Wenvjgol

Le cookie wenvjgol (logjvnew à l'envers) était un cookie de Jeuxvideo.com qui permettait d'enregistrer les informations de connexion d'un membre afin qu'il puisse se connecter sur chaque page de jeuxvideo.com.

Structure

Ils est sous la forme :

764616$058FluxBB$124f2ff78b712e2c53fd7b17c2cbfbf4552

Ce qui donne, après décodage :

764616:FluxBB|f2ff78b712e2c53fd7b17c2cbfbf4552

Où :

764616 est l'identifiant de l'utilisateur dans la base de données.
FluxBB est le pseudo.
f2ff78b712e2c53fd7b17c2cbfbf4552 est un hash généré à partir de l'identifiant et du mot de passe.

Historique

Le cookie s'appelait à l'origine logjeuxvideocom, il ressemblait à ceci :

login:MasTerShadow|815775125|

Où :

login est invariable.
MasTerShadow est le pseudo.
815775125 est un identifiant unique de 9 chiffres lié au pseudo.

À l'origine de problèmes de sécurité, il fût le 14 mars 2006 renommé en mocoedivxuejgol (la même chose à l'envers), le nombre à la fin étant alors remplacé par un hash, qui ne dépendait plus seulement du pseudo mais aussi du mot de passe. Le wenvjgol actuel lui succéda en 2010.

Faille technique

Il était possible d'accéder au compte de quiconque sur certains endpoints, via la création de cookies à la main. Nécessairement, il fallait créer un cookie de ce type :

764616$058FluxBB$124

On peut constater qu'au début, il y a l'ID du compte, ensuite, son pseudo, puis par la suite, un nombre qui était hardcodé dans les sources de l'ancien Jeuxvideo.com. Grâce à la génération de ce type de cookies, il était possible de :

modifier l'avatar de quiconque (une validation par un admin restait nécessaire)
modérer un forum de façon plus ou moins anonyme (entre autre sur ForumJV où les boutons de suppression, gestion d'épingles/kicks étaient présents)
création de tokens anti-CSRF valides pour le compte concerné

Cette faille sera patchée sur ForumJV suite à une exploitation par edwado, mais la faille ne sera pas patchée sur Jeuxvideo.com pour des raisons inconnues.