Le service SnapChat est surtout connu des jeunes générations en permettant d'envoyer des photos de soi à durée de vie très brève à des correspondants sans s'inquiéter outre mesure de les voir rester ad vitam aeternam sur le Web.

Snapchat  Le principe même de SnapChat est de ne pas conserver les clichés (en principe) et d'offrir une communication instantanée et presque sans traces. Le service s'est fait remarquer récemment quand ses créateurs ont refusé une offre de rachat à 3 milliards de dollars de la part de plusieurs grands groupes désireux de mettre la main sur ce qui sera peut-être la prochaine bonne idée dans les réseaux sociaux.

Le service SnapChat n'est cependant pas à l'abri de failles pouvant dévoiler des informations personnelles. Un collectif vient d'affirmer l'existence de plusieurs failles dans une API qui permet potentiellement de relier de récupérer les numéros de téléphone des utilisateurs de SnapChat et de les relier à leur nom d'utilisateur, même quand les comptes sont privés.

Selon Gibson Security, à l'origine de ces découvertes, il serait possible à partir de ces données de créer des clones de SnapChat ou de revendre des bases de données compilant les données personnelles des utilisateurs du service à partir des informations rassemblées via plusieurs API.

Snapchat1

Cela pourrait servir de base pour des personnes mal intentionnées pour diffuser des scams mais aussi pour localiser les détenteurs des comptes à partir de leur numéro de téléphone. Le service SnapChat a été averti de ces dysfonctionnements au mois d'août mais ne semble pas avoir donné suite, si bien Gibson Security a diffusé une alerte de sécurité depuis, indiquant que cela pourrait être corrigé en une dizaine de lignes de code, et a fait connaître largement l'existence de ces problèmes à l'occasion d'une communication diffusée le jour de Noël, espérant ainsi faire réagir l'éditeur, accusé de négligence.

Le collectif en profite pour signaler que la communication de SnapChat selon laquelle son service est majoritairement utilisé par des femmes est mensongère car l'éditeur ne collecte pas cette information au moment de la création du compte.

Par ailleurs, une personne capable d'exploiter les failles de l'API pourrait très bien créer de nombreux faux comptes, ce qui peut que relancer les questions concernant le nombre réel d'utilisateurs du service. Une problématique qui revient régulièrement pour la plupart des réseaux sociaux.

Source : ZDNet.com