L’application d’envoi de messages particulièrement populaire auprès des adolescents Snapchat pourrait jouer les indiscrètes. Une vulnérabilité découverte dans le service laisserait apparaître auprès des indésirables le numéro de téléphone de son propriétaire.

Snapchat

Il y a de l’eau dans le gaz entre Gibson Security et Snapchat, la première firme se chargeant de l’audit du service de messagerie en termes de sécurité depuis plusieurs mois. Et n’étant pas satisfaite de l’écoute accordée par la seconde à ses déclarations : « Etant donné que c’est public depuis quatre mois, depuis notre dernière mise à jour Snapchat, nous avons décidé de rafraîchir notre rapport sur la dernière version, et de voir si les points soulevés ont été réparés (révélation complète : aucun d’entre eux ne l’a été). »

Selon Gibson Security, qui semble peu apprécier de ne pas avoir (encore) été écouté par Snapchat, « de nombreux clients API publics pour Snapchat ont été créés sur GitHub. Heureusement, Snapchat est trop occupé à décliner des offres ridiculement hautes de Facebook et Google, et à mentir à ses investisseurs (…) pour envoyer des demandes de retrait de code illicite à tous les développeurs concernés« . Ce qui signifie que, notamment sur iOS, on peut actuellement trouver des applications permettant de conserver les clichés envoyés via Snapchat, brisant ainsi le principe même de l’application, puisque son essence reste d’autoriser l’envoi de photos éphémères. Et pour l’envoyeur, savoir que ses clichés potentiellement ridicules peuvent être conservés, c’est déjà une trahison de ses attentes envers la messagerie.

Pour les numéros, c’est un peu plus gênant : il se trouve qu’il n’est pas nécessaire de posséder le numéro de téléphone de ses amis pour leur envoyer des snaps. Or une requête dans /ph/find_friends une fois l’utilisateur logué, selon Gibson Security, permettrait d’obtenir le numéro de téléphone de ses contacts. Et d’assurer que pendant l’enquête, le cabinet a pu identifier 10 000 numéros de téléphone en seulement sept minutes, alors même qu’il assure avoir communiqué la faille au service d’Evan Spiegel voilà quatre mois. De quoi encourager les fans de Snapchat à ne pas renseigner, dans le doute, leur numéro privé dans les paramètres de l’application.