La surveillance parentale de TeenSafe prise en défaut de sécurité

Mickaël Bazoge |

En attendant qu'Apple renforce les fonctions de contrôle parental dans iOS (ce qui devrait être fait dans une prochaine version du système), ce marché prolifère sans présenter forcément toutes les garanties de confidentialité et de sécurité indispensables. Il en va ainsi du service TeenSafe, qui a stocké en clair les identifiants et mots de passe de milliers d'adolescents sur des serveurs en libre accès.

TeenSafe permet aux parents de suivre leurs ados à la trace : localisation, historique web et journal des appels, conversations (SMS comme Messages) et les apps téléchargées leur sont accessibles, qu'ils utilisent un iPhone ou un smartphone Android. À la base, ce genre de service pose déjà la question du respect de la vie privée des personnes surveillées par rapport à leur maturité.

Mais surtout, TeenSafe a laissé deux de ses serveurs — hébergés dans le nuage d'Amazon — sans protection. ZDNet a obtenu la confirmation du problème, et l'entreprise a fermé les serveurs en question (dont un qui servait uniquement pour des tests). Les bases de données ouvertes aux quatre vents contenaient les adresses e-mail des parents, celles des identifiants Apple des ados, le nom des appareils et leur identifiant unique, ainsi que les mots de passe de ces comptes. Le tout stocké en clair, alors que le service assure chiffrer toutes ces données…

Ce sont 10 200 enregistrements (avec des doublons) sur les trois derniers mois qui ont pu se retrouver entre de mauvaises mains. Pire encore, TeenSafe demande de désactiver l'authentification à deux facteurs, une procédure indispensable pour que le service puisse trouver l'appareil à surveiller. De fait, un malandrin en possession des informations de connexion peut accéder à un compte sans que l'utilisateur en soit informé ni qu'il puisse refuser la connexion.

TeenSafe, qui annonce plus d'un million de clients, va continuer à enquêter sur ce problème inquiétant.

Tags
#sécurité #TeenSafe
avatar marc_os | 

« TeenSafe, qui annonce plus d'un million de clients, va continuer à enquêter sur ce problème inquiétant »

La police ne devrait-elle pas enquêter elle aussi ?
Car il semble qu'il y ait eu pour le moins négligence et que certaines personnes chez TeenSafe aient pris les choses plutôt à la légère.

avatar C1rc3@0rc | 

@marc_os

«Car il semble qu'il y ait eu pour le moins négligence et que certaines personnes chez TeenSafe aient pris les choses plutôt à la légère.»

A ce niveau c'est pas de la negligence c'est une faute grave de conception et une tromperie sur le produit.

Les clients ont interet a s'inscrire dans une class action, car de toute evidence il y a eu un ensemble de pratiques qui sont condamnables dans un cadre aggravé par la nature du service.

AUjourd'hui qu'un service cloud stocke les mots de passe et identifiant de maniére non séparée et surtout enregistre le mot de passe (alors qu'il faut enregistrer une empreinte et pas le mot de passe, meme chiffré) devrait etre un delit exposant a une condamnation systematique. De meme, il devrait etre illégal de stocker un e-mail comme données d'identification...

On peut comprendre que les parents installent un systeme de surveillance sur les iPhone de leurs gamins, c'est legitime et legal.
Mais qu'un systeme comme celui dont il est question puisse acceder a autant de choses (toutes les donnees y passent, SMS, Wifi, BT, mail, localisation...) et avec un niveau de sécurité aussi nul pose des questions sur la sécurité effective des appareils et OS.

Ce type d'application montre bien qu'il y a un vrai probleme de securité dans les appareils mais aussi un deficit chez les fabricants car ces fonctions de surveillances relevent du niveau des services de l'OS et ne devrainent jamais etre laissé a des tiers...

avatar simnico971 | 

Entre les parents qui espionnent les déplacements et les conversations privées de leurs ados et l'entreprise qui vend ce service tout en stockant toutes ces données en clair, je ne sais pas ce qui me fait le plus gerber.

avatar ValentBay | 

@simnico971

Encore une fois, cela me rappelle un des épisodes de la dernière saison de Black Mirror. C’est vraiment terrifiant ce genre d’usage des technologies actuelles ...

avatar Bigdidou | 

@simnico971

"je ne sais pas ce qui me fait le plus gerber."
Les deux. C'est indissociable.

avatar C1rc3@0rc | 

@simnico971

«les parents qui espionnent les déplacements et les conversations privées de leurs ados»

Il ne s'agit pas d'espionage mais de droit et de responsabilité légale.
Un mineur est sous tutelle de ses parents. Le mineur a donc des droits restreints et une responsabilité civile limitée, le tuteur étant légalement responsable a sa place.

Le contrôle et la surveillance des actes du mineur sont donc de la responsabilité du parent. Il est donc legal et normal que le parent mette tout en oeuvre pour exercer sa responsabilité. Apres, il y a aussi un devoir d'information.

La ou se pose le probleme c'est au niveau de l'editeur de l'OS. On voit clairement qu'une solution tiers a acces a l'integralité des données du smartphone ce qui demontre la non securitsation des appareils.

avatar simnico971 | 

@C1rc3@0rc

Il y a 40 ans vous auriez trouvé normal que des parents engagent un détective privé pour suivre leurs ados qui sortaient avec des amis ? Parce que c'est bien de ça dont il s'agit, et à un niveau encore plus insidieux.

avatar Billytyper2 | 

@C1rc3@0rc

Pas d’espionnage …?
Responsabilité des parents …
Personne ne devrait subir ce genre de chose de la part de ses parents…
Ceux qui gouvernent, le font aussi, c’est déjà de trop…

avatar Bigdidou | 

@C1rc3@0rc

"Un mineur est sous tutelle de ses parents. Le mineur a donc des droits restreints et une responsabilité civile limitée, le tuteur étant légalement responsable a sa place"

Allons, allons.
Les parents sont civilement responsables.
Responsabilité civile pour laquelle ils ont tous au moins une assurance (demandée par l'école et/ou pour toute activité extra-scolaire), si ce n'est plus. L'assureur ne peut refuser aucune prise en charge, même lorsque les blessures ou les dégâts ont été causés volontairement par l'enfant. Ces assurances sont très peu couteuses, ce qui rend probablement compte d'une faible sinistrabilité, au passage.
Prendre cet aspect là des choses pour justifier une intrusion inacceptable sur le plan éthique en France en 2018, contreproductive sur le plan éducatif et probablement à l'extrême limite de la légalité est grotesque, complètement hors de toute réalité concrète.

"Le contrôle et la surveillance des actes du mineur sont donc de la responsabilité du parent. Il est donc legal et normal que le parent mette tout en oeuvre pour exercer sa responsabilité. Apres, il y a aussi un devoir d'information."

C'est une négation complète de l'enfant en tant que personne et le ramener au rang d'objet ou, au mieux, d'animal de compagnie.
Effrayant.
D'une stupidité monstrueuse sur le plan éducatif.
Tu me mets sur le cul, là.
Une piste pour toi : une petite caméra de surveillance bien cachée au bout du lit, histoire de compter ses branlettes. On sait pas, en cas de responsabilité s'il se tord un truc.

CONNEXION UTILISATEUR