Un expert en sécurité a réussi très simplement à récolter les trajets de 35 000 utilisateurs de Citymapper et a même pu découvrir où certains d’entre eux vivaient. La faille de sécurité provient des URL générées automatiquement par l’application, manquant cruellement de complexité.
Citymapper est pointé du doigt pour une faille de sécurité un peu trop simple à exploiter. Rappelons qu’il s’agit d’une application de voyage très utilisée à travers le monde. Disponible dans un bon nombre de grandes villes — de Paris à Tokyo en passant par Bruxelles et New York —, le service permet de trouver le trajet le plus rapide en transport en commun. Par ailleurs, on peut partager son parcours avec ses contacts pour qu’ils puissent suivre nos déplacements en temps réel.
Pour partager son trajet avec une personne, celle-ci n’a pas besoin de télécharger Citymapper. L’application génère en effet automatiquement une URL. Et c’est précisément là que le bât blesse, comme le révèle Daniel Faram, expert en sécurité informatique.
Trop facile
Ce dernier s’est rendu compte que les URL générées étaient toujours construites de la même manière. Après le bloc, «https://citymapper.com/trip/ », il a remarqué qu’il y a toujours un T majuscule suivi de 6 caractères (des lettres minuscules et des chiffres).
Contrairement à la majorité des programmes générant automatiquement des liens, celui de Citymapper se contentait toujours du même schéma ultra simple (aucun caractère spécial n’est utilisé). Daniel Faram indique ainsi que cela réduit considérablement le nombre de combinaisons possibles.
Des données loin d’être inoffensives
Avec un script Python, il a pu dénicher 35 000 URL valides en quelques heures seulement. À partir de celles-ci, il a pu trouver 1 706 noms d’utilisateurs, 3 623 lieux tagués en tant que « Maison » et 1 009 emplacements tagués comme des lieux de travail. Autrement dit, il devient extrêmement facile de tracer une personne utilisant Citymapper et de deviner ses trajets quotidiens, ses habitudes, ses adresses préférées…
Il n’en faut pas plus à une personne mal intentionnée avant d’approcher sa cible. Daniel Faram a contacté Citymapper qui s’est empressé de complexifier ses URL générées automatiquement.
Cette histoire n’est pas sans rappeler l’affaire qui a touché l’application Strava où les parcours de certains utilisateurs ont malencontreusement révélé l’emplacement de bases militaires censées restées discrètes.
Mise à jour du 31 janvier 2018 : Strava a réagi en publiant une lettre à destination de sa communauté. On en parle en bas de cet article. Article original : Strava est une application de…
Lire la suite
Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).
Plus exactement, les URL sont maintenant plus longues et il est donc plus coûteux d'itérer sur toutes les URL possibles.
Non. Le problème est qu'il est facile de récupérer tous les itinéraires d'une zone à une heure donnée et donc ensuite de filtrer pour récupérer les trajets d'une personne en particulier.
En effet, mais additionné à d'autres éléments, c'est un vecteur d'attaque.
Comme l'article d'origine le signale, la faille est comblee depuis Novembre, moins d'une semaine apres que le chercheur l'ait signalee a Citymapper...
L'adresse ne veut pas dire l'appartement exact, ni que tu es forcement celibataire etc
Ou pour venir te regarder pendant que tu dors.
Ca peut être exploité pour savoir quand tu n'es pas chez toi, pour te cambrioler par exemple
Raccourci trop facile et dangereux pour FrAndroid : "Autrement dit, il devient extrêmement facile de tracer une personne (...) Il n’en faut pas plus à une personne mal intentionnée avant d’approcher sa cible" On parle de déplacements au hasard dans le monde, et non pas d'une "personne ciblée" le choix des mots à son importance, il aurait fallu parler du très faible risque de cette découverte à un moment non ?
Quelqu'un sait ou j'habite, et apres? Au lieu de perdre du temps autant aller directement chez quelqu'un au pif lol