L’application Secret, qui a été interdite en France cette semaine et retirée de l’App Store, a connu d’autres problèmes : la rupture de l’anonymat de ses utilisateurs.
La nouvelle, initialement publiée par Wired, dit que deux pirates informatiques nommés Ben Caudill et Bryan Seely, qui sont “bons” et travaillent dans une société de sécurité aux États-Unis, ont réussi à exploiter une faille dans l’application qui fait que choisir un courriel d’un utilisateur on peut voir les secrets qu’il partage.
Caudill a expliqué au site comment le processus s’est déroulé – et utilise beaucoup plus de logique que de connaissances en programmation.
Il a créé sept faux comptes secrets et a supprimé tous ses contacts de son téléphone. Puis, a ajouté ces sept e-mails utilisés pour créer des faux dans l’application comme contacts et l’e-mail de la personne dont il aimerait connaître les secrets. Ensuite, , il suffit de se reconnecter et d’autoriser l’application et de rechercher dans votre liste de contacts, les amis qui étaient dans l’application.
Étant donné qu’un seul des courriels avait effectivement été posté, tout ce qui apparaît à l’écran appartient à la personne.
Caudill a même révélé un secret de la PDG de la société: Lucy est-elle la plus mignonne des chiennes ? Il n’y a rien de compromettant, mais nous savons qu’il y a des secrets plus lourds à partager, avec quoi se défouler ; quelque chose que vous n’admettriez à personne, que vous ne feriez que raconter en secret. Qu’en est-il de la vie privée de ces personnes ?
Secret dit qu’il était déjà au courant de cette faille, affirmant qu’un groupe russe l’avait déjà détectée (l’Unsaved il l’avait aussi fait), et qu’il travaille à détecter les robots de mieux en mieux. Lorsqu’une activité suspecte est découverte, il change l’origine du secret en “ami d’ami” ou “dans son entourage”.
Ce n’est pas la première fois que Secret doit agir pour corriger des failles de sécurité, mais o surprenant est la quantité de choses qu’il doit faire : depuis février, 42 bugs ont été découverts.
C’est la preuve de ce que nous savons déjà : personne n’est totalement anonyme sur Internet.
