C’est peut-être le piratage le plus rapide de l’Histoire. Ce jeudi 16 avril, l’Union européenne a présenté son application de vérification d’âge. Elle s’inscrit dans le projet d’interdiction de l’accès aux réseaux sociaux pour les moins de 15 ans.
D’après Ursula von der Leyen, la présidente de la Commission européenne, l’application « coche toutes les cases » en proposant « les normes de confidentialité les plus élevées au monde », en étant « entièrement open source », en « fonctionnant sur n’importe quel appareil » et en étant « facile à utiliser ».
Problème, seulement quelques heures après la mise en ligne sur GitHub, un internaute a pu mettre à mal l’application en pointant du doigt de sérieux problèmes de sécurité.
Des erreurs d’amateur
C’est Paul Moore qui se présente comme consultant en sécurité, qui en fait la démonstration sur Twitter. Il explique avoir pu pirater le fonctionnement de l’application en moins de deux minutes.
En fait, l’application de l’Union européenne demande à l’utilisateur de créer un code PIN de déverrouillage lors de la première configuration.
Cependant, il est possible en supprimant les valeurs dans un fichier du téléphone de forcer la réinitialisation du code PIN. Le malfaiteur peut alors accéder à toutes les données stockées dans l’application, et notamment les données d’identité. Il peut également passer la fameuse vérification d’âge sur les sites Internet.
L’application propose aussi un déverrouillage par biométrie, en utilisant le lecteur d’empreinte du smartphone. Mais là encore, une simple modification du fichier de configuration en plaçant « UseBiometricAuth » sur false, permet de faire sauter cette vérification.
Un projet encore à ce stade
Heureusement, si la communication de l’Union européenne a commencé autour de la sortie de cette application, elle n’est pas encore proposée sur l’App Store et le Google Play Store.
Sa diffusion se limite seulement pour le moment à GitHub, et les problèmes exposés pourraient rapidement être corrigés.
Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.