Le service de Snapchat souffre de sérieuses vulnérabilités, connues de ses développeurs depuis quatre mois, mais toujours pas corrigées. Gibson Security, qui les a découvertes en août dernier, vient d'en révéler tous les détails, accusant Snapchat d'immobilisme alors qu'il l'en a informé à l'époque.
Le groupe australien explique avoir réussi à reproduire une API privée de Snapchat qui peut être utilisée à l'intérieur de clones de ce logiciel pour iOS et Android. Mais l'intérêt est surtout d'aller piocher des informations personnelles dans la base d'utilisateurs de Snapchat.
Snapchat n'est pas un obscur service d'échange de photos, messages et vidéos, il a décliné le mois dernier une offre d'achat de Facebook pour un montant de 3 milliards de dollars… À l'époque on parlait de 350 millions de messages échangés quotidiennement sur son réseau.
Le code publié par Gibson Security peut être utilisé pour trouver des correspondances entre une liste de numéros de téléphone générés automatiquement et les numéros des utilisateurs enregistrés. Si une correspondance est trouvée dans la base d'utilisateurs de Snapchat, les pseudos et les véritables noms des utilisateurs qui y sont associés peuvent être extraits. De quoi se constituer un fichier à moindres frais, aux dépens des quelque 8 millions d'utilisateurs du service. Gibson Security a réalisé un test et en a déduit qu'il ne faudrait guère que 20h et quelques dizaines de dollars en temps serveur pour scanner toute la base de Snapchat.
Et peu importe que les comptes utilisateurs soient marqués comme privés, ils sont tout autant exposés à cette faille. Une seconde permet de créer des comptes Snapchat en grande quantité. Cette deuxième vulnérabilité pourrait être corrigée avec une dizaine de lignes de code, raille Gibson Security qui a lâché son code pile le 24 décembre, exaspéré de voir Snapchat faire comme si de rien n'était depuis quatre mois.
Sur le même sujet : - Snapchat ajoute des filtres et du Replay
