Netcrook Logo
👤 GHOSTCOMPLY
🗓️ 19 Nov 2025   🌍 North America

Phishing au menu : une faille dans le système d’email de DoorDash déclenche une guerre houleuse autour de la divulgation

Une vulnérabilité corrigée dans le système d’email de DoorDash a mené à un affrontement amer entre un chercheur en sécurité et le géant de la livraison - mettant en lumière les failles du processus de bug bounty.

En bref

  • Une faille dans DoorDash for Business permettait à n’importe qui d’envoyer des emails "officiels" convaincants depuis les vrais serveurs de DoorDash.
  • La vulnérabilité, découverte par le chercheur "doublezero7", est restée non corrigée pendant plus de 15 mois.
  • Le processus de divulgation est devenu conflictuel, avec des accusations de chantage et des exclusions de programme.
  • DoorDash a corrigé le problème mais a refusé de verser une récompense, jugeant le rapport hors périmètre.
  • Aucune donnée client n’a été volée, mais la faille aurait pu permettre des attaques de phishing très efficaces.

L’email qui n’en était pas un : une faille cachée à la vue de tous

Imaginez recevoir un email à l’apparence officielle de DoorDash - avec le branding, une mise en page soignée, et envoyé depuis une véritable adresse doordash.com. Imaginez maintenant que cet email ait en réalité été rédigé par un inconnu, utilisant un compte gratuit et une astuce simple. C’est ce qui s’est passé pendant plus d’un an, à cause d’une faille tapie dans la plateforme professionnelle de DoorDash.

Le chercheur en sécurité "doublezero7" a découvert qu’en manipulant le champ "Nom du budget" dans DoorDash for Business, n’importe qui pouvait injecter du code HTML personnalisé dans les emails. En termes simples : le système permettait à un attaquant de masquer ou remplacer des parties de l’email, voire d’y insérer de fausses offres ou des liens malveillants, le tout envoyé depuis les serveurs de confiance de DoorDash. Pour les destinataires, distinguer le vrai du faux devenait quasiment impossible.

Divulgation sous tension : quand de bonnes intentions tournent mal

Signaler des vulnérabilités est censé être gagnant-gagnant : les chercheurs aident les entreprises, les entreprises récompensent les chercheurs, et les utilisateurs sont mieux protégés. Mais dans ce cas, le processus a déraillé. Selon "doublezero7", DoorDash a d’abord ignoré son rapport, déposé via la plateforme de bug bounty HackerOne et classé comme simplement "informatif". Frustré, le chercheur a publié un résumé puis a contacté directement DoorDash - exigeant un paiement en échange de son silence et d’un accord de non-divulgation.

DoorDash, de son côté, a qualifié ce comportement de chantage, a banni le chercheur de son programme de bug bounty et a corrigé la faille sans verser de récompense. HackerOne a soutenu l’entreprise, invoquant des violations de politique. L’affaire s’est transformée en jeu de reproches : le chercheur a accusé DoorDash de négligence et de représailles ; DoorDash a jugé l’approche non éthique et hors limites.

Échos d’Uber : pourquoi l’usurpation d’email reste un enjeu

Ce n’est pas la première fois qu’une grande entreprise tech trébuche sur l’usurpation d’email. En 2022, Uber a fait face à un problème quasi identique, où des attaquants pouvaient envoyer des messages depuis l’infrastructure même d’Uber.com. De telles failles sont des mines d’or pour les cybercriminels, qui montent des campagnes de phishing capables de contourner les filtres anti-spam et d’exploiter la confiance des utilisateurs envers des marques connues.

Si la faille de DoorDash n’a pas exposé de données internes ni de comptes, elle aurait pu servir à lancer des escroqueries convaincantes - trompant les utilisateurs pour qu’ils partagent leurs mots de passe, informations de paiement ou téléchargent des malwares. Le risque peut sembler abstrait, mais à une époque où la compromission d’emails professionnels coûte des milliards chaque année, même des vulnérabilités "simples" peuvent avoir des conséquences démesurées.

L’incident DoorDash révèle non seulement une faille technique, mais aussi la fragilité de la relation entre chercheurs indépendants et entreprises qu’ils tentent d’aider. À mesure que les programmes de bug bounty se développent et que la confiance numérique devient cruciale, les deux parties doivent naviguer un champ de mines éthique, d’attentes et de communication. Au final, la faille a été corrigée - mais les cicatrices du conflit autour de la divulgation pourraient durer bien plus longtemps.

WIKICROOK

  • Usurpation d’email : Envoyer des emails avec une fausse adresse d’expéditeur pour se faire passer pour quelqu’un d’autre, sans accéder à son vrai compte.
  • Phishing : Le phishing est une cybercriminalité où des attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou cliquer sur des liens malveillants.
  • Programme de bug bounty : Un programme de bug bounty récompense les chercheurs indépendants qui trouvent et signalent des vulnérabilités logicielles, aidant les organisations à renforcer leur cybersécurité.
  • Injection HTML : L’injection HTML consiste à insérer du code HTML non autorisé dans un site, modifiant son apparence ou son comportement pour les utilisateurs et posant des risques de sécurité.
  • Chronologie de divulgation : Une chronologie de divulgation est le processus et le calendrier étape par étape pour signaler, communiquer et résoudre les vulnérabilités de cybersécurité entre chercheurs et entreprises.
DoorDash Phishing Bug Bounty
GHOSTCOMPLY GHOSTCOMPLY
Compliance & Legal-Tech Advisor
← Back to news