Une jeune joueuse de 10 ans a découvert une nouvelle faille dans les jeux sur smartphones et tablettes, relate PCMag. La joueuse, surnommée CyFi, trouvait son jeu favori, un jeu sur un réseau social dont elle n'a pas dévoilé le titre, trop lent.
«Progresser dans le jeu était difficile, parce qu'il fallait du temps pour y faire pousser des choses», a-t-elle confié à CNET (beaucoup de ces jeux nécessitent de faire pousser des légumes, par exemple). En jouant avec les paramètres wifi et l'heure du téléphone, elle a constaté qu'elle pouvait manipuler le temps dans le jeu, et ainsi accélérer le jeu.
CyFi y a présenté ses découvertes, sous l'intitulé «Applications —Un voyageur de l'espace et du temps, et ce que j'ai appris des failles 0-day et des divulgations responsables», à la conférence de jeunes hackers DefCon Kids première du nom. Celle-ci s'est déroulée en marge de la DefCon 19 à Las Vegas, du 4 au 7 août: une conférence célèbre au cours de laquelle sont présentées de nouvelles failles, aussi bien logicielles (systèmes d'exploitations, navigateurs, …) que matérielles (l'une des séances de la DefCon concerne le crochetage de serrure, par exemple).
Selon le International Business Times, voici ce qu'elle indiquait dans le résumé de sa présentation à la conférence:
«Le monde des applications n'a clairement pas pensé à la sécurité pour l'instant. Voici une leçon importante qu'ils peuvent tirer d'une scoute. Je vais montrer un nouveau type de failles de sécurité, que j'appelle Voyage dans le Temps. En contrôlant le temps, on peut faire beaucoup de choses, par exemple faire pousser des citrouilles instantanément. Cette technique permet une infinité de choses!»
Certains jeux proposaient des contre-mesures à ce genre de vulnérabilité, qu'elle a contournées en désactivant par exemple le wifi sur le smartphone.
Selon CBS News, CyFi n'aurait pas donné de noms d'applications qui présenteraient ces failles, en accord avec la logique «white hat» de divulgation responsable (la personne qui trouve la faille transmet ses découvertes à la compagnie qui propose l'application, avant de rendre les informations publiques).
