Des chercheurs publient des informations sur les failles de sécurité dans Snapchat
L'éditeur les aurait ignorées au préalable

Le , par Stéphane le calme, Chroniqueur Actualités
D'après un groupe australien de hackers nommé Gibson Security (Gibsonsec), les éditeurs de SnapChat, l'application mobile de partage de photos et de vidéos, n'ont pas tenu compte des notifications sur les deux failles découvertes sur leur API. «Ils ont eu quatre mois, si durant ce laps de temps ils n'ont pas pu réécrire dix lignes de code, alors ils devraient virer toute leur équipe de développeurs» estime Gibsonsec.

Agacés par l'absence de réaction, Gibsonsec a décidé cette fois-ci de publier l'intégralité des failles qu'ils ont découvertes en parcourant le code de Snapchat. D'après eux, les usagers du logiciel exposent leurs données personnelles à n'importe qui à cause de cette brèche. Il serait possible de découvrir le nom, le pseudonyme et le numéro de téléphone d'un usager de Snapchat depuis l'API de Snapchat même si le compte est "privé". Un exploit de celles-ci permettrait à une personne malintentionnée d’associer un numéro de téléphone à un nom, un nom d’utilisateur et un niveau de sécurité de compte.

Environ 8 millions d'utilisateurs seraient potentiellement concernés. Il faut dire que la fonctionnalité particulière de Snapchat qui permet à l'émetteur d'une photo de ne la rendre disponible que pendant un laps de temps qu'il aura défini au préalable (même si le destinataire peut désormais le ré-afficher) contribue à la notoriété du logiciel. Outre l'aspect pécuniaire, une telle faille de sécurité permettrait l'escroquerie ciblée ou encore l'usurpation d'identité.

«Nous espérons que Snapchat renforcera ainsi sa sécurité, en quatre mois rien ou presque n'a été corrigé [...]. Snapchat était trop occupé à refuser des offres d'achat ridiculement élevées de la part de Facebook et Google, tout en mentant à ses investisseurs» estime Gibsonsec.

Cette fois-ci, la réponse de SnapChat n'a pas été longue ; l'éditeur indique avoir récemment ajouté des sécurités pour lutter contre le spam et les abus, et continuer régulièrement à le faire.

Source : Snapchat, India.com

et vous ?

Que pensez-vous de l'initiative de Gibsonsec ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 30/12/2013 à 7:57
Bonjour,

Citation Envoyé par Stéphane le calme  Voir le message
Que pensez-vous de l'initiative de Gibsonsec ?

Malheureusement je doute que ce soit légal

Mais bon, l'entreprise a été informée depuis longtemps et si elle ne fait rien, je pense que ses clients sont en droit de le savoir.
Avatar de hannibal.76 hannibal.76 - Membre actif https://www.developpez.com
le 30/12/2013 à 9:18
Que pensez-vous de l'initiative de Gibsonsec ?

Je pense qu'il s'agit d'une bonne initiative white-hat. Malheureusement (et comme d'habitude) les entreprises qui cour après leurs petits billets verts se contre foute des utilisateurs finaux. Le tout est de ce remplir les popoches
Avatar de koyosama koyosama - Membre averti https://www.developpez.com
le 30/12/2013 à 9:47
Ah ça c'est du vécu.
Rien d'étonnant dans tous ça.

Voici une citation que j'ai trouvé sur l'article original.
Why does Snapchat have users' phone numbers in the first place?

L'éthique, ça existe même plus.

J'ose même pas imaginer ce qu'il y a derrière comme code. Mais après voilà, ça été fait il y a 3 ans par des étudiants (donc pas vraiment de professionnalisme, on sait tous comment un étudiant code ... :p). Ils ont connu que le succès plus vite que la maintenance de leur code.
Je ne vois pas trop l'intérêt à comparer à un truc comme-ci c'était Facebook, si je me rappelle bien Facebook aussi avait ces débuts.

Après j’utilise pas SnapChat donc voilà.

Oui, les priorités ne sont pas les même que ce soit pour un éditeur ou pour un utilisateur.
Avatar de arnolem arnolem - Rédacteur https://www.developpez.com
le 31/12/2013 à 11:16
Malheureusement, beaucoup trop d'entreprise préfèrent étouffer les problèmes de sécurité, parfois au détriment d'autres sociétés.

Un exemple flagrant :Prestashop qui supprime la moindre communication liée à un problème de sécurité.

A chaque publication de l'article sur une faille de prestashop, il est aussitôt supprimé .

Avatar de jb_gfx jb_gfx - Membre du Club https://www.developpez.com
le 02/01/2014 à 14:39
Les infos de 4,6 millions d'utilisateurs de SnapChat volées le 1er Janvier :

http://thenextweb.com/insider/2014/0...online/#!q8oxI
Offres d'emploi IT
Responsable transverse - engagement métiers H/F
Safran - Ile de France - Corbeil-Essonnes (91100)
Architecte systèmes études & scientifiques H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Architecte sécurité des systèmes d'information embarqués H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil