Après plusieurs jours à être restée totalement muette, la société Snapchat vient enfin d'annoncer qu'elle modifierait prochainement son application afin de rendre plus difficile la récupération de données d'utilisateurs par les pirates. Une déclaration qui intervient après une fuite concernant plus de 4,6 millions d'utilisateurs dévoilant leurs pseudonymes et leurs numéros de téléphone.
Il y a quelques semaines, le cabinet de sécurité Gibson Security indiquait avoir trouvé une faille importante dans l'application Snapchat qui permettait à des utilisateurs mal intentionnés de récupérer toute ou partie de la base de données d'utilisateurs du service. Face au mutisme de Snapchat, la faille avait alors été dévoilée, dans l'espoir de forcer la société à réagir.
En début de semaine et face au désintérêt total de Snapchat pour l'affaire, un groupe de hackers piratait l'application en utilisant la faille dévoilée, à savoir utiliser une brèche dans le module de recherche d'ami qui permet aux utilisateurs de trouver n'importe quelle personne du réseau ayant partagé son numéro de téléphone dans l'appli. SnapchatDB a utilisé un générateur pour envoyer un gros volume de numéros de téléphone dans l'application et récupérer ainsi une base de données dans laquelle il est possible de retrouver des utilisateurs en fonction de leur numéro et de leur pseudonyme. La base de données a été publiée, là encore pour faire réagir Snapchat sur la faille découverte.
Cette fois, il semblerait que l'affaire, qui a été largement relayée par les médias, a trouvé sa voie jusque dans les bureaux de la société qui indique ainsi : " Nous allons déployer une version mise à jour de Snapchat qui permettra aux snapchatteurs de ne pas se rendre visible dans le module de recherche d'ami après avoir renseigné leur numéro de téléphone." " Nous allons également intégrer plusieurs restrictions afin d'éviter de futurs abus sur nos services."
Aucune déclaration n'a été faite concernant les données dévoilées, et même si l'exploitation des éléments publiés reste limitée puisqu'elle ne concerne que des pseudo associés à des numéros de téléphone, la réputation de SnapChat a été sérieusement atteinte en quelques jours.
La leçon semble toutefois avoir été retenue par Snapchat qui vient de mettre en place une adresse mail sur son site, invitant les Hackers White Hat à partager leurs découvertes de failles avec la société.
De son côté, Gibson Security, la société à l'origine de la découverte de la faille, indique ne pas avoir été contacté par Snapchat et se dit déçu du communiqué de la société. En outre, la société indique que pour l'instant, la faille est toujours en place et totalement exploitable, et note également que si Snapchat a bien abordé la question d'une mise à jour, aucune excuse n'a été partagée par la société à ses utilisateurs.