Un expert en sécurité a réussi très simplement à récolter les trajets de 35 000 utilisateurs de Citymapper et a même pu découvrir où certains d’entre eux vivaient. La faille de sécurité provient des URL générées automatiquement par l’application, manquant cruellement de complexité.

Citymapper est pointé du doigt pour une faille de sécurité un peu trop simple à exploiter. Rappelons qu’il s’agit d’une application de voyage très utilisée à travers le monde. Disponible dans un bon nombre de grandes villes — de Paris à Tokyo en passant par Bruxelles et New York —, le service permet de trouver le trajet le plus rapide en transport en commun. Par ailleurs, on peut partager son parcours avec ses contacts pour qu’ils puissent suivre nos déplacements en temps réel.

Pour partager son trajet avec une personne, celle-ci n’a pas besoin de télécharger Citymapper. L’application génère en effet automatiquement une URL. Et c’est précisément là que le bât blesse, comme le révèle Daniel Faram, expert en sécurité informatique.

Trop facile

Ce dernier s’est rendu compte que les URL générées étaient toujours construites de la même manière. Après le bloc, «https://citymapper.com/trip/ », il a remarqué qu’il y a toujours un T majuscule suivi de 6 caractères (des lettres minuscules et des chiffres).

Contrairement à la majorité des programmes générant automatiquement des liens, celui de Citymapper se contentait toujours du même schéma ultra simple (aucun caractère spécial n’est utilisé). Daniel Faram indique ainsi que cela réduit considérablement le nombre de combinaisons possibles.

Des données loin d’être inoffensives

Avec un script Python, il a pu dénicher 35 000 URL valides en quelques heures seulement. À partir de celles-ci, il a pu trouver 1 706 noms d’utilisateurs, 3 623 lieux tagués en tant que « Maison » et 1 009 emplacements tagués comme des lieux de travail. Autrement dit, il devient extrêmement facile de tracer une personne utilisant Citymapper et de deviner ses trajets quotidiens, ses habitudes, ses adresses préférées…

Ici, on peut voir le trajet d’un utilisateur dont Daniel Faram a pu découvrir l’identité.

Il n’en faut pas plus à une personne mal intentionnée avant d’approcher sa cible. Daniel Faram a contacté Citymapper qui s’est empressé de complexifier ses URL générées automatiquement.

Cette histoire n’est pas sans rappeler l’affaire qui a touché l’application Strava où les parcours de certains utilisateurs ont malencontreusement révélé l’emplacement de bases militaires censées restées discrètes.

À lire sur FrAndroid : L’application fitness Strava révèle les positions de bases militaires secrètes