Clubhouse est une application logicielle de réseautage social pour appareils mobiles développée par Paul Davison et Rohan Seth qui permet via des chambres privées et sur invitation de converser à plusieurs.Marc Ruef, un chercheur en cybersécurité, a découvert 3,8 milliards d’identifiants en ligne sur le darknet, issus d’un soi-disant piratage de ladite application. Parmi la liste, on retrouve non seulement des mobiles, mais aussi des lignes fixes, qu’il s’agisse d’informations privées ou professionnelles. "La base de données complète des numéros de téléphone de Clubhouse est en vente sur le Darknet. Elle contient 3,8 milliards de numéros de téléphone. Ce ne sont pas seulement des membres, mais aussi des personnes dans les listes de contacts qui ont été synchronisées. Il y a de fortes chances que vous soyez répertorié même si vous n'avez pas de connexion à Clubhouse", indique Ruef.
Mais alors, comment une telle fuite de renseignements personnels a-t-elle pu avoir lieu ? Le hacker responsable de la situation explique :
"Clubhouse est connecté en direct aux contacts de tous ses utilisateurs ce qui signifie que chaque fois que vous ajoutez un numéro de téléphone dans votre carnet d’adresses [celui-ci] est automatiquement ajouté à la base de données “secrète” de Clubhouse".
Le contenu s’accompagne d’une classification complète, catégorisant les numéros en fonction de leur popularité. Ce qu’il faut comprendre, c’est que Clubhouse attribue en fait un score à chacun des numéros récoltés, calculé en fonction du nombre de membres de la plateforme qui le comptent au sein de leur annuaire. Plus le score est haut, plus la personnalité associée au numéro a de chances d’être “importante”. :
"Chaque membre est classé par une note (la note correspond au nombre d'utilisateurs Clubhouse qui ont ce numéro de téléphone particulier dans leurs contacts téléphoniques). Avec cette note, nous sommes en mesure d'évaluer le niveau dans le réseau de chaque numéro de téléphone dans le monde. Nous pouvons faire un classement national et international de chaque humain et organisation”.
En outre, la base de données volée comprend les coordonnées de célébrités telles que Elon Musk ou Mark Zuckerberg, qui ont contribué à rendre l'application populaire en participant de temps à autre aux salons de discussion.
Il semblerait cependant que ces numéros ne soient associés à aucune autre information de contact (nom, prénom, adresse), ce qui a de quoi rassurer dans un premier temps. Lionel Doumeng, expert en cybersécurité chez F-Secure, indique tout de même que ce vol de données est important “car il s'agit d'une plateforme assez utilisée” et que “les numéros de téléphone sont facilement associables à une personne”. Ces numéros permettent par exemple d'envoyer un message direct à une personne, établir un climat de confiance, envoyer un lien facilement, le tout en validant l'identité de la personne grâce aux informations associées à une autre plateforme, telle que WhatsApp.
La vente sera réalisée le 4 septembre 2021 et devrait intéresser de grands groupes criminels. Un échantillon de 80 millions de numéros de téléphone a d'ailleurs été mis à disposition. Une fois les 3,8 millions de numéros vendus au plus offrant, le nombre d'arnaques par téléphone, comme les campagnes de phishing par SMS par exemple, pourrait se multiplier. “Ils pourraient toucher des entreprises, avec du vol de données ou des attaques de ransomware, et puis peut-être revendre ensuite des données à des attaquants pouvant s’en prendre à de plus petites cibles”, a prévenu Lionel Doumeng.
Pas de fuite de données selon Clubhouse
Le scraping avait déjà été évoqué par plusieurs chercheurs en sécurité ayant analysé l’échantillon mis à disposition par l’internaute : les vendeurs du fichier ont ainsi pu générer des numéros de téléphone correspondant à des formats connus, puis exploiter l’API de Clubhouse pour vérifier le numéro, récupérer l’information sur le « score de popularité » associé, agréger le tout et mettre ensuite le fichier en vente.
