Des employés de Snapchat ont été victimes d'une escroquerie par email qui a abouti à la divulgation d’informations personnelles. Aucune donnée d’utilisateur n’a fuité, mais l’attaque montre bien qu’aucune protection n’est absolue, surtout quand elle fait appel à la réaction des victimes.

Les sociétés proposant des services en ligne ne sont pas toujours attaquées pour les données personnelles qu’elles hébergent. C’est ce qui s’est produit chez Snapchat : les employés du service de paie ont été spécifiquement visés par une campagne de faux emails qui avaient l’air de provenir du PDG de l’entreprise. L’attaque a fonctionné et des données ont fuité.

Du phishing et des informations dérobées

L’incident s’est produit vendredi dernier. Snapchat indique que ces emails n’ont pas été reconnus pour ce qu’ils devaient être, ni par le filtre automatique chargé de les repérer, ni par les employés eux-mêmes. Bien qu’aucune précision ne soit donnée sur le contenu de ces messages, il semble donc qu’il ait été suffisamment bien conçu pour que plusieurs personnes tombent dans le panneau.

Snapchat ne dit pas non plus combien de ses employés ont été victimes de cette attaque, ni quelles sont au juste les données qui ont pu être soutirées de cette manière. Cependant, on peut imaginer que des numéros de sécurité sociale, des montants de salaires, des informations bancaires et autres adresses postales ont pu être obtenus de cette manière.

L’entreprise donne cependant quelques informations, dont la plus importante : les utilisateurs du service n’ont pas été mis en danger. Aucune donnée n’a fuité, aucun système n’a été attaqué et aucune faille de sécurité n’a été exploitée. Le maillon « faible » était les employés eux-mêmes, visés par l’attaque. En outre, l’attaque a été détectée et rapportée au FBI dans les quatre heures. Les employés concernés ont été avertis et se sont vus offrir deux ans d’assurance contre le vol d’identité.

Snapchat reconnaît ses torts

Dans son annonce de l’évènement, Snapchat fait particulièrement profil bas : « Quand quelque-chose de ce genre survient, tout ce que vous pouvez faire est reconnaitre votre erreur, vous occuper des personnes touchées, et apprendre de ce qui s’est mal passé. Pour réussir sur le dernier point, nous allons redoubler d’efforts sur nos programmes déjà rigoureux d’entrainement sur la vie privée et la sécurité dans les semaines qui viennent. Notre espoir est que nous n’ayons plus jamais à écrire un billet de blog comme celui-là ».

Une communication intéressante puisque Snapchat prend les devants et n’attend pas que la presse s’empare de l’histoire. Une décision sans doute judicieuse quand on propose un service extrêmement lié à la vie privée, Snapchat permettant entre autres des échanges de photos et vidéos – normalement – éphémères.

D’autre part, il s’agit du premier mea culpa de l’entreprise sur des questions de sécurité. On se rappelle en effet que 200 000 photos avaient fuité en 2014, occasionnant une vraie polémique sur la sécurité du service. Cependant, Snapchat avait été prompt à pointer que le souci venait d’applications tierces mal sécurisées. L’action qui avait suivi n’était d’ailleurs pas étonnante : la coupure de l’accès à toutes les applications tierces, seul le client officiel étant alors autorisé à se connecter au service.