Depuis quelques mois, je me suis mis à Snapchat, une application iOS / Android qui permet d’envoyer des photos et des vidéos à ses contacts et qui autorise uniquement une diffusion de quelques secondes. Ce délai écoulé, plus moyen (sans bidouiller) de récupérer ou de revoir la photo reçue.
Je l’utilise un peu comme des SMS pour dire un truc en vidéo au frangin ou envoyer une connerie à mon pote Paingout (non, pas ma bite ^^). Rien de confidentiel et uniquement pour se marrer.
Seulement, des chercheurs de la société Gibson Security ont trouvé une importante faille de sécurité dans Snapshat qui permet à partir de numéros de téléphone (générés à la suite) de récupérer les infos personnelles des utilisateurs du service comme leur nom complet ou leur pseudo.
Snapchat n’a pas levé le petit doigt pour corriger le problème, ce qui a poussé les chercheurs à expliquer leur méthode publiquement quelques semaines plus tard. Et ce qui devait arriver arriva.
LEAK !
Mis en ligne sur un site baptisé SnapchatDB.info (site malheureusement suspendu depuis quelques heures, mais un miroir est ici), une base SQL (dispo aussi en CSV) contenant 4,6 millions de comptes utilisateurs heureusement anonymisés en partie. Seuls le pseudo et le numéro de téléphone (censuré sur les 2 derniers chiffres) sont dispos.
J’ai regardé via ce site si mes infos étaient dedans, mais heureusement, le « pirate » n’a généré *QUE* des numéros US, récoltant uniquement les pseudos et numéros de nos amis américains. (Par contre, la NSA a dû tout récupérer déjà… ^^)
Cette base pourrait par exemple servir à recréer un service à la TrueCaller qui permet de retrouver les infos (pseudo, emails…etc.) d’une personne à partir de son numéro de téléphone (ou vice versa).
Après avoir refusé avec dédain l’offre de rachat de 3 milliards (oui, milliards) par Facebook, l’année commence mal pour Snapchat qui a clairement fait preuve de négligence. En général, quand on est prévenu par de gentils chercheurs en sécurité, il vaut mieux réagir rapidement plutôt que d’envoyer un communiqué comme ils l’ont fait :
« Théoriquement si quelqu’un était capable de soumettre une grosse quantité de numéros de téléphone par exemple tous les numéros d’une zone géographique ou tous les numéros existant aux États-Unis, , il pourrait se créer une base de données contenant tous les pseudos correspondants aux numéros de téléphone. Mais l’année dernière nous avons intégré plusieurs gardes fous qui rendent tout ceci plus difficile à faire. »
« Plus difficile », mais pas impossible…Bref, un gros fail pour Snapchat et ses utilisateurs.