Snapchat, beaucoup de trous, avec un peu de passoire autour ?

La grande popularité de Snapchat : chats entre ami·e·s, un logiciel de messagerie instantanée (et temporaire, les données envoyées disparaissent au bout de quelques instants), disponible sur iPhone et Android, censé être installé sur des dizaines de millions d'appareil (et utilisé par 8 millions de personnes en juin dernier), implique quelques effets désagréables, comme celui d'être scruté de près par quelques hackers, qui viennent de révéler publiquement plusieurs failles graves dans le logiciel. Fait aggravant, Snapchat a été prévenu, affirment les hackers, il y a 4 mois, sans ni se manifester, ni corriger les failles mises en avant.

Logiquement, Gibson Security, un groupe australien, publie ses découvertes, sous la forme d'une API Snapchat et du code source de deux exploits permettant de profiter des failles découvertes. Les API Snapchat iOS et Android ont été obtenues par reverse engineering. Les noms, numéros de téléphone et pseudo peuvent être recherchés et découverts via l'API Snapchat iOs et Android, même si les comptes sont privés, indique ZDNet, qui rapporte l'histoire. Avec les deux exploits mis en lumière, et le code associé, il serait également possible de trouver un utilisateur à partir de son numéro de téléphone, ou de son pseudo. La faille est assez béante pour permettre "d'aspirer" 10 000 numéros de téléphones en 7 minutes, note Gibson. Il faudrait environ 20 heures pour pomper toute la base d'utilisateurs de Snapchat estiment-ils.

Le service n'a fait aucun commentaire. Il y a quelques semaines, il déclinait une offre de rachat lancée par Facebook qui offrait 3 milliards de dollars pour acquérir Snapchat. De quoi rendre difficile à comprendre la lenteur de réaction de l'entreprise, d'autant qu'affirment encore Gibson Sec, il faut simplement mettre en place une temporisation pour la rendre quasi inopérante, 10 lignes de codes au maximum assurent-ils.

Source
Snapchat Full Disclosure