La semaine dernière, un groupe d'experts en sécurité montrait que différentes failles de sécurité étaient présentes dans Snapchat, le client de messagerie instantanée. La société indiquait alors que les brèches avaient été colmatées récemment. Seulement voilà, depuis, une base de données a été mise en ligne, celle-ci contenant pas moins de 4,6 millions de comptes utilisateur.

Snapchat est un client de messagerie instantanée disponible pour Android et iOS. Il a fait la une récemment car Facebook voulait mettre la main dessus, comme elle l'a fait pour Instagram, il y a quelques temps de cela... Mais les créateurs n'ont pas accepté les différentes offres faites jusqu'ici. Seulement, la société doit faire face depuis quelques jours à des problèmes de sécurité.

Des failles de sécurité qui exposent des comptes utilisateurs et numéros de téléphone

Gibson Security, un groupe d'experts autour de la sécurité, dévoile sur cette page l'étendue du problème autour de Snapchat et indique que cela fait maintenant plus de quatre mois qu'ils tentent (en vain) de se faire entendre auprès de la marque pour que certaines brèches de sécurité soient corrigées au sein de l'API.

Car en l'état, les comptes utilisateurs peuvent être potentiellement touchés par deux phénomènes : le premier est d'obtenir la base de données utilisateur qui comprend notamment des numéros de téléphone, le second permet quant à lui de créer en masse de nouveaux comptes. Ces deux éléments mis bout-à-bout laissent à penser qu'il est possible de recevoir du spam assez facilement.

Cette fameuse page, publiée le 23 décembre dernier, a provoqué du mouvement du côté de l'éditeur du logiciel. Il évoque ainsi sur son blog que « théoriquement, si quelqu'un était en mesure de mettre en ligne un grand nombre de numéros de téléphone, ou tous les numéros possibles des États-Unis, ils pourraient alors créer une base de données avec des résultats et faire correspondre des numéros de téléphones avec des comptes utilisateurs ». Avant d'ajouter : « Durant la dernière année, nous avons mis en place diverses mesures de protection afin de rendre cette tâche plus difficile. Nous avons aussi ajouté récemment d'autre contre-mesures afin de lutter contre le spam et les abus ». Reste que derrière ce message qui se veut avant tout rassurant, la société admet bien que cela est « théoriquement » toujours faisable... même si des garde-fous ont été mis en place.

4,6 millions de comptes mis en ligne, dont celui d'un des créateurs de Snapchat

Et depuis ? Un site a été mis en ligne le 31 décembre avant d'être rapidement coupé : SnapchatDB.info. Celui-ci comprenait des fichiers CSV avec 4,6 millions de comptes utilisateurs ainsi que les numéros de téléphones, dont les deux derniers chiffres ont été volontairement masqués. TechCrunch, dont l'un des membres de l'équipe éditoriale fait partie de la fameuse liste, rapporte que le site indiquait avant sa fermeture que « Notre motivation est de sensibiliser le public et aussi mettre la pression à Snapchat pour que les failles soient corrigées. Il est compréhensible que des start-ups aient des moyens limités, mais la sécurité et la vie privée ne doivent pas être des objectifs secondaires ».

Quoi qu'il en soit, d'après Hacker News, cette fuite de données concerne des utilisateurs de certains États américains ainsi que du Canada. Deux développeurs, Robbie Trencheny et Will Smeindlein, ont mis en ligne un site permettant de savoir si l'on fait partie des utilisateurs potentiellement touchés par la fuite de données. Il suffit de renseigner son nom d'utilisateur pour savoir si l'on est dans la liste. Fait plutôt intéressant : l'un des créateurs du client de messagerie, Evan Spiegel, est recensé comme on peut le voir sur notre capture ci-dessus.

Pour l'instant, Snapchat ne communique pas sur l'étendue du problème. Nous viendrons mettre à jour cette actualité si la marque réagit officiellement.