Les données de 4,6 millions d’utilisateurs de l’application Snapchat ont été divulguées sur Internet, ce mercredi 1er janvier, par un groupe de hackers. Le but : attirer l’attention des utilisateurs sur les failles de l’application en matière de sécurité et de protection des données personnelles. Des failles dont la start-up américaine avait connaissance depuis août 2013.
Avec une croissance fulgurante de son nombre d’utilisateurs et une valeur estimée à plus de 3 milliards de dollars, en seulement deux ans d’existence, l’application pour mobile Snapchat a su conquérir sa place au sein des grands réseaux sociaux. Au détriment de la protection des données personnelles de ses utilisateurs, semble-t-il.
Pour le prouver, un groupe de hackers a piraté, ce mercredi, cette application mobile connue pour le partage de photos et de vidéos éphémères. Pendant plusieurs heures, les identifiants, numéros de téléphone et localisations de 4,6 millions d’utilisateurs ont été dévoilés sur le site SnapchatDB.info, dans un format téléchargeable, avant que le site ne soit suspendu. Et même le numéro du fondateur de l’application, Evan Spiegel, figurait dans la liste.
Mais en masquant les deux derniers chiffres des numéros de téléphone, les hackers ont toutefois adopté une démarche pédagogique en souhaitant attirer l’attention des utilisateurs sur le manque de sécurité mis en place pour protéger leurs informations personnelles. Les hackers ont d’ailleurs expliqué leurs motivations sur le site Techcrunch:
Si ce groupe de hackers s’est attaqué à cette start-up montante, ce n’est pas par hasard. En août 2013, Gibson Security, un groupe d’étudiants spécialisés en sécurité informatique, avait alerté la start-up sur plusieurs bugs dans son API (Applications Programming Interface). Des failles permettant d’accéder aux serveurs et, ainsi, de constituer des bases de données à grande échelle.
Faute de réactions des développeurs, Gibson Security a porté sur la place publique cette carence du groupe. Dans un post publié sur leur site le 25 décembre, le groupe d’étudiants affirmait pouvoir récupérer 10 000 numéros de téléphone en 7 minutes. Le groupe à l’origine du piratage a d’ailleurs admis avoir utilisé la faille mise à jour par Gibson Security.
Sécurité négligée
Reconnaissant sa vulnérabilité, SnapChat rappelait, sur son blog, que la saisie d’un numéro de téléphone dans le compte était optionnelle, et que la fonction Find Friends téléchargeait le carnet d’adresses pour identifier d’autres utilisateurs de l’application.
Snapchat a toutefois souligné que des mesures de sécurité avaient été mises en place ces dernières années pour « rendre plus difficile » la possibilité d’associer les identifiants de leurs utilisateurs à leurs numéros de téléphone. Des mesures qui restent « loin d’être suffisantes » pour le groupe de hackers qui menace de rendre tous les numéros de téléphone visibles faute de solution mise en oeuvre par Snapchat. « La sécurité passe au second plan, et ce ne devrait pas être le cas », a expliqué le groupe de hackers. D’autant plus que ces failles pourraient, selon eux, être résolues en dix lignes de code.
RFI
