Categories: Cloud

Sécurité IT : un Snapchat averti en vaut deux

Il est venu l’heure du mea culpa.

Victime, début janvier, d’un piratage informatique qui a exposé les données personnelles de 4,6 millions d’utilisateurs, Snapchat présente ses plus plates excuses. La faille de sécurité exploitée à cette occasion a été résorbée. Elle n’est plus d’actualité dans la dernière version de l’application de messagerie instantanée développée par la start-up, pour les terminaux iOS et Android. Ce correctif n’intervient que plusieurs mois après la découverte de la vulnérabilité. Pour saisir les subtilités de l’affaire, il faut remonter à ses origines.

En août dernier, Gibson Security se manifestait auprès de Snapchat pour lui signaler cette faille qui permettait d’accéder sans autorisation au numéro de téléphone des utilisateurs. Son alerte étant restée sans réponse, le collectif d’experts en sécurité IT d’origine australienne avait pris la décision de rendre la brèche publique, le jour de Noël. Dans la documentation adjointe, on apprenait que cet « exploit » dénommé find_friends consistait à utiliser l’API Snapchat pour écrire un programme destiné à générer une liste de numéros de téléphone, puis à la parcourir en y associant automatiquement les noms des utilisateurs de l’application.

De ces informations personnelles pouvaient potentiellement résulter des profils monnayés à plusieurs dizaines de dollars au marché noir. Quelques jours plus tard, une base de données était mise en ligne sur le site SnapchatDB.info. Elle regroupait 4,6 millions de noms d’utilisateurs et autant de numéros de téléphone dont les deux derniers chiffres avaient été tronqués. L’ensemble était disponible au téléchargement sous forme de fichiers SQL et CSV.

Les éditeurs du site ont reconnu qu’ils cherchaient à sensibiliser l’équipe de Snapchat à l’importance de blinder la sécurité de leur service. « Il est compréhensible que les start-up disposent de ressources limitées, mais à l’image de l’expérience utilisateur, la sécurité et la vie privée ne devraient pas être des objectifs secondaire« , déclaraient-ils.

Difficile, aujourd’hui encore, de déterminer s’il existe un lien avec Gibson Security. Mais ce piratage avait surtout une valeur « pédagogique ». Snapchat a réagi au quart de tour. Il faut dire que la société a fait de la confidentialité l’un de ses chevaux de bataille, surfant sur la prise de conscience globale des internautes après les révélations d’Edward Snowden dans le dossier PRISM.

Avec son concept de messagerie éphémère, Snapchat a séduit un public plutôt jeune, composé majoritairement d’étudiants qui s’échangent désormais plus de 400 millions de fichiers par mois. Auteur d’une récente levée de fonds (50 millions de dollars pour son 3e tour de table), Snapchat s’est récemment distingué en refusant une généreuse offre de rachat formulée par Facebook.

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?

Crédit logo : Snapchat

Recent Posts

Digital Workplace : comment l’IA Générative s’installe dans l’environnement de travail

L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…

1 semaine ago

PC Copilot+ : avec Arm ou x86 ?

Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…

3 semaines ago

Copilot+ : une sélection de PC convertibles

Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…

1 mois ago

Avec Gemini intégré à Google Workspace, les prix s’envolent

Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…

1 mois ago

PC Copilot+ : c’est parti pour la transformation du parc

Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…

2 mois ago

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

3 mois ago