Mieux vaut tard que jamais, même s'il est peut-être déjà trop tard. Critiqué pour avoir ignoré la mise en garde de Gibson Research Corporation concernant une faille technique, Snapchat a annoncé ce jeudi qu'une nouvelle version de son application mobile allait être publiée afin de la corriger. Mais celle-ci a d'ores et déjà été exploitée, permettant à un attaquant de copier des millions de données.
Il faut dire que cette fois, c'est du sérieux. En effet, un internaute (à supposer qu'il ait agi seul) est parvenu à utiliser cette vulnérabilité pour copier les informations (pseudonyme et numéro de téléphone) de 4,6 millions d'usagers inscrits sur Snapchat. Au lieu de prévenir la startup, l'auteur de l'attaque a tout simplement mis en ligne toutes les données en sa possession.
Un site, SnapchatDB, a donc été créé pour l'occasion. Une précision, toutefois : les informations n'ont pas été publiées de façon brute. Les deux derniers chiffres du numéro de téléphone et la fin des pseudonymes sont masqués, manifestement pour préserver la confidentialité des utilisateurs du réseau social, célèbre pour son principe de partage éphémère de contenus.
L'auteur de SnapchatDB, qui a contacté Techcrunch, a voulu donner une leçon à Snapchat et par la même occasion rappeler aux autres startups que la sécurité n'est pas une fonctionnalité que l'on peut développer plus tard : c'est un processus qui doit accompagner l'application tout au long de son existence, et évoluer en fonction du la vie du programme et des menaces qui pèsent sur lui.
"Il est compréhensible que les startups high tech disposent de ressources limitées, mais la sécurité et la vie privée ne devraient pas être un objectif secondaire. Les questions de sécurité sont aussi importantes que celles liées à l'expérience d'utilisation", dit-il. En tout cas, le coup de pression de Snapchat a fonctionné. Si la startup n'avait pas réagi, l'auteur a assuré qu'il publierait tout sans floutage.
Quand la nouvelle version de Snapchat sera-t-elle disponible ?
La startup n'a pas encore communiqué là-dessus. En revanche, elle a rappelé l'existence d'un courrier électronique dédié à la sécurité sur Snapchat. C'est par ce canal-là que les chercheurs en sécurité informatique et n'importe quelle personne confrontée à une vulnérabilité doivent passer. Nul doute que Snapchat consultera plus souvent sa boîte aux lettres suite à cet épisode. Et répondra.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !