Vatican News a été piraté. Un article temporaire est apparu sur le site avec pour titre une déclaration du Pape s'exclamant “Dieu est un oignon” ! Le site officiel d'actualité du Saint-Siège contient une vulnérabilité qui permet d'y publier ses propres fake news. Un chercheur belge en cybersécurité a trouvé cette faille et a alerté à plusieurs reprise le Vatican et les administrateurs du site. Sans réponse de leur part, il est passé à l'action et a immortalisé son article par une capture d'écran publiée sur son compte Twitter.

Vatican News, le site d'actualité du Saint-Siège, a été piraté. Un article au titre “Dieu est un oignon” est apparu sur le site ! Une déclaration que l'on devrait au Pape François, mais qui est bien sûr une fake news. Le chercheur belge en cybersécurité Inti De Ceukelaire a découvert une vulnérabilité sur le site d'actualités du Vatican. Et il l'a exploité pour alerter sur la sécurité du site, sans y faire de dégât. L'article était temporaire et servait simplement d'avertissement. En effet, les administrateurs du site n'ont jamais voulu répondre à ses demandes pour corriger la faille. Il a donc agit.

Le site Vatican News a été piraté par un chercheur en cybersécurité

Inti De Ceukelaire a trouvé une vulnérabilité non corrigée sur le site Vatican News. Il s'agit d'une faille XSS (cross-site scripting) qui permet d'injecter du contenu dans une page web. Une action rendue par les navigateurs internet permettant d'en changer l'apparence ou d'y introduire un comportement indésirable. Ici, le chercheur en cybersécurité a exploité une faille XSS réfléchi qui a des conséquences éphémères. Ainsi, son piratage était éphémère, puisque l'article qu'il a introduit n'est pas sauvegardé sur le site.

Son but n'était pas d'être malveillant ni d'occasionner des dégâts, mais bien d'alerter les administrateurs de Vatican News. En effet, les chercheurs en cybersécurité respectent des pratiques de divulgations éthique. Ainsi, il a d'abord prévenu le site de la présence de cette faille. A neuf reprises, sans avoir eu de réponse, ni voir de correctif. Le mois dernier, le Pape François déclarait que les fake news étaient sataniques et a condamné leur utilisation en politique. Inti De Ceukelaire a donc fait un rappel à la sécurité au Pape !

Il y a deux semaines, je leur ai dit que s'ils ne disaient pas qu'ils allaient régler le problème, je ferais une divulgation complète et responsable. Non pas pour leur faire du mal, mais pour montrer que des fake news peuvent facilement se répandre. Pape ou pas, il faut se conformer aux normes de sécurité.

GOD = AALSTENAAR. Niet mijn woorden, die van de paus. Merci, @Pontifex! ? ? LINK: https://t.co/GbOQrr2NJg (1/2) pic.twitter.com/FsvVeniycg

— Inti De Ceukelaire (@intidc) 8 février 2018