Le fond de commerce de l'application Secret [8 – US – Gratuit – iOS 7 - Secret, Inc.], qui permet d'échanger grands et petits secrets, est menacé. Le logiciel est censé garantir à ses utilisateurs l'anonymat le plus total, une condition sine qua non pour pouvoir soulager sa conscience. Or, une brèche dans le contrat de confiance entre Secret et ses adeptes est apparue. Ben Caudill et Bryan Seely, deux chercheurs en sécurité et fondateurs de la société Rhino Security, ont trouvé un moyen pour connaitre à coup sûr les secrets d'un utilisateur donné.
Lorsque l'on installe Secret pour la première fois, l'app n'affiche aucun des secrets circulant dans son cercle social, jusqu'à ce qu'on l'autorise à accéder au carnet d'adresses de l'iPhone (ou son profil Facebook). Il ne suffit pas à l'application d'analyser les adresses mail et les numéros de téléphone des contacts : encore faut-il avoir sept de ses amis présents dans Secret avant de pouvoir consulter leurs révélations (il est possible d'inviter — anonymement toujours — des contacts à utiliser l'application). Mais l'utilisateur ne sait jamais ceux de ses amis qui postent tel ou tel secret — si l'on a 500 personnes dans son carnet d'adresses, et que 30 d'entre eux utilisent Secret de manière anonyme, un message posté dans l'app peut provenir de n'importe laquelle de ces 500 connaissances.
Caudill et Seely ont trouvé la faille : elle passe par le carnet d'adresses. Les deux chercheurs ont créé 50 comptes bidon (Secret ne vérifiait à l'époque ni l'adresse e-mail d'un nouvel utilisateur, ni son numéro de téléphone); il n'en faut cependant que sept pour tromper Secret. Après avoir effacé leur carnet d'adresses pour les remplacer par ces sept faux utilisateurs, les deux hackers ont simplement créé une huitième fiche avec l'adresse e-mail de leur victime.
Une fois le nouveau compte créé sur Secret, l'app synchronise les huit contacts : les sept bots plus l'adresse e-mail de la personne à piéger. Étant donné que les bots ne postent jamais, tous les messages mis en ligne par un « ami » proviennent du seul humain possible. Caudill et Seely ont fait la démonstration de la faille avec le CEO de Secret, dont l'adresse e-mail est librement disponible : ils ont pu lui montrer tous ses secrets.
La faille est astucieuse mais elle ne peut servir que dans un seul cadre : connaître les secrets de quelqu'un en particulier. Il est impossible de démarrer d'un secret et de démasquer la personne qui se cache derrière l'anonymat de l'application.
Les deux hackers étant coiffés de leur white hat, ils ont prévenu Secret de leur découverte avant de la rendre publique. L'éditeur a heureusement apporté les correctifs nécessaires pour boucher cette faille. Ce dernier a lancé en février un programme de « chasse aux failles » ouvert à tous : depuis, 42 vulnérabilités ont été bouchées. D'ailleurs, aucune divulgation publique d'utilisateur de Secret n'est à déplorer. Mais l'anonymat total n'existe pas, sur Secret comme ailleurs.
Source : Wired
