C’est via Twitter que l’information me fut apportée. Snapchat, que nous avions évoqué dans le précédent billet, a laissé filer les références de plus de quatre millions de comptes (dont une partie des numéros de téléphone qui leur sont liés) alors qu’une faille de l’application avait été signalée depuis plusieurs mois.

La question fait l’objet d’un article détaillé sur le site 01.net. En revanche, si l’on se rend sur le site de Snapchat, il faut avoir l’idée de cliquer sur le lien conduisant à son blog et lire le billet du 27 décembre 2013. De surcroît, il conviendra que le lecteur maîtrise suffisamment l’anglais pour décoder la chose:

Finding Friends with Phone Numbers

Occasionally computer security professionals and other helpful people reach out to us about potential bugs and vulnerabilities in Snapchat. We are grateful for the assistance of professionals who practice responsible disclosure and we’ve generally worked well with those who have contacted us.
This week, on Christmas Eve, a security group posted documentation for our private API. This documentation included an allegation regarding a possible attack by which one could compile a database of Snapchat usernames and phone numbers.
Our Find Friends feature allows users to upload their address book contacts to Snapchat so that we can display the accounts of Snapchatters who match the phone numbers found in the address book. Adding a phone number to your Snapchat account is optional, but it’s helpful for allowing your friends to find you. We don’t display the phone numbers to other users and we don’t support the ability to look up phone numbers based on someone’s username.
Theoretically, if someone were able to upload a huge set of phone numbers, like every number in an area code, or every possible number in the U.S., they could create a database of the results and match usernames to phone numbers that way. Over the past year we’ve implemented various safeguards to make it more difficult to do. We recently added additional counter-measures and continue to make improvements to combat spam and abuse.
Happy Snapping!

Aux autres, il restera la ressource d’une traduction sommaire instantanée. Faisons donc comme si… (en mettant quelques passages en gras.

Trouver des amis avec des numéros de téléphone

Parfois professionnels de la sécurité informatique et les autres personnes utiles atteignent à nous sur les bogues éventuels et les vulnérabilités dans Snapchat . Nous sommes reconnaissants de l’aide de professionnels qui pratiquent une divulgation responsable et nous avons généralement bien travaillé avec ceux qui nous ont contactés.
Cette semaine , la veille de Noël , un groupe de sécurité affiché documentation de l’API privée . Cette documentation comprenait une allégation relative à une éventuelle attaque par lequel on peut compiler une base de données de noms d’utilisateurs Snapchat et numéros de téléphone .
Notre fonction Trouver des amis permet aux utilisateurs de télécharger leurs contacts du carnet d’adresses à Snapchat afin que nous puissions voir les comptes de Snapchatters qui correspondent aux numéros de téléphone trouvés dans le carnet d’adresses . Ajout d’un numéro de téléphone à votre compte Snapchat est facultatif , mais il est utile pour permettre à vos amis de vous trouver. Nous n’affichons pas les numéros de téléphone à d’autres utilisateurs et nous ne soutenons pas la capacité de rechercher des numéros de téléphone basé sur le nom d’utilisateur de quelqu’un.
Théoriquement , si quelqu’un en mesure de télécharger un vaste ensemble de numéros de téléphone , comme chaque numéro un code de zone , ou tout nombre possible aux États-Unis , ils pourraient créer une base de données des résultats et correspondent à des noms d’utilisateurs de numéros de téléphone de cette façon. Au cours de la dernière année, nous avons mis en place diverses mesures de protection pour le rendre plus difficile à faire. Nous avons récemment ajouté des contre-mesures supplémentaires et de continuer à apporter des améliorations à lutter contre le spam et les abus .
Bonne serpentine !

Ça donne une idée du message… aussi rassurant qu’imprécis: il y a eu un problème, mais on s’occupe de tout; faites-nous confiance et continuez à faire mumuse sans souci. Et pourtant!

N’imaginez pas un instant que les fournisseurs de ces services qu’on qualifie à l’américaine de  «populaires» aient le souci premier de votre vie privée, nous l’avons dit et redit. Mais il apparaît régulièrement que des failles de sécurité frappent les réseaux sociaux. Rien d’étonnant: c’est l’éternelle lutte du canon et de la cuirasse. Ce qui importe, c’est de savoir quels sont les réseaux qui attachent — ou pas — une attention minimale (hors tout débat sur les transferts autorisés) à la sécurité des données qu’ils ont en dépôt.

Dans le cas de Snapchat, le constat est malheureusement celui d’une attitude peu professionnelle, l’alerte initiale ayant été donnée confidentiellement plusieurs mois avant. Sans réaction.

Advertisements