IDOR

🔍 Contexte Publié le 16 juin 2026 sur le blog personnel BobDaHacker, cet article est un post-mortem détaillé rédigé par un chercheur en sécurité basé à Tokyo. Il décrit la découverte et la divulgation responsable d’une vulnérabilité d’autorisation critique affectant l’infrastructure numérique de la FIFA pendant la Coupe du Monde 2026. 🎯 Vecteur d’accès initial Le chercheur s’est inscrit sur agents.fifa.org (FIFA Agent Platform, ou FAP), un portail public permettant de s’enregistrer comme agent de football. Cette inscription a automatiquement créé un compte dans le tenant Microsoft Entra (Azure AD) partagé de la FIFA, utilisé par l’ensemble des plateformes internes de l’organisation. ...

🔍 Contexte Publié le 28 avril 2026 sur le blog d’AISLE (aisle.com), cet article détaille les résultats d’une analyse de sécurité autonome menée sur OpenEMR, l’un des systèmes de dossiers médicaux électroniques open-source les plus utilisés au monde. OpenEMR est déployé par plus de 100 000 prestataires médicaux au service de plus de 200 millions de patients dans 34 langues, et est certifié ONC sous le programme fédéral américain de certification Health IT. ...

Source : billet de blog personnel (février 2026). Contexte : un instructeur de plongée et ingénieur plateforme relate la découverte (avril 2025) d’une faille critique d’authentification sur le portail membres d’un grand assureur de plongée immatriculé à Malte, puis son parcours de divulgation coordonnée et la réponse juridique reçue. • La vulnérabilité reposait sur des identifiants utilisateur numériques séquentiels utilisés pour la connexion et un mot de passe par défaut statique non imposé au changement lors de la première connexion, sans limitation de débit, verrouillage de compte ni MFA. Cela permettait d’accéder aux données personnelles (nom, adresse, email, téléphone, date de naissance) d’utilisateurs, y compris de mineurs. Le chercheur a confirmé le minimum nécessaire et a cessé ses vérifications. Divulgation initiale le 28 avril 2025 avec embargo de 30 jours (jusqu’au 28 mai 2025). ...

Selon TechCrunch, une vulnérabilité de type IDOR (Insecure Direct Object Reference) a affecté le site d’admission scolaire Ravenna Hub (VenturEd Solutions, Floride), exposant les données personnelles d’élèves et de leurs familles. TechCrunch a découvert la faille mercredi, a alerté l’éditeur, qui l’a corrigée le jour même. La publication a été différée jusqu’à vérification du correctif. • Nature de la faille: la modification de l’identifiant d’un profil élève directement dans l’URL permettait à tout utilisateur connecté d’accéder aux informations d’autres élèves. Les identifiants étaient séquentiels (numéros à 7 chiffres), facilitant l’énumération. ...

TechCrunch rapporte qu’une faille de sécurité dans l’app iOS Neon — une application virale qui enregistre les appels et rémunère les utilisateurs pour entraîner des modèles d’IA — a permis à « tout utilisateur connecté » d’accéder aux numéros de téléphone, enregistrements audio et transcriptions d’autres comptes. L’app, qui figurait parmi le top 5 des téléchargements gratuits sur iPhone et cumulait des milliers d’utilisateurs (dont 75 000 téléchargements en une journée), a été mise hors ligne après l’alerte des journalistes. ...