Déjà accusée de collecter copieusement les données de ses utilisateurs il y a plusieurs mois, le réseau Sarahah, popularisé par les adolescents arabophones, serait victime de graves failles de sécurité selon des chercheurs en sécurité informatique anglais.

Sarahah a été une des applications à connaître un succès fulgurant en 2017. Inventée et popularisée en Arabie Saoudite, cette messagerie anonyme qui servirait à connaître ce que pensent de nous nos proches s’est répandue à travers l’Occident. Elle compterait des millions d’utilisateurs à travers le globe, principalement de jeunes gens. En août, elle était accusée de collecter des données de ses utilisateurs mobiles à leur insu. Son fondateur s’était alors excusé, remettant la responsabilité sur « un bug ».

Failles et vulnérabilités

Aujourd’hui, la messagerie est de nouveau dénoncée par des chercheurs : selon Scott Helme, la version web de Sarahah serait très vulnérable. Selon cet expert anglais, la page en ligne de la messagerie serait sujette à des failles qui permettent des attaques CSRF –Cross-Site Request Forgery.

Ce type d’attaque consiste, pour l’assaillant, à utiliser l’accès d’un utilisateur authentifié pour certaines actions, afin de mener des attaques ultérieurement en s’octroyant l’identité d’un utilisateur. Helme considère que la version web de Sarahah serait très facile à tromper grâce à ce type de manipulation.

La version web de Sarahah, capture d'écran de Scott Helme

La version web de Sarahah, capture d’écran de Scott Helme

Ce n’est pas la seule faille recensée par l’Anglais qui rappelle qu’un homologue, Rony Das de la firme indienne Defencely, avait également découvert une faille permettant le Cross-site Scripting (XSS), une technique visant à ajouter des contenus à une page internet. Un assaillant peut ainsi ajouter différents scripts à l’insu des administrateurs et utilisateurs, pouvant conduire à d’autres attaques.

Scott Helme compte également un autre problème de sécurité sur cette page web : selon lui, les en-têtes de message HTTP (http headers) empêcheraient le protocole HSTS qui permet d’établir une connexion par exemple chiffrée (HTTPS).

Sarahah, première du classement français d'Apple en août dernier

Sarahah, première du classement français d’Apple en août dernier

Au-delà des problèmes de sécurité, l’Anglais pose de nombreuses questions quant au fonctionnement du site. Alors que ce dernier a mauvaise presse auprès de certains à cause du cyberharcèlement qu’il permettrait, Helme estime que la messagerie manque de professionnalisme pour traiter ce sujet. Remarquant qu’il est impossible de supprimer un message, qu’il n’existe pas de limite d’envoi, le chercheur estime que les précautions de l’application sont insuffisantes face au risque de harcèlement.

Le chercheur anglais, avant de publier l’ensemble de ces découvertes, a contacté a plusieurs reprises l’équipe de Sarahah. Du 8 août à ce lundi 23 octobre, Sarahah a largement ignoré les messages du chercheur, le conduisant à publier son billet de blog sur les différentes failles qu’il identifie. Helme conclu : « En sachant ce que j’ai trouvé, et la manière dont on m’a répondu, je n’utiliserais vraiment pas ce service moi-même. »

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !