Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Ai.Type : importante fuite de données pour le clavier alternatif, 31 millions de clients concernés

Le WTF rencontre le facepalm

Ai.Type : importante fuite de données pour le clavier alternatif, 31 millions de clients concernés

Le 06 décembre 2017 à 07h48

Encore une fuite d'informations personnelles, de nouveau via une base de données MongoDB mal sécurisée. 31 millions d'utilisateurs du clavier alternatif Ai.Type sont ainsi impactés : de nombreux détails étaient librement accessibles sur Internet.

Les bases de données MongoDB sont régulièrement la cible des pirates, qui n'ont parfois qu'à se servir à cause d'une mauvaise configuration. Le clavier alternatif Ai.Type vient d'en faire les frais : une BDD de 577 Go était librement accessible (sans mot de passe) en lecture et en écriture, comme le rapportent nos confrères de MacKeeper.

Le serveur appartient au co-fondateur de l'application, Eitan Fitus, ajoute ZDNet, qui a également pu accéder à une partie de la base de données. Après plusieurs tentatives pour le contacter, Fitus reconnait finalement le manque de sécurité à nos confrères et sécurise la base, sans davantage d'explications. Seuls les utilisateurs Android seraient concernés, mais cela reste à confirmer.

31 millions de clients touchés, 373 millions de données accessibles

Plus de 31 millions de clients sont impactés par cette fuite, contenant de très nombreuses informations personnelles : numéro de téléphone, nom du propriétaire, marque et modèle du smartphone, information sur le réseau mobile, définition de l'écran, langues, version d'Android, numéros IMSI et IMEI, emails associés au téléphone, pays de résidence, informations et liens des réseaux sociaux (Google+, Facebook, etc.) adresse IP et enfin la localisation (longitude et latitude)... excusez du peu.

Pire encore, plus de 6 millions d'entrées contiennent des numéros de téléphone et noms récupérés dans les contacts du smartphone. Plusieurs tables de la base de données contenaient également la liste des applications installées note ZDNet.com. Au total, pas moins de 373 millions de données étaient ainsi librement accessibles selon MacKeeper.

Pas de chiffrement, du texte saisi par les utilisateurs se trouverait dans la base de données

Vous en voulez encore ? Nos confrères ajoutent que l'ensemble des informations n'était pas chiffré… et ce n'est pas fini : « nous avons vu une table contenant plus de 8,6 millions d'entrées de texte saisies en utilisant le clavier ». Dans le lot, il serait question de « numéros de téléphone, de mots clés pour des recherches sur le Web et, dans certains cas, des adresses email concaténées et des mots de passe correspondants ».

« En théorie, il est logique que toute personne ayant téléchargé et installé le clavier virtuel Ai.Type sur son téléphone ait toutes les données de son téléphone en ligne » indique MacKeeper. De son côté, Ai.Type affirme sur la page de présentation de son clavier que « votre vie privée est notre principale préoccupation ». Effectivement, la société s'y intéresse de très près, beaucoup trop même...

Comme toujours, cette affaire soulève la question des droits accordés aux applications, souvent bien trop larges pour le service proposé. Mais les éditeurs en profitent parfois pour récupérer plus d'informations que nécessaire afin de les monétiser par la suite. « Si c'est gratuit, c'est que c'est vous le produit » comme le précise l'adage.

Comme le rappelle ZDNet, Ai.Type propose deux versions de son application : une gratuite avec publicité et une payante. Les deux collectent des informations personnelles des utilisateurs, mais le rayon d'action de la première est bien plus large... 

En attendant d'avoir plus de précision de la part d'Ai.Type – qui reste pour le moment muette – il est conseillé de changer vos mots de passe si vous utilisez cette application. 

 

Commentaires (44)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Assez hallucinant que ce type d’incompétence ait encore lieu…

Dans des situations pareilles, des poursuites (devraient automatiquement être engagées contre la société ou les auteurs des applications concernées.



Même si c’est aussi à l’utilisateur de veiller aux services qu’il utilise (et aux droits/informations qu’ils demandent), il devrait y avoir des garanties minimales à respecter de nos jours.

Mais bon, quand on voit le pouvoir limité des CNIL et consorts…

votre avatar

+1.

… Ou sinon, des applis open-source, auditées par la communauté.

votre avatar

On se retrouve tristement à la merci de l’attention d’une seule personne, le sysadmin… Comme quoi, c’est pas un pauvre boulot de merde que tout le monde peut faire, mais un vrai boulot qui devrait être géré par plusieurs personnes pour éviter ce genre d’erreurs.

votre avatar

Mouais lol



“intelligent” je me méfierais ^^ le clavier normal apprend tres bien sans collecté autant de choses et en les sécurisant autrement plus fortement

votre avatar







jotak a écrit :



Quoi de mieux qu’un clavier virtuel pour faire un keylogger? <img data-src=" />



Les apps permettant de remplacer le clavier virtuel devraient

systématiquement être auditées par google/apple avant d’atterrir sur les

stores.







Ces apps ont déjà été auditées par la NSA qui n’a relevé aucune anomalie. <img data-src=" />


votre avatar

Pourquoi toutes ces données sont récoltées par le clavier en premier lieu ? Le beau keylogger que voilà <img data-src=" />





« Si c’est gratuit, c’est que c’est vous le produit » comme le précise l’adage.



Je ne suis pas tout à fait d’accord avec cet adage, par ailleurs. Les logiciels réellement gratuits et non-intrusifs, ça existe. Même sur Android <img data-src=" />

votre avatar







secouss a écrit :



Mouais lol



“intelligent” je me méfierais ^^ le clavier normal apprend tres bien sans collecté autant de choses et en les sécurisant autrement plus fortement





Quelle “clavier normal” ? J’espère que tu ne parles pas de celui installé de base sur ton smartphone.


votre avatar

Sauf que ça finit par être très agaçant. Moi ça me fait perdre un temps fou.

votre avatar

&nbsp;







Tophe a écrit :



Je n’utilisais aucun clavier alternatif pour éviter ça justement…

Même si le clavier par défaut est perfectible (sous iOS) au moins, les données restent DANS le téléphone…





En tout cas elles ne sortent pas de chez Apple (ou Google pour Android).

Ou pas…? <img data-src=" />


votre avatar







Furanku a écrit :



Assez hallucinant que ce type d’incompétence ait encore lieu…

Dans des situations pareilles, des poursuites (devraient automatiquement être engagées contre la société ou les auteurs des applications concernées.



Même si c’est aussi à l’utilisateur de veiller aux services qu’il utilise (et aux droits/informations qu’ils demandent), il devrait y avoir des garanties minimales à respecter de nos jours.

Mais bon, quand on voit le pouvoir limité des CNIL et consorts…





Voir Apple et le compte “root”…


votre avatar

Une base de donnée accessible depuis le net et sans mot de passe ?&nbsp;<img data-src=" />Je dis bravo

votre avatar







anagrys a écrit :



&nbsp;



En tout cas elles ne sortent pas de chez Apple (ou Google pour Android).

Ou pas…? <img data-src=" />





Difficile à dire, mais au moins elles ne se retrouveront pas sur un serveur MongoDB librement accessible sans authentification ni chiffrement!


votre avatar

du grand art.

ce mec mérite d’être cloué au pilori.

Apple et Google devraient immédiatement interdire toute installation de cette appli tant qu’une MAJ n’a pas été effectuée.

votre avatar

Justement je parle de celui de windows phone. Il collecte des données de manières globale mais pas que pour lui. De plus j’ai plus confiance en crosoft que dans une petite équipe qui semble vraiment être des arnaqueurs qui se foutent de leur client ;)



Quand tu laisse une telle base de données sans aucune sécurité c’est pas un “bug” ou une “erreur” c’est intentionnel.

votre avatar

Bah non c’est sans doute pas intentionnel, en tout cas je vois pas l’intérêt. Ils peuvent même pas revendre les données puisqu’elles sont librement accessibles. C’est juste de l’amateurisme.

votre avatar

Intentionnel dans le sens ou

1- ça demande du boulot et des compétences

2- ça demande de l’argent

3- après tout, qui s’en soucie ?



Totalement intentionnel, surtout quand tu écris sur ton site que la sécurité est ta priorité. Vu l’appli c’est pas des amateurs…

votre avatar

Va savoir… J’ai trouvé ça un peu gros aussi comme gaffe, au premier abord… puis je suis allé voir leur linked-in qui recense 12 employés, on peut deviner plus de la moitié en marketing, bref, ça n’a pas l’air d’être si pointu techniquement. Surtout du bla-bla. Je parierais plutôt sur de l’amateurisme :-)

votre avatar

C’est vrai qu’actuellement dans la tech et l’informatique on ne parle jamais de sécurité… Que les dev ne savaient pas du tout où ils envoyés la masse très conséquente de données collectées.



