Passer au contenu

Plus de 4 millions de comptes Snapchat exposés, suite à une faille de sécurité

Alerté depuis des mois sur une importante brèche dans leur architecture technique, l’éditeur Snapchat a préféré ne rien faire ou presque. Du coup, des hackers sont passés à l’action.

Le service de messagerie Snapchat est peut-être très sympa – vu l’engouement des adolescents – mais il n’est visiblement pas très sécurisé. Hier, un hacker (ou un groupe de hackers) a publié une base de données de 4,6 millions comptes utilisateurs. Pour chacun d’entre eux, il est indiqué le nom, le pseudo ainsi que le numéro de téléphone. La base a été publiée sur le site www.snapchatdb.info, mais celui-ci a été désactivé depuis.

Interrogé par The Verge, les hackers expliquent avoir agi ainsi pour montrer le faible niveau de sécurité de Snapchat et la surdité exemplaire de la direction technique de l’éditeur. En effet, la constitution de cette base de données s’appuie sur une faille de sécurité connue depuis plusieurs mois. Fin août, le groupe de chercheurs GibsonSec avait averti l’éditeur sur la possibilité de créer une base d’utilisateurs au travers de la fonctionnalité « Find Your Friends ». Celle-ci permet à l’application d’analyser le carnet d’adresses de l’utilisateur et, ainsi, de détecter les amis qui utilisent également Snapchat. Cette opération se fait au travers de l’interface de programmation de l’application, interface qu’il est aisé de détourner de son but premier.

Pas de garde-fou

En effet, en envoyant un numéro de téléphone sur les serveurs de Snapchat, ces derniers renvoient le nom et le pseudo de l’utilisateur, si celui existe. En envoyant un grand nombre de numéros de téléphone à la suite, il est ainsi possible de constituer un annuaire, car le nombre de requêtes n’est pas limité. Un garde-fou qu’il serait pourtant facile d’implémenter.

Comme Snapchat n’a pas réagi à la première mise en garde, GibsonSec a publié, le jour de Noël, les détails techniques sur l’exploitation de cette faille. Le 27 décembre, l’éditeur s’est alors fendu d’une note de blog dans laquelle il explique avoir renforcé la sécurité de son service. Mais visiblement, ce n’était que du flan. Ce qui a dû passablement énerver la communauté des hackers. Certains d’entre eux sont alors passés à l’action pour créer SnapchatDB.info. Ces hackers précisent d’ailleurs ne pas faire partie du groupe GibsonSec, mais simplement avoir utilisé leurs informations pour créer leur propre hack.

Et du côté de Snapchat ? Pour l’instant, c’est silence radio.  

Lire aussi:

Snapchat gagne en popularité chez les adolescents, le 28/11/2013
Snapchat débauche Emily White, la « Madame monétisation » d’Instagram, le 04/12/2013
Loin de Facebook et Google, comment Snapchat compte gagner de l’argent, le 22/11/2013

Sources :

L’article de The Verge
Le full disclosure de GibsonSec
La note de blog de Snapchat

         

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn