En attendant qu'Apple renforce les fonctions de contrôle parental dans iOS (ce qui devrait être fait dans une prochaine version du système), ce marché prolifère sans présenter forcément toutes les garanties de confidentialité et de sécurité indispensables. Il en va ainsi du service TeenSafe, qui a stocké en clair les identifiants et mots de passe de milliers d'adolescents sur des serveurs en libre accès.
TeenSafe permet aux parents de suivre leurs ados à la trace : localisation, historique web et journal des appels, conversations (SMS comme Messages) et les apps téléchargées leur sont accessibles, qu'ils utilisent un iPhone ou un smartphone Android. À la base, ce genre de service pose déjà la question du respect de la vie privée des personnes surveillées par rapport à leur maturité.
Mais surtout, TeenSafe a laissé deux de ses serveurs — hébergés dans le nuage d'Amazon — sans protection. ZDNet a obtenu la confirmation du problème, et l'entreprise a fermé les serveurs en question (dont un qui servait uniquement pour des tests). Les bases de données ouvertes aux quatre vents contenaient les adresses e-mail des parents, celles des identifiants Apple des ados, le nom des appareils et leur identifiant unique, ainsi que les mots de passe de ces comptes. Le tout stocké en clair, alors que le service assure chiffrer toutes ces données…
Ce sont 10 200 enregistrements (avec des doublons) sur les trois derniers mois qui ont pu se retrouver entre de mauvaises mains. Pire encore, TeenSafe demande de désactiver l'authentification à deux facteurs, une procédure indispensable pour que le service puisse trouver l'appareil à surveiller. De fait, un malandrin en possession des informations de connexion peut accéder à un compte sans que l'utilisateur en soit informé ni qu'il puisse refuser la connexion.
TeenSafe, qui annonce plus d'un million de clients, va continuer à enquêter sur ce problème inquiétant.