Le service de chat Tango piraté par la Syrian Electronic Army

Tango, le service de chat et de messagerie, n'a toujours donné aucun détail sur l'étendue du piratage dont il a été victime il y a 48h. L'entreprise californienne a confirmé ce samedi sur son compte Twitter une intrusion. Le site web principal, sujet de cette action, renvoie vers la page Facebook de Tango.

Tango experienced a cyber intrusion that resulted in unauthorized access to some data. We are working on increasing our security systems.

— Tango (@TangoMe) July 20, 2013

Le service évoque un accès non autorisé à certaines données, mais sans plus d'informations sur leur volume et nature. Ce piratage a été revendiqué par la Syrian Electronic Army - progouvernement Syrien. Le groupe publie plusieurs captures des pages administrateur de Tango sur son compte et dit, dans un autre tweet, avoir réalisé la sauvegarde d'un dossier totalisant 9,9 To. Le site de Tango fonctionnait sur un WordPress d'ancienne version (3.2.1, on en est à la 3.5.2), qui a permis visiblement l'exploitation d'une faille de sécurité. Tango propose des clients sur iOS, Android, Windows Phone et PC et cette entreprise, née en 2009, affirme avoir 130 millions de comptes utilisateurs. A ce stade on ne sait pas exactement quelles informations, sensibles ou non, ont pu être obtenues. La SEA parle de numéros de téléphone, d'email et de contacts des utilisateurs de Tango, et promet de les remettre au gouvernement Syrien.

Sorry @TangoMe, We needed your database too, thank you for it! http://t.co/mSN76b9Jz8 #SEA #SyrianElectronicArmy

— SyrianElectronicArmy (@Official_SEA12) July 19, 2013

William Jacobson sur Legal Insurtection rappelle le précédent fait d'armes de la SEA avec le piratage le 17 juillet de TrueCaller, un service d'annuaire téléphonique universel. Mais TrueCaller, tout en reconnaissant cet accès autorisé, a démenti toute récupération de données utilisateurs, contrairement à ce dont se vantait la SEA. Cette dernière avait réussi en avril à utiliser le compte de l'Associated Press. Pour y publier ensuite un tweet annonçant des explosions à la Maison Blanche et un président américain blessé, causant un bref mouvement de panique à la Bourse.