Alyssa BiotLancé le 15 octobre par le Vatican pour stimuler la pratique de la prière chez les jeunes, un chapelet connecté comportait deux grosses failles qui ont été identifiées en moins de dix minutes par la société Fidus Information Security. Les développeurs ont pris 36 heures pour sécuriser le eRosaire et l’application avec laquelle il communique.
Le 15 octobre dernier, l’Église a fait un pas de plus dans l’univers numérique en dévoilant le premier chapelet connecté. Selon le Réseau mondial de prière du pape, l’objet présente « le meilleur de la tradition de l’Église avec le meilleur de la technologie », indique La Croix. Mais il n’aura fallu pas plus de dix minutes à un spécialiste de la cybersécurité pour déceler des failles dans ces eRosaire, rapporte Developpez.com.
Des « problèmes évidents »
Développé et commercialisé par Acer, le chapelet intelligent fonctionne avec l’application ClickToPray en faisant un signe de croix. En le testant, les experts de Fidus Information Security ont immédiatement décelé des « problèmes évidents ». « On dirait que quelqu’un a pris une application de groupe de fitness et l’a intégrée au code existant, qui laisse tout compte d’utilisateur piratable », explique Andrew Mabbitt, fondateur de Fidus.
Deux problèmes ont été relevés. D’abord, la sécurité de l’authentification pour accéder à ClickToPray est insuffisante. Un code PIN à quatre chiffres suffit et aucune limite de tentative n’est établie, ce qui permettrait à un éventuel pirate de forcer le code en tentant toutes les combinaisons.
Les développeurs du Vatican sur le pont
Autre problème : lors de l’éventuelle réinitialisation d’un compte utilisateur, un e-mail contenant le code PIN est envoyé à l’adresse indiquée. Or, l’application « renvoie également le code PIN à la réponse de l’API, permettant à quiconque d’obtenir le code PIN à 4 chiffres SANS accès par courrier électronique », affirme Andrew Mabbitt.
Avertis, les développeurs du Vatican ont tenté de résoudre les problèmes. Un correctif a été publié dans les 36 heures. « Mais il n’existe toujours aucune protection contre le fait de forcer brutalement le code PIN, donc cette attaque reste réalisable », commente le fondateur de Fidus Information Security. Un porte-parole du Vatican s’est ensuite exprimé pour préciser que ce problème avait été résolu entre-temps.
