Snapchat promet des correctifs de sécurité

Florian Innocente |

Snapchat a réagi une deuxième fois suite aux révélations sur les failles de sécurité de son service qui ont permis de collecter les identifiants, les numéros de téléphone et parfois aussi les noms de millions d'utilisateurs. Pas franchement d'excuses de la part de Snapchat qui avait déjà eu tendance à relativiser les conséquences de cette découverte, réalisée en août par les Australiens de Gibson Security.

De nouvelles versions des applications mobiles vont être proposées. Elles donneront la possibilité de ne plus apparaître dans les résultats de recherche sur les utilisateurs inscrits. Snapchat va aussi restreindre la fréquence à laquelle ses serveurs pourront être interrogés, une manière de freiner les risques d'extraction massive de ses bases.

Lors de l'inscription à Snapchat, le numéro de téléphone de l'utilisateur est demandé. Puis l'on peut, par la même occasion, importer son carnet d'adresses pour faciliter ensuite la recherche dans Snapchat de ses connaissances et leur envoyer des messages.

C'est en passant par cette fonction de recherche et en exploitant ses faiblesses qu'un groupe de hackers a pu collecter les données de 4,6 millions d'utilisateurs. Il s'est appuyé en bonne partie sur une API mise à nue par Gibson Security. Ces données ont été mises en ligne, avec des numéros de téléphone partiellement tronqués, pour attester de la porosité de Snapchat (lire Snapchat : les données de 4,6 millions d'utilisateurs à l'air libre).

La réaction de Snapchat a laissé sur sa faim Gibson Security qui avait alerté en privé depuis quatre mois des problèmes découverts, avant de les détailler publiquement la veille de Noël. L'équipe australienne émet quelques interrogations sur l'efficacité des mesures déployées et sur la correction effective des failles. Elle regrette également de ne pas avoir été contactée par Snapchat après ses révélations publiques le 24 décembre, ce qui aurait peut-être empêché la publication de cette base de données. Si l'on est curieux de savoir si son nom figure dans la base de données constituée, Gibson Security a mis en place une page de recherche.


Tags
avatar Ipadhenry97 | 

@CastorJR :
Trop marrant... Castor.

avatar Abudah237 | 
L'attitude de Gibson Security me semble très limite. On peut d'ailleurs de demander si ces sociétés de conseil et d'analyse de sécurité ne sont pas régulièrement payées par des concurrents qui ont envie de faire tomber une société. Enfin moi je ne me le demande même plus.
avatar eliss | 
@Mithrandir : je ne suis pas d'accord avec toi. Si Gibson Security disent vrai quant à avoir averti SnapChat en Août, c'est SnapChat qui est en tort. Une société avec autant de valeur et de moyens économiques ne peut se permettre de laisser des failles connues trainer pendant de longs mois (dont une qui est particulièrement simple à corriger). Publier les failles, c'est une façon de mettre la pression sur SnapChat pour qu'ils corrigent au plus vite ces failles, et qu'à l'avenir ils prennent en compte les découverts de failles. C'est une pratique courante dans le monde informatique, et SnapChat l'a visiblement bien cherché.
avatar Abudah237 | 
@platj21 Google et Facebook voulaient les acheter pour des sommes délirantes, ils ont refusé. Ils seront plus sympas et se vendront moins cher dans peu de temps.

CONNEXION UTILISATEUR