Viber, une application de messagerie mobile qui permet aux utilisateurs de passer des appels téléphoniques et d’envoyer des messages texte et des images gratuitement, donne également beaucoup de données gratuites sur les utilisateurs à qui veut les écouter.

Selon des chercheurs de l’Université de New Haven (UNH) dans le Connecticut, aux États-Unis, l’application Viber envoie les messages des utilisateurs en clair – y compris des photos, des vidéos, des gribouillages et des images de localisation.

Toutes ces riches données des utilisateurs sont également stockées en clair sur les serveurs de Viber, au lieu d’être supprimées immédiatement, et sont accessibles sans identifiants, juste un lien, ont indiqué les chercheurs de l’UNH.

C’est la deuxième bévue cryptographique exposée par les chercheurs de l’UNH en autant de semaines – le groupe d’éducation UNH Cyber Forensics Research & a révélé le 13 avril 2014 que l’app de messagerie WhatsApp donne également les données de localisation des utilisateurs sous forme non cryptée.

En utilisant un PC Windows comme point d’accès Wi-Fi, l’équipe de l’UNH a pu capturer les données envoyées par un smartphone Android avec des outils réguliers de reniflage du trafic, la même approche adoptée par l’UNH dans ses expériences avec WhatsApp.

Dans une vidéo publiée sur le site Web de l’UNH et sur YouTube, les chercheurs ont démontré la capture des messages envoyés entre deux téléphones Android de test.

Les données peuvent être interceptées par des points d’accès empoisonnés, par des utilisateurs malveillants sur le même réseau Wi-Fi, ou ailleurs dans le réseau entre vous et Viber.

Dans la vidéo, l’un des chercheurs a déclaré que les messages non chiffrés peuvent également être récupérés sur les serveurs de Viber par quiconque connaît l’URL du message :

Les données sont stockées sur le serveur de Viber de manière non chiffrée. Il n’y a pas non plus de méthode d’authentification utilisée, donc n’importe qui ayant accès à ces liens peut regarder ces données, les récupérer et en faire ce qu’il veut.

Les chercheurs, le Dr Ibrahim Baggili et Jason Moore, ont déclaré dans un billet de blog qu’ils ont signalé la faille de sécurité directement à Viber avant de publier leurs résultats mais n’ont « pas reçu de réponse de leur part. »

Dans une déclaration à CNET, Viber a déclaré qu’il publierait bientôt un correctif pour Android et iOS, et a déclaré que le problème a été « résolu »

Ce problème a déjà été résolu. Il est actuellement en QA et le correctif sera publié pour Android et soumis à Apple lundi. À ce jour, nous ne sommes pas au courant d’un seul utilisateur qui a été affecté par cela.

Le fait est qu’une application de messagerie en ligne moderne ne devrait pas vraiment « réparer » ce genre de bévue – le cryptage aurait dû être intégré dès le début.

Et pour tout ce que Viber peut avoir « corrigé » ses applications pour échanger des données en toute sécurité maintenant, il n’a rien dit sur la résolution des insécurités que UNH a trouvées dans le cloud de Viber, où vos messages sont stockés.

L’entreprise indique également que seuls Android et iOS recevront des mises à jour, laissant les utilisateurs de ses nombreuses autres plateformes prises en charge dans le noir.

Cela inclut les utilisateurs de Viber sur le bureau, via l’écosystème Bada de Samsung, sur les différents systèmes d’exploitation mobiles de Microsoft, et sur les téléphones Blackberry et Nokia.

Avec tout cela à l’esprit, l’affirmation de Viber selon laquelle « nous ne sommes pas au courant d’un seul utilisateur qui a été affecté par cela » sonne très creux.

Après tout, la société n’a pas pris la peine de s’excuser de ne pas avoir repéré ces problèmes dans sa propre assurance qualité – et de mettre ses clients en danger inutilement.

Applications mobiles fuyantes et confidentialité des données

Comme cela devient trop courant avec la nouvelle race d’applications de messagerie mobile – y compris WhatsApp, propriété de Facebook, et l’application de partage de photos et de vidéos Snapchat – la sécurité et la confidentialité des données des utilisateurs semblent être une réflexion après coup.

Bien que WhatsApp et Viber aient tous deux déclaré qu’ils s’efforceront de corriger leurs oublis en matière de cryptage, ces jeunes entreprises ont parfois fait preuve d’une attitude cavalière et dédaigneuse à l’égard de la confidentialité et de la sécurité des données.

Viber, fondé en 2010, a connu quelques autres incidents de sécurité l’année dernière.

En juillet 2013, un chercheur en sécurité a réussi à utiliser des notifications pop-up de l’application Viber pour contourner l’écran de verrouillage d’un appareil Android.

Et en avril 2013, la page de support de Viber a été piratée par l’Armée électronique syrienne, bien qu’aucune donnée utilisateur n’ait été perdue dans l’attaque.

Le fondateur de WhatsApp, Jan Koum, a déclaré de façon célèbre que « le respect de votre vie privée est codé dans notre ADN », après que sa société ait été rachetée par Facebook pour 19 milliards de dollars en mars.

C’est un beau sentiment, mais WhatsApp a fait des gaffes cryptographiques répétées qui ont laissé les données des utilisateurs vulnérables.

Une autre application de messagerie à croissance rapide, Snapchat, a ignoré les avertissements des chercheurs en sécurité selon lesquels l’application permettait des recherches illimitées sur les numéros de téléphone des utilisateurs – une faille qui a conduit un attaquant à déverser 4,6 millions de noms d’utilisateur et de numéros de téléphone en ligne après que Snapchat ait rejeté l’attaque comme « théorique ». »

Lorsqu’on lui a demandé de se présenter volontairement devant une audience du Congrès sur les violations de données, Snapchat a refusé de témoigner, ce qui a conduit un sénateur américain à dire que l’entreprise « cachait quelque chose ».

Ce qui est ironique, puisque cacher les données des utilisateurs aux yeux indiscrets ne semble pas être l’une des forces de l’entreprise.

Malgré les promesses faites aux utilisateurs que leurs messages privés « disparaîtraient pour toujours », Snapchat a reconnu que les Snaps des utilisateurs ne sont pas supprimés immédiatement de leurs serveurs ou des téléphones des utilisateurs.

Ces applications de messagerie populaires sont peut-être gratuites, mais au prix de la vie privée de leurs centaines de millions d’utilisateurs.

.