Pour gérer vos consentements :
Categories: Cloud

Sécurité IT : un Snapchat averti en vaut deux

Il est venu l’heure du mea culpa.

Victime, début janvier, d’un piratage informatique qui a exposé les données personnelles de 4,6 millions d’utilisateurs, Snapchat présente ses plus plates excuses. La faille de sécurité exploitée à cette occasion a été résorbée. Elle n’est plus d’actualité dans la dernière version de l’application de messagerie instantanée développée par la start-up, pour les terminaux iOS et Android. Ce correctif n’intervient que plusieurs mois après la découverte de la vulnérabilité. Pour saisir les subtilités de l’affaire, il faut remonter à ses origines.

En août dernier, Gibson Security se manifestait auprès de Snapchat pour lui signaler cette faille qui permettait d’accéder sans autorisation au numéro de téléphone des utilisateurs. Son alerte étant restée sans réponse, le collectif d’experts en sécurité IT d’origine australienne avait pris la décision de rendre la brèche publique, le jour de Noël. Dans la documentation adjointe, on apprenait que cet « exploit » dénommé find_friends consistait à utiliser l’API Snapchat pour écrire un programme destiné à générer une liste de numéros de téléphone, puis à la parcourir en y associant automatiquement les noms des utilisateurs de l’application.

De ces informations personnelles pouvaient potentiellement résulter des profils monnayés à plusieurs dizaines de dollars au marché noir. Quelques jours plus tard, une base de données était mise en ligne sur le site SnapchatDB.info. Elle regroupait 4,6 millions de noms d’utilisateurs et autant de numéros de téléphone dont les deux derniers chiffres avaient été tronqués. L’ensemble était disponible au téléchargement sous forme de fichiers SQL et CSV.

Les éditeurs du site ont reconnu qu’ils cherchaient à sensibiliser l’équipe de Snapchat à l’importance de blinder la sécurité de leur service. « Il est compréhensible que les start-up disposent de ressources limitées, mais à l’image de l’expérience utilisateur, la sécurité et la vie privée ne devraient pas être des objectifs secondaire« , déclaraient-ils.

Difficile, aujourd’hui encore, de déterminer s’il existe un lien avec Gibson Security. Mais ce piratage avait surtout une valeur « pédagogique ». Snapchat a réagi au quart de tour. Il faut dire que la société a fait de la confidentialité l’un de ses chevaux de bataille, surfant sur la prise de conscience globale des internautes après les révélations d’Edward Snowden dans le dossier PRISM.

Avec son concept de messagerie éphémère, Snapchat a séduit un public plutôt jeune, composé majoritairement d’étudiants qui s’échangent désormais plus de 400 millions de fichiers par mois. Auteur d’une récente levée de fonds (50 millions de dollars pour son 3e tour de table), Snapchat s’est récemment distingué en refusant une généreuse offre de rachat formulée par Facebook.

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?

Crédit logo : Snapchat

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago