Une faille de sécurité assez grave a pris le sommeil des habitants de Tumblr ces dernières heures. L’application de service iOS mise à disposition la semaine dernière a non seulement dû être mise à jour dans l’urgence, mais a également obligé la société à recommander le changement immédiat du mot de passe de tous les utilisateurs qui l’ont utilisé.
Tumblr n’a pas donné de détails sur le problème, mais un analyste qui a évalué les applications pour vérifier leur sécurité dans les activités des entreprises a fini par découvrir la faille et l’a signalée au site britannique The Register : en gros, l’application de Tumblr a exécuté le mot de passe et le login de l’utilisateur en texte clair, c’est-à-dire sans aucune forme de cryptage. Une erreur grave et, avouons-le, stupide.
Les risques de cette défaillance sont évidents : avec l’utilisation de programmes qui analysent le trafic réseau (comme Wireshark, l’outil utilisé par l’analyste qui a découvert la défaillance), il est possible de capturer ces données avec une relative facilité. Le danger est encore plus grand dans les réseaux Wi-Fi publics et non protégés, tels que ceux mis à disposition dans les centres commerciaux et les restaurants.
L’application fixe est déjà disponible dans l’App Store, comme cela était clair au début du courrier. Si vous l’utilisez, il est recommandé de le mettre à jour le plus rapidement possible, surtout maintenant que la cause du problème est connue. Il n’y a pas eu d’enregistrement des utilisateurs qui ont été lésés par la vulnérabilité, mais il est toujours préférable de suivre la recommandation de changer également votre mot de passe.
Selon l’équipe de Tumblr, les applications pour d’autres plateformes n’ont pas été affectées par l’échec.