Viber améliore son look mais pas sa sécurité
L’application de messagerie instantanée Viber (groupe Rakuten) est mise à jour sur iOS 7 et BlackBerry 10. Mais, à côté, elle présente une faille de sécurité « sérieuse ».
L’application Viber est désormais disponible sur BlackBerry 10, et une mise à jour majeure vient améliorer l’expérience des utilisateurs de terminaux sous iOS 7.
Rachetée il y a peu pour 900 millions de dollars par le groupe Internet japonais Rakuten, l’application de messagerie instantanée (100 millions d’utilisateurs actifs), créée par Viber Media, s’offre un lifting important sur l’App Store.
La version 4.2 adopte ainsi le « flat design » d’iOS 7 et voit sa mise en page totalement remaniée pour accentuer l’importance des fichiers partagés (images, vidéos…). D’autres fonctionnalités viennent s’ajouter comme la possibilité de bloquer des contacts ou d’envoyer plusieurs fichiers à la fois à la même personne.
Reste que ces améliorations ne sont pas disponibles sur BlackBerry 10. Les utilisateurs de ce type de terminaux ne pourront accéder qu’à la version 3.1.16 de Viber pour une période encore indéterminée.
Viber est populaire mais l’application trébuche sur la sécurité
Les mobinautes devraient se montrer prudents avec Viber. L’application intègrerait une faille de sécurité sérieuse favorisant des attaques de type « man-in-the-middle* », selon des chercheurs en investigations numériques (cyber forensics) de l’Université de New Haven (UNHcFREG) dans le Connecticut. Dans une alerte diffusée le 23 avril, ces derniers recommandent de ne pas utiliser Viber tant que la brèche n’est pas colmatée.
L’application de messagerie instantanée transmettrait différentes données (vidéos, images, stickers, éléments de localisation GPS) entre les terminaux et les serveurs d’Amazon Web Services sans dispositif de chiffrement. A l’aide d’une fausse borne Wi-Fi et de différents outils d’administration réseau, les chercheurs seraient ainsi parvenus à mener une attaque de type « man-in-the-middle* » et intercepter des données non chiffrées.
Une vidéo sur YouTube décortique le type d’attaque possible en exploitant le défaut de sécurité.
Ces chercheurs recommandent de créer un tunnel chiffré capable de protéger les données transmises sur l’ensemble de la chaîne de diffusion et d’imposer une authentification pour accéder aux données sauvegardées. Ils affirment avoir pris contact avec les équipes de développement de Viber. Mais ils n’ont pas obtenu de réponse pour le moment selon The Register.
Définition sécurité IT : Man-in-the-middle attack ou « l’attaque de l’homme du milieu » |
Il s’agit d’une attaque informatique visant à intercepter un flot de données transitant sur les réseaux entre deux partis. Les pirates ciblent ainsi le canal de communication et non les serveurs ou terminaux des utilisateurs. Pour opérer, le hacker doit d’abord être en mesure « d’écouter » les échanges entre les deux partis, puis d’intercepter les informations. |
Quiz : D’ICQ à Skype : avez-vous suivi l’évolution de la messagerie instantanée ?
Crédit image : ViberMedia