Quand tu collecte autant tu sais mieux que personne où elle vont et comment. La faille aurait été sur le clavier en lui même, le soft ou encore sur leur site web je dis pas. Mais sur leur gagne pain ? Franchement, quel dev est demeuré au point de ne pas hasher une base de donnée aussi énorme ?

&nbsp;

On parle pas de 10 000 personnes … 31 millions tu te pose certaines questions sur la sécurité, ils jouent la carte de l’amateurisme à plein pour pas se faire accuser d’avoir négligé la sécurité pour économiser du fric

votre avatar

Non mais faut pas exagérer, mettre un mot de passe sur une base mongo (on parle pas de chiffrer le contenu hein, on parle juste de mettre un mot de passe) c’est pas ça qui coûte de l’argent, n’importe qui peut le faire en 2 minutes. Il n’y a aucun intérêt à ne pas le faire, vraiment j’en vois aucun, ou alors faudra m’expliquer plus en détail. A part l’ignorance, je vois pas.

votre avatar

Même la RGPD ne permettra pas d’aller assez loin avec ce genre de comportement.



Une (grosse) amende c’est bien, mais franchement je verrais bien des sanctions pénales avec peine de prison pour des cas aussi extrêmes…

votre avatar







jotak a écrit :



Non mais faut pas exagérer, mettre un mot de passe sur une base mongo (on parle pas de chiffrer le contenu hein, on parle juste de mettre un mot de passe) c’est pas ça qui coûte de l’argent, n’importe qui peut le faire en 2 minutes. Il n’y a aucun intérêt à ne pas le faire, vraiment j’en vois aucun, ou alors faudra m’expliquer plus en détail. A part l’ignorance, je vois pas.





Il n’y a non plus aucun intérêt à le faire quand tu peux faire autre chose qui rapporte de l’argent.. C’est une histoire de choix, et la sécurité est rarement prioritaire quand tu peux gagner plus de pognon à côté…


votre avatar

si c’est comme swiftkey, il doit y avoir enregistrment des frappes du clavier pour faire de la prédiction des mots.

Swiftkey explique bien ça et on peut y souscrire ou ne pas utiliser le clavier.

votre avatar

Ce qu’il faut, ce sont de vraies lois interdisant purement et simplement la collecte de données personnelles ainsi que leur revente.



Et pour que ces lois soient respectées, il faudra de vraies peines de prison dissuasives à la clé.


votre avatar

Si je ne me trompes pas, poru swiftkey il suffit de refuser de se connecter avec son compte google/microsoft pour qu’il ne collecte pas de données (mais le choix des thèmes du clavier est bien plus restreint, il faut bien motiver les gens à se connecter !)

votre avatar

@secouss Le clavier normal ? Mais il collecte, bien sûr que si. Et si, il collecte autant. La différence étant peut-être qu’il n’envoie pas les données collectées en ligne (et c’est tant mieux).

@numerid Quoi te fait perdre ton temps ? Les suggestions ? T’es pas obligé de cliquer dessus, tu sais.

votre avatar

Il collecte, mais il n’envoie pas en ligne, nuance. Mais il collecte.

votre avatar

Mais… Comment tu fais un clavier qui s’adapte à l’utilisateur sans collecter des données sur l’utilisateur ?

votre avatar

Justement je ne dis pas qu’il collecte pas (mauvaise expression de ma part) mais que j’ai plus confiance. De plus il envoit des données en ligne. C’est juste autrement plus sécurisé…

votre avatar







Salamandar a écrit :



Mais… Comment tu fais un clavier qui s’adapte à l’utilisateur sans collecter des données sur l’utilisateur ?







