Snapchat : des applications tierces subtilisent les identifiants et mots de passe des utilisateurs

Mickaël Bazoge | | 21:45 |  11

Utilisateurs de Snapchat, si vous vous servez d'applications tierces qui tirent parti des possibilités du réseau social, il serait sans doute opportun de modifier vos mots de passe. Will Strafach, du Sudo Security Group, a mis au jour une combine permettant à plusieurs de ces logiciels de subtiliser les identifiants, mots de passe et parfois même les localisations de ces utilisateurs. Ces applications n'ont aucune raison de récupérer ces informations (nécessaires pour identifier l'utilisateur à son compte Snapchat), mais il y a pire : elles sont envoyées sur un serveur via des connexions non sécurisées.

Cliquer pour agrandir

Cela signifie qu'un malandrin peut « sniffer » ces données sur un réseau Wi-Fi public, comme dans un café, un hôtel, à l'école… le tout sans faire d'efforts particuliers pour intercepter les informations. Les applications en question sont, d'après les premières recherches de Strafach, Snapix, Quick Upload et SnapBox. Ces deux dernières téléversent les infos sur le même serveur, likepotion.topranksoft.com ; SnapBox récupère également la localisation de l'utilisateur sans raison.

Comment être certain qu'une application qui exploite les fonctions d'un service comme Snapchat n'est pas un aimant à données confidentielles ? Si elle utilise la méthode d'authentification OAuth, où il faut se connecter au travers de Safari ou d'une vue web Safari, on peut avoir une certaine confiance. Sinon, la méfiance est la règle, et généralement, mieux vaut utiliser les applications officielles.

Will Strafach va bientôt proposer à tout un chacun de vérifier la sécurité de la transmission de données des applications mobiles, avec le moteur Verify.ly. Cet outil, qui s'annonce indispensable, ouvrira sous peu.

Source : 9To5 Mac

Catégorie : 
Tags : 

Les derniers dossiers sur iGeneration

11 Commentaires

avatar Alberto8 08/03/2016 - 21:51via iGeneration pour iOS

C'est pour cela que je n'utilise jamais d'applications tierces pour les e-mails ou autre application qui me demande mes mots de passes !

avatar goretexman 08/03/2016 - 23:04via iGeneration pour iOS

@Alberto8 :
OAuth comme l'a écrit MacG

avatar C1rc3@0rc 09/03/2016 - 05:00

Et tu as bien raison!

On est dans la pratique de l'ingénierie sociale la plus simple et basique.

Faut comprendre que dans les reseaux sociaux le produit c'est l'utilisateur. Il est la seule valeur du systeme, la seule source de benefice. Donc la seule chose qui peut s'exploiter et donc se voler sur un reseau social, c'est l'identité de l'utilisateur.
Partant de la, il faut etre ignorant, naïf ou stupide pour utiliser une application tierce pour se connecter a ces reseau sociaux...

Le plus evident aussi c'est que la majorité des utilisateurs utilisent le meme mot de passe pour tous leurs comptes et qu'une fois que l'un est volé il est facile de voler les donnees des autres comptes, ce qui peut aller bien au-dela des reseaux sociaux, voire jusqu'aux site bancaire ou médical...

avatar zzBoibes 08/03/2016 - 21:52via iGeneration pour iOS

C'est surprenant que ce genre de choses ne soient pas checkées à l'étape de validation des Apps quand même.

avatar marenostrum 08/03/2016 - 22:42

ils peuvent pas tout verrouiller. on le fait en connaissance de cause dès qu'on installe un truc. c'est donc notre responsabilité. c'est pas à Apple de s'occuper de tout.

si ton smartphone est professionnel, il faut rien installer dessus. que des apps de ta boite ou du système. c'est pour ça qu'y a des gens (actrices de cinema ou autres), qui utilisent plusieurs mobiles (qu'on les voit dans le photos avec deux ou plus de smartphone dans leur mains). les info top secret, dans un seul. et pour le plaisir un autre smartphone.

avatar mac_adam 09/03/2016 - 02:39

Là on parle d'applications disponibles sur l'App Store. Alors moi aussi ça me surprend beaucoup qu'Apple laisse passer ce genre de truc ! Et je trouverai encore plus bizarre que ces applications ne soient pas bannies, et leurs éditeurs aussi par la même occasion !

avatar mac_adam 09/03/2016 - 02:39

Je ne connais pas les procédures de validation d'Apple. Mais sans aller jusqu'à appliquer toute une batterie de tests de sécurité sur chaque nouvelle application, Apple peut déjà se contenter d'émettre une charte de sécurité, que chaque éditeur s'engage à respecter, sous peine d'être poursuivi en justice ou au minimum banni du Store.

avatar mac_adam 09/03/2016 - 00:46

Faut pas déconner, on parle de l'App Store d'Apple, pas du Play Store de Google.

avatar Domsware 09/03/2016 - 10:01

@zzBoibes

La validation AppStore n'a rien à voir là-dedans car ces applications récupèrent des infos via SnapChat et les transmettent de manière non sécurisée.

avatar Spiroux 08/03/2016 - 22:03via iGeneration pour iOS

Donc Snapchat ne bloque pas ces applications pas sécurisés du tout, mais bloque 6Snap (sur Windows Phone) alors que l'application était sécurisée... Paye ta logique

avatar monsieurg33K 10/03/2016 - 17:11via iGeneration pour iOS

J'utilisais SnapBox avant, j'vais changer mon mdp