Sécurité IT : un Snapchat averti en vaut deux
Snapchat a corrigé la faille de sécurité qui touchait depuis plusieurs mois son service d’envoi de messages « éphémères ». La start-up prend cette initiative en réponse au piratage « pédagogique » dont elle a été victime voici un peu plus d’une semaine.
Il est venu l’heure du mea culpa.
Victime, début janvier, d’un piratage informatique qui a exposé les données personnelles de 4,6 millions d’utilisateurs, Snapchat présente ses plus plates excuses. La faille de sécurité exploitée à cette occasion a été résorbée. Elle n’est plus d’actualité dans la dernière version de l’application de messagerie instantanée développée par la start-up, pour les terminaux iOS et Android. Ce correctif n’intervient que plusieurs mois après la découverte de la vulnérabilité. Pour saisir les subtilités de l’affaire, il faut remonter à ses origines.
En août dernier, Gibson Security se manifestait auprès de Snapchat pour lui signaler cette faille qui permettait d’accéder sans autorisation au numéro de téléphone des utilisateurs. Son alerte étant restée sans réponse, le collectif d’experts en sécurité IT d’origine australienne avait pris la décision de rendre la brèche publique, le jour de Noël. Dans la documentation adjointe, on apprenait que cet « exploit » dénommé find_friends consistait à utiliser l’API Snapchat pour écrire un programme destiné à générer une liste de numéros de téléphone, puis à la parcourir en y associant automatiquement les noms des utilisateurs de l’application.
De ces informations personnelles pouvaient potentiellement résulter des profils monnayés à plusieurs dizaines de dollars au marché noir. Quelques jours plus tard, une base de données était mise en ligne sur le site SnapchatDB.info. Elle regroupait 4,6 millions de noms d’utilisateurs et autant de numéros de téléphone dont les deux derniers chiffres avaient été tronqués. L’ensemble était disponible au téléchargement sous forme de fichiers SQL et CSV.
Les éditeurs du site ont reconnu qu’ils cherchaient à sensibiliser l’équipe de Snapchat à l’importance de blinder la sécurité de leur service. « Il est compréhensible que les start-up disposent de ressources limitées, mais à l’image de l’expérience utilisateur, la sécurité et la vie privée ne devraient pas être des objectifs secondaire« , déclaraient-ils.
Difficile, aujourd’hui encore, de déterminer s’il existe un lien avec Gibson Security. Mais ce piratage avait surtout une valeur « pédagogique ». Snapchat a réagi au quart de tour. Il faut dire que la société a fait de la confidentialité l’un de ses chevaux de bataille, surfant sur la prise de conscience globale des internautes après les révélations d’Edward Snowden dans le dossier PRISM.
Avec son concept de messagerie éphémère, Snapchat a séduit un public plutôt jeune, composé majoritairement d’étudiants qui s’échangent désormais plus de 400 millions de fichiers par mois. Auteur d’une récente levée de fonds (50 millions de dollars pour son 3e tour de table), Snapchat s’est récemment distingué en refusant une généreuse offre de rachat formulée par Facebook.
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?
Crédit logo : Snapchat