Discussion :

[Stéphane le calme]

Des chercheurs publient des informations sur les failles de sécurité dans Snapchat,
l'éditeur les aurait ignorées au préalable

D'après un groupe australien de hackers nommé Gibson Security (Gibsonsec), les éditeurs de SnapChat, l'application mobile de partage de photos et de vidéos, n'ont pas tenu compte des notifications sur les deux failles découvertes sur leur API. «Ils ont eu quatre mois, si durant ce laps de temps ils n'ont pas pu réécrire dix lignes de code, alors ils devraient virer toute leur équipe de développeurs» estime Gibsonsec.

Agacés par l'absence de réaction, Gibsonsec a décidé cette fois-ci de publier l'intégralité des failles qu'ils ont découvertes en parcourant le code de Snapchat. D'après eux, les usagers du logiciel exposent leurs données personnelles à n'importe qui à cause de cette brèche. Il serait possible de découvrir le nom, le pseudonyme et le numéro de téléphone d'un usager de Snapchat depuis l'API de Snapchat même si le compte est "privé". Un exploit de celles-ci permettrait à une personne malintentionnée d’associer un numéro de téléphone à un nom, un nom d’utilisateur et un niveau de sécurité de compte.

Environ 8 millions d'utilisateurs seraient potentiellement concernés. Il faut dire que la fonctionnalité particulière de Snapchat qui permet à l'émetteur d'une photo de ne la rendre disponible que pendant un laps de temps qu'il aura défini au préalable (même si le destinataire peut désormais le ré-afficher) contribue à la notoriété du logiciel. Outre l'aspect pécuniaire, une telle faille de sécurité permettrait l'escroquerie ciblée ou encore l'usurpation d'identité.

«Nous espérons que Snapchat renforcera ainsi sa sécurité, en quatre mois rien ou presque n'a été corrigé [...]. Snapchat était trop occupé à refuser des offres d'achat ridiculement élevées de la part de Facebook et Google, tout en mentant à ses investisseurs» estime Gibsonsec.

Cette fois-ci, la réponse de SnapChat n'a pas été longue ; l'éditeur indique avoir récemment ajouté des sécurités pour lutter contre le spam et les abus, et continuer régulièrement à le faire.

Source : Snapchat, India.com

et vous ?

Que pensez-vous de l'initiative de Gibsonsec ?

[Neckara]

Bonjour,

Que pensez-vous de l'initiative de Gibsonsec ?

Malheureusement je doute que ce soit légal

Mais bon, l'entreprise a été informée depuis longtemps et si elle ne fait rien, je pense que ses clients sont en droit de le savoir.

[hannibal.76]

Que pensez-vous de l'initiative de Gibsonsec ?

Je pense qu'il s'agit d'une bonne initiative white-hat. Malheureusement (et comme d'habitude) les entreprises qui cour après leurs petits billets verts se contre foute des utilisateurs finaux. Le tout est de ce remplir les popoches

[koyosama]

Ah ça c'est du vécu.
Rien d'étonnant dans tous ça.

Voici une citation que j'ai trouvé sur l'article original.

Why does Snapchat have users' phone numbers in the first place?

L'éthique, ça existe même plus.

J'ose même pas imaginer ce qu'il y a derrière comme code. Mais après voilà, ça été fait il y a 3 ans par des étudiants (donc pas vraiment de professionnalisme, on sait tous comment un étudiant code ... :p). Ils ont connu que le succès plus vite que la maintenance de leur code.
Je ne vois pas trop l'intérêt à comparer à un truc comme-ci c'était Facebook, si je me rappelle bien Facebook aussi avait ces débuts.

Après j’utilise pas SnapChat donc voilà.

Oui, les priorités ne sont pas les même que ce soit pour un éditeur ou pour un utilisateur.

[arnolem]

Malheureusement, beaucoup trop d'entreprise préfèrent étouffer les problèmes de sécurité, parfois au détriment d'autres sociétés.

Un exemple flagrant :Prestashop qui supprime la moindre communication liée à un problème de sécurité.

A chaque publication de l'article sur une faille de prestashop, il est aussitôt supprimé .

[jb_gfx]

Les infos de 4,6 millions d'utilisateurs de SnapChat volées le 1er Janvier :

http://thenextweb.com/insider/2014/0...online/#!q8oxI