu trop de coups ou de tentatives pour franchir la porte. Parler n'avait pas cela non plus, ce qui signifiait qu'une fois le back-end non sécurisé accédé, @donk_enby était également en mesure d'archiver les données de Parler dans les 48 heures. (Assez curieusement, comme l'a souligné The Startup, Amazon Web Service dispose d'une option de pare-feu de base avec laquelle Parler ne semble pas se soucier.)
Enfin, Parler a également permis aux messages que ses utilisateurs pensaient avoir été supprimés d'être à la fois disponibles et facilement découverts une fois que quelqu'un était dans le back-end. Au lendemain des émeutes meurtrières, certains utilisateurs de Parler, conscients des tonnes de preuves disponibles sur le web, ont encouragé d'autres à supprimer leurs messages à partir du 6 janvier.
Tous les messages de Parler ont reçu des numéros séquentiels qui ont augmenté de 1. Même lorsque ces messages ont été supprimés par l'utilisateur, ils sont restés en arrière-plan. @donk_enby n'avait apparemment besoin d'écrire qu'un script très basique qui a trouvé et archivé chaque message, un par un. Et comme Parler n'a pas pris la peine de supprimer les données géolocalisées des photos, des vidéos et des publications avant leur téléchargement, ces informations attendaient également d'être archivées.
Il est possible que d'autres sites Web qui utilisent WordPress ou d'autres logiciels d'hébergement aient des failles de sécurité similaires, mais ils pourraient également ne pas être assez tristement célèbres pour que ces failles de sécurité deviennent l'intérêt des pirates informatiques et soient ainsi violées.
Il n'est pas rare que les sites Web présentent des failles de sécurité, parfois importantes, qui passent inaperçues car ils ne sont pas assez populaires pour attirer plus que de simples tentatives, souvent automatisées, de les compromettre, a déclaré Erich Kron, expert en sécurité chez KnowBe4 , une société de solutions de sécurité de premier plan. Lorsque le site devient rapidement populaire, l'objectif et la complexité de ces tests augmentent, conduisant souvent à la découverte de vulnérabilités.
Un exemple récent de ce phénomène, a déclaré Kron, était Zoom. Lorsque la pandémie de COVID-19 a obligé tout le travail à travailler à distance, les failles de sécurité auparavant non détectées de Zoom ont été découvertes, exploitées, puis rapidement corrigées. Mais avec Parler, lorsque les fournisseurs de sécurité ont commencé à abandonner leur ancien client, cela a rendu Parler vulnérable à un moment où ils étaient également la cible d'attaquants, d'hacktivistes et d'autres, a ajouté Kron.
Parler n'est pas encore mort. Pendant le weekend, une version de Parler est retournée sur les mêmes serveurs Web qui hébergent d'autres sites marginaux accueillant les discours de haine. Dès mardi soir, la page d'accueil du site est une page de destination des difficultés techniques ; fondateur du site John Matze a déclaré à Fox News le site Web prévoit d'être entièrement fonctionnel d'ici la fin du mois (bien que les utilisateurs mobiles seront probablement bloqués en utilisant la version Web au lieu d'une application). Et il existe d'autres foyers pour l'extrême droite en ligne, même si, comme l'a souligné Zolides, les forums axés sur la liberté d'expression comme Gab ont été plus proactifs avec la modération de contenu que Parler.
Plus de détails pourraient encore émerger sur la manière exacte dont @donk_enby a accédé aux données de Parler et si la théorie de la porte ouverte était exactement ce qui s'est passé. (Et les questions d'éthique sont distinctes de la question de la cybersécurité ; violation ou piratage, les données des utilisateurs de Parler ont toujours été volées, comme l'a dit Steinberg, et un cambriolage n'est rien à célébrer.)
En supposant que les données de Parler aient été mal conçues, pour l'instant, l'histoire en ligne du 6 janvier est une histoire d'auto-incrimination répétée : des émeutiers démasqués errant dans le Capitole des États-Unis, discutant joyeusement et ouvertement de leurs plans supplémentaires déjoués, publiant des preuves incriminantes sur Internet tous pendant ce temps, à un site Web qui n'était pas prêt à garder ces preuves anonymes ou sécurisées.
