Comment une application censée protéger ses utilisateurs en partageant des informations personnelles finit-elle par exposer, en toute insouciance, les données les plus sensibles de milliers de personnes ? TeaOnHer, clone destiné aux hommes de l’appli de « gossip » Tea, soulève de brûlantes questions sur la sécurité – ou plutôt, sur l’absence de toute sécurité – dans le développement d’applications.
TeaOnHer prétendait créer un environnement où des hommes pouvaient discuter de leurs rencontres et partager des preuves d’identité dans un souci de « protection ». Mais, derrière ce vernis sécuritaire, c’est un tout autre spectacle qui s’est joué : une faille béante, exposant instantanément photos de permis de conduire, selfies et données personnelles au simple curieux ou pire, au cybercriminel le moins expérimenté. Peut-on encore faire confiance aux plateformes qui réclament nos pièces d’identité au nom de la modération ou de la sécurité ?
Enquête après enquête, la multiplication des lois sur la vérification d’âge contraint les utilisateurs à transmettre toujours plus de documents sensibles à des applications trop souvent bâclées. N’est-il pas paradoxal que des promesses de protection conduisent à de telles dérives ? TeaOnHer, certifié sans collecte de données sur l’App Store, est devenu numéro 2 du classement Apple au moment même où TechCrunch identifiait ces faiblesses, préférant d’abord taire les détails techniques pour éviter d’armer d’éventuels pirates.
Ce fiasco pose inlassablement la question de la responsabilité des créateurs d’applications et de la crédulité d’utilisateurs aveuglés par la promesse de sécurité.
Et ce n’est pas tout : les identifiants « admin » étaient visibles en clair sur la page d’accueil de l’API de TeaOnHer. Un mot de passe à peine plus solide que le mot « password »… À ce niveau de négligence, combien d’administrateurs tentés d’espionner les discussions et les documents d’utilisateurs espéraient-ils un accès si facile ? La documentation de l’API révélait aussi la possibilité d’envoyer des requêtes non authentifiées pour extraire les données sensibles de la base d’utilisateurs, incluant logs, emails privés, et les liens directs vers les fichiers stockés sans restriction sur un cloud Amazon.
A-t-on là affaire à une imprudence naïve ou à un mépris total des règles de base en cybersécurité ? Le développeur, Xavier Lampkin, n’a pas daigné répondre aux journalistes, ni même s’engager à prévenir ses victimes ou avertir les autorités compétentes. Faut-il rappeler que, dans de nombreuses juridictions, un tel refus de notification pourrait s’assimiler à une infraction ? Même sur LinkedIn, l’intéressé a préféré minimiser le problème, parlant de « bots » et niant tout incident alors même que sa propre pièce d’identité figurait parmi les fuites révélées par TechCrunch.
Depuis la révélation publique, l’API de TeaOnHer a été désactivée, les documents d’identité retirés et l’accès désormais restreint. Mais combien de temps cette passoire numérique est-elle restée ouverte avant la fuite ? Combien d’utilisateurs lésés et de données récupérées à leur insu ? Le silence persistant du développeur n’incite guère à l’optimisme quant à l’avenir de la plateforme ou à la responsabilisation du secteur.
Faut-il continuer à croire que l’innovation prime sur la sécurité, même lorsqu’il s’agit de manipuler les informations les plus intimes d’utilisateurs crédules ? Quand la confiance numérique chancelle, qui, in fine, paie le prix de l’imprévoyance des développeurs et de la légèreté des régulateurs ?
Source : Techcrunch