Parmi les personnes penchant sur cette hypothèse, nous comptons Jane Manchun Wong, chercheuse en sécurité et blogueuse technologique qui a suggéré que cela ressemblait à un simple téléchargement automatisé d'informations publiques. Jane Manchun Wong est une analyste en sécurité qui publie fréquemment des informations de dernière minute sur l'industrie technologique. Elle a été récompensée à quatre reprises par le programme Bug Bounty de Facebook pour avoir découvert des vulnérabilités.
Dans un fil de discussion sur Twitter, Jane a indiqué que la fuite de Clubhouse semble être juste un "scraping" d'informations publiques. Elle décrit l’incident dans un tweet : « Je ne vois aucune information privée dans cette "fuite de données" de Clubhouse. Les identifiants des utilisateurs sont numériques. Il semble donc que quelqu'un ait récupéré les données en utilisant l'API privée de Clubhouse, en itérant de l'identifiant 1 à l'identifiant suivant ».
Jane a fait remarquer que cela n'avait pas la sophistication technique des véritables piratages : « Honnêtement, ce "piratage" n'est pas du tout impressionnant ».
On parle de "Data Scraping" lorsqu'un logiciel est capable de télécharger des informations publiques à partir d'un site Web, comme des informations sur les membres ou même simplement le contenu. C'est comme un navigateur automatisé qui télécharge des informations publiques dans le but de créer des revenus, généralement par le biais de la publicité et parfois en vendant les données des utilisateurs. Dans ce cas, un logiciel appelé "scraper" a pu télécharger des informations publiques sur les utilisateurs, une par une. Ce qui a rendu ce scraping possible, c'est qu'apparemment Clubhouse crée et stocke les informations sur les utilisateurs par ordre numérique.
Chaque fois qu'un utilisateur crée un compte, il se voit attribuer un numéro d'utilisateur qui lui correspond. La personne suivante qui s'inscrit se voit attribuer un numéro supérieur d'un chiffre. Une personne qui souhaite télécharger des informations sur les utilisateurs peut facilement deviner quels sont les numéros des membres et utiliser un scraper pour télécharger les informations publiques. Les numéros de membres étant classés par ordre numérique, le scraper peut simplement rechercher chaque numéro de compte un par un et télécharger les informations publiques sur les membres.
Wong a poursuivi dans son fil de discussion en disant : « Les données d'un profil de Clubhouse, y compris le nom, les poignées de médias sociaux, la photo de profil, le nombre de suiveurs/suivis, et plus encore, ont apparemment été publiées sur Twitter. La source de cette fuite m'a dit que cela se fait en ouvrant l'application Clubhouse, en visualisant le profil de la victime et en faisant une capture d'écran ».
Des utilisateurs de Twitter qui suivaient la discussion de Wong ont tweeté des réponses satiriques indiquant à quel point ils étaient déçus par le soi-disant "piratage" du contenu accessible au public. D'autres se sont demandé en quoi le téléchargement d'informations publiques était un problème.
Les informations n’ont pas été obtenues grâce à une faille de sécurité
Aucune de ces informations n'est privée ou sensible comme les numéros de carte de crédit. Toutes les informations sont accessibles au public. La méthode utilisée pour obtenir les informations semble ne pas avoir été due à une faille de sécurité. Selon Wong, il semble s'agir d'un téléchargement relativement peu sophistiqué d'informations accessibles au public.
Par ailleurs, le PDG de Clubhouse, Paul Davison, a déclaré que le rapport affirmant que des données personnelles d'utilisateurs avaient été divulguées était "faux". « Non, c'est trompeur et faux, c'est un article clickbait, nous n'avons pas été piratés. Les données auxquelles il est fait référence étaient toutes les informations de profil public de notre application. La réponse à cette question est donc un "non" définitif », a déclaré Davison, en réponse à une question posée lors d'une réunion publique. Le compte Twitter de Clubhouse a réitéré cette réponse.
Sources : Marc Ruef, ClubHouse
Envoyé par TotoParis
