Photos volées, Snapchat sifflé

Apps mobilesCloudMobilité
photos-volees-snapchat-siffle

Des pirates ont aspiré des milliers de photos de Snapchat, qui dément un assaut. Où est la faille ?

Snapchat tend à décliner toute responsabilité dans la propagation de photos ou vidéos privées : on parle de 100 000 photos ou vidéos perdues dans les limbes du Web.  Les premiers éléments d’information sur cette affaire de vol massif de données à caractère privée visant la “pépite Internet” californienne remontent à la fin de la semaine dernière.

Dans le cadre de ce “snappening“, il a  été initialement évoqué la possibilité qu’une fourchette de 100 000 et 200 000 membres de Snapchat ait été affectée sur une base de 100 millions d’inscrits dans le monde. Mais, par prudence, il faudrait plutôt retenir l’angle de 100 000 photos ou vidéos éparpillées. Des messages laissés sur des forums Internet underground comme 4chan suggéraient que des fichiers de 13 Go circulaient dans ce sens.

Dans un article en date du 10 octobre, Business Insider expliquait que la base infiltrée de données Snapchat s’est retrouvée hébergée sur Viralpop.com, proposant le téléchargement des fichiers mais aussi des logiciels malveillants…Le service pirate a été coupé depuis.

Snapchat : les messages sont éphémères mais il faut nuancer

Du côté des utilisateurs de Snapchat, c’est la consternation avec la découverte de ce “snappening”. Comment ce type d’incident peut survenir alors que la moitié des membres qui utilisent l’application mobile de messagerie instantanée éphémère ont moins de 17 ans ?

Précisons le concept Snapchat : il est possible de consulter les messages photos et vidéos échangés pendant quelques secondes ou dizaines de secondes. Après une option de “replay” (seconde diffusion éphémère), les éléments disparaissent définitivement pour la consultation.

Cette dimension de “disponibilité flash” a vocation à renforcer la confidentialité des échanges, ce qui expliquerait en partie la migration d’une partie des utilisateurs de Facebook. Les jeunes internautes l’ont adopté pour diffuser des selfies entre amis ou des tranches de vie en faisant des grimaces.

Néanmoins, l’usage assez léger peut s’avérer plus sulfureux avec la tentation de diffuser des photos dénudées. “On peut estimer qu’entre 5 et 10 % des photos et des vidéos concernées ont été envoyées ou reçues par des utilisateurs de Snapchat dans un échange à caractère sexuel”, considère LeMonde.fr.

Quid du stockage des données ? Snapchat a fourni des précisions intéressantes (toujours via Business Insider) : la start-up Internet explique la main sur le cœur que les photos des expéditeurs sont effacées des serveurs après la consultation des destinataires. En revanche, les photos balancées sur l’application mobile ne sont pas détruites pour autant sur le smartphone…

Les applications tierces de Snapchat indésirables

Que s’est-il passé avec ce “snappening” ? Snapchat rejette les critiques sur un éventuel laxisme en termes de sécurité IT et martèle qu’il y a pas eu d’intrusion dans ses serveurs. Mais la start-up argue que des pirates ont exploité des applications tierces pour subtiliser les photos et vidéos.

Ces outils clones se développent à l’ombre de Snapchat en proposant des fonctions additionnelles comme…la sauvegarde des photos. C’est donc par ce biais que des pirates ont pu s’emparer d’une masse d’éléments plus ou moins compromettants qui sont éparpillés sur le Net.

Afin de garder une certaine maîtrise du service communautaire, Snapchat n’autorise pas d’interactions avec des applications tierces.  “C’est une infraction à nos conditions d’usage “, clame la start-up californienne. Malgré l’interdiction édictée au nom de la sécurité IT, des développeurs creusent le filon en concevant des apps alternatives et profiter de la notoriété de Snapchat.

“Nous sommes très vigilant en surveillant les apps officieuses susceptibles d’apparaître sur les places de marché d’applications comme App Store et Google Play. Parfois, nous parvenons à obtenir leur exclusion”, explique un porte-parole de Snapchat au Wall Street Journal.

La cause extérieure du “snappening” se confirme: en début de semaine, Snapsaved.com a reconnu que ses serveurs ont été piratés et que les intrus ont fouillé dans la base de données photos “Snapchat-like”. Pourtant, cette application avait disparu de la circulation depuis quelques mois. Impossible de s’y connecter en l’état actuel.

Snapchat hors de cause mais…

Si la piste de la tierce partie impliquée se confirme, “Snapchat ne pouvait rien faire pour empêcher cela”, estime Mark Kraynak, Directeur Marketing d’Imperva (fournisseur américain de solutions de sécurité des données et des applications dans le data center), contacté par ITespresso.fr.

Un avis nuancé par Chris Wysopal, Directeur des technologies (CTO) de Veracode (qui teste les applications en vue de détecter les failles de sécurité). Interrogé par Reuters, il considère que Snapchat devrait être en mesure de repérer les voies d’accès des utilisateurs de Snapchat et de déterminer par quels canaux alternatifs ils parviennent à s’identifier.

De plus, en termes de sécurité IT, le dispositif de chiffrement pour protéger les photos et les vidéos sur son service demeure “élémentaire” (absence de deux clés de chiffrement pour accéder aux images transmises via Snapchat), selon cet expert en sécurité IT.

Des antécédents dans la sécurité IT

Même si la responsabilité directe de Snapchat est écartée, la CNIL a émis un rappel à l’ordre à destination des internautes français.

En mai dernier, Snapchat avait été mis en cause par la Federal Trade Commission. L’autorité de régulation américaine considérait que la société Internet cachait à ses membres des informations sur la manière dont les données personnelles étaient collectées et exploitées à travers l’application mobile communautaire. Et à l’époque, des lacunes en termes de chiffrement des vidéos stockées sur les terminaux mobiles avaient déjà été pointées du doigt.

Fin 2013, une autre menace avait tourné autour de Snapchat : une campagne de “spam snaps” (des photos-leurres déposées sur l’application mobile) ciblant les utilisateurs. Des faux comptes incitaient à cliquer pour découvrir des photos de belles femmes nues. En fait, la manoeuvre consiste à attirer les membres vers le service mobile de messagerie instantanée Kik Messenger, qui constitue une porte d’entrée pour des botnets spécialisés dans le porno.

———-
Quiz : D’ICQ à Skype : avez-vous suivi l’évolution de la messagerie instantanée ?
———-

 

 

 


Lire la biographie de l´auteur  Masquer la biographie de l´auteur