Passer au contenu

Clubhouse confirme une faille de sécurité après s’être fait siphonner ses chats audio

Un pirate a réussi à diffuser des discussions de plusieurs rooms de Clubhouse sur son propre site Web.

Clubhouse, l’application iOS accessible sur invitation où règne l’entre-soi de la start-up nation, ferait bien de faire appel à des experts pour sécuriser les conversations qu’elle héberge.
Alors qu’elle se vantait il y a quelques jours d’avoir mis en place des solutions pour empêcher des pirates ou des espions de dérober les données des utilisateurs, un hacker a décidé de mettre l’application devant le fait accompli en lui prouvant le contraire.

Cet utilisateur non identifié a réussi durant le week-end, à siphonner des diffusions audio issues de plusieurs rooms de Clubhouse, pour les diffuser directement sur son propre site Web.
Pour mener à bien son opération, il a tout simplement utilisé la même boîte à outils JavaScript qui a servi à compiler l’application de Clubhouse. 

L’information a été confirmée par une porte-parole de l’application qui a par ailleurs indiqué que Clubhouse avait banni cet utilisateur de manière permanente et que de nouveaux garde-fous avaient été mis en place pour empêcher qu’une telle situation se reproduise.

A découvrir aussi en vidéo :

 

Depuis la sortie de l’application et devant son succès fulgurant, des experts se sont penchés sur la sécurité de l’application. Et le constat est sans appel. La semaine passée, l’Observatoire d’Internet de Stanford (Stanford Internet Observatory) qui s’inquiétait déjà des potentielles failles de sécurité de l’application indiquait que les identifiants des utilisateurs et des Rooms transitaient sur la toile sous leur forme brute, sans qu’aucun chiffrement ne soit prévu.
Il indiquait par ailleurs que les utilisateurs devaient impérativement utiliser l’application en partant du principe que toutes les conversations qui s’y tenaient étaient enregistrées.

L’observatoire a d’ailleurs dévoilé que la partie serveur de Clubhouse était gérée par Agora Inc., une start-up chinoise basée à Shanghai, qui déclare ne stocker que temporairement sur ses serveurs des données audio brutes sans que l’on n’en connaisse la durée. Pour Alex Stamos, le directeur du SIO, « Clubhouse n’est pas en mesure de faire des promesses concernant la confidentialité de conversations qui se tiennent partout dans le monde ».

Source : Bloomberg

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Geoffroy Ondet