Et bien soit tu conserve toutes les données nécessaires en local sans qu’elles puissent sortir de l’appareil, … soit tu ne fait pas de clavier qui s’adapte à l’utilisateur.


votre avatar

La question de certains dans les commentaires porte sur la collecte par le clavier (que ça reste en local ou non). Genre “Android devrait interdire aux claviers d’enregistrer des données” “d’accéder à internet” (oui mais les claviers de gifs, hein ?). Bref sinon je suis d’accord, de la collecte de données devrait être conservée en local, filtrée de manière intelligente (l’API indique au clavier que c’est un champ de mot de passe, donc pas de keylogging à ce moment, etc).

votre avatar

Sauf que si tu veux faire tourner les algos de machine learning pour améliorer la prédiction, tu vas pas le faire sur le petit snapdragon de ton smartphone. Je ne sais pas si ai.type fait du machine learning, mais ce ne serait pas déconnant.

votre avatar
votre avatar

Sidérant.



Par contre, pas envie de lire la politique de sécurité pour savoir en quoi la version gratuite est pire que la payante ! <img data-src=" />

votre avatar

Je comprendrais jamais les admin qui laisse une bdd sans mot de passe…

Après, je trouve ça très bizarre qu’à l’install de MongoDB aucun mot de passe ne soit imposé…

votre avatar

Bof, vu la fréquence à laquelle sont publiées ces news sur le piratage je dirais que c’est plus “routinier” que “sidérant”… <img data-src=" />



Ils devraient recruter chez Pampers, paraît qu’ils sont doués pour “l’anti-fuites”… <img data-src=" />

votre avatar

comme le rapportent&nbsp;nos confrères de MacKeeper.Heu ! MacKeeper, le “pouriciel” que les utilisateurs confirmés sur Mac connaissent et qui ne l’installent pas.

votre avatar

Attendez, si je comprend bien, c’est une appli “clavier” qui collecte cette myriade de données qui ne lui servent à rien pour fonctionner mais se revendent drolement bien ? <img data-src=" />

votre avatar

Heuuu je reviens j’ai quelques mdp a changer moi… et apres je retourne fumer l’editeur.. pardon, le stagiaire dans son garage…

votre avatar

Quoi de mieux qu’un clavier virtuel pour faire un keylogger? <img data-src=" />



Les apps permettant de remplacer le clavier virtuel devraient

systématiquement être auditées par google/apple avant d’atterrir sur les

stores.

votre avatar







eglyn a écrit :



Je comprendrais jamais les admin qui laisse une bdd sans mot de passe…

Après, je trouve ça très bizarre qu’à l’install de MongoDB aucun mot de passe ne soit imposé…









Les vieilles versions n’imposaient pas une configuration à minima secure.







jotak a écrit :



Quoi de mieux qu’un clavier virtuel pour faire un keylogger? <img data-src=" />



Les apps permettant de remplacer le clavier virtuel devraient

systématiquement être auditées par google/apple avant d’atterrir sur les

stores.









Surtout que Google/Apple devrait directement restreindre les autorisations en fonction de la finalité de l’appli. Ex : clavier virtuel =&gt; pas d’enregistrement des données, pas d’accès au contact ectc. Mais cela requeirt peut être une modification plus fine de l’OS pour gérer ces autorisations.


votre avatar

Je n’utilisais aucun clavier alternatif pour éviter ça justement…

Même si le clavier par défaut est perfectible (sous iOS) au moins, les données restent DANS le téléphone…

votre avatar

“clavier virtuel =&gt; pas d’enregistrement des données, pas d’accès au contact”



Hmm, en même temps, la présence des contacts dans les prédictions du clavier sont utiles bien que pas indispensable.



Il est très dur d’appliquer des règles générales, certaines collectes peuvent être fait dans un but d’apport de fonctionnalité.

votre avatar







FlamingFlowair a écrit :



Hmm, en même temps, la présence des contacts dans les prédictions du clavier sont utiles bien que pas indispensable.





Exact. De même, l’enregistrement des séquences de mots sera utilisée pour les prédictions futures.

Reste que ça donne aux claviers virtuels un rôle ultra sensible qui nécessite une attention toute particulière de google/apple.


votre avatar

Au contraire. Ce genre de claviers vont te faire des prédictions de mots pour t’éviter de taper le mot en entier. Il va apprendre tes phrases habituelles pour devenir plus “intelligent” et personnalisé avec le temps.

Swiftkey a dû être un des premiers du genre.

Ai.Type : importante fuite de données pour le clavier alternatif, 31 millions de clients concernés

  • 31 millions de clients touchés, 373 millions de données accessibles

  • Pas de chiffrement, du texte saisi par les utilisateurs se trouverait dans la base de données

Fermer