Deux chercheurs américains ont mis au jour un grave problème de cybersécurité au sujet des données personnelles recueillies par Whisper. L’application de messages anonymes a laissé des centaines de millions d’informations concernant ses utilisateurs en ligne sans aucune protection. L’entreprise a reconnu son erreur et corrigé la faille.
L’application de partage de messages anonymes Whisper n’était pas si anonyme que ça. Le programme a malencontreusement laissé en ligne, accessible à tous, sa base de données sans aucune protection, rapporte le Washington Post relayé par ZDNet. Aucune authentification ou mot de passe n’était demandés pour y accéder. Cette faille de sécurité a permis la consultation des informations personnelles de nombreux utilisateurs de l’application.
900 millions de données enregistrées
On doit cette découverte aux chercheurs en cybersécurité Matthew Porter et Dan Ehrlich, précise le Washington Post. Les deux experts ont pu mettre la main sur pas moins de 900 millions de données enregistrées depuis que l’application a été lancée, en 2012. Si aucun nom n’apparaît, les spécialistes ont en revanche pu consulter l’âge, le pseudonyme ou encore l’orientation sexuelle renseignés par les utilisateurs.
La position géographique figurait aussi parmi les données accessibles à tous. L’application enregistrait en effet la géolocalisation du dernier message posté. Une information qui pouvait renseigner sur « une école, un lieu de travail ou un quartier spécifique » précise le Washington Post.
Déjà épinglé en 2014
Whisper a été alerté lundi 9 mars de la faille. L’entreprise est rapidement intervenue pour mettre fin à cette vulnérabilité et protéger ses données. La société américaine a indiqué que cette base contenait des informations affichées publiquement dans l’application mais a aussi tenu à préciser qu’elle « n’a pas été conçue pour être interrogée directement ».
En 2014, Whisper avait déjà été critiqué pour sa politique en matière de géolocalisation. L’application avait été accusée, dans une enquête du Guardian, de traquer ses utilisateurs, y compris ceux qui avaient désactivé les services de géolocalisation sur leur smartphone.
