On s'en doutait un peu. Secret, l'application mobile qui propose à ses utilisateurs de partager sous couvert d'anonymat leurs pensées inavouables n'est en réalité pas si secrète.
Le site Wired explique ainsi comment un hacker, du nom de Ben Caudill, a réussi à démasquer l'un de ses journalistes inscrits sur Secret, en utilisant simplement son adresse mail.
Pour s'incrire sur l'application, valorisée tout de même après six mois d'existence à plus de 100 millions de dollars selon le New York Times, il suffit en effet de fournir une adresse mail. Vous verrez alors les secrets partagés par des personnes autour de vous, si vous acceptez de vous géolocaliser, ou à l'autre bout du monde: bref, pas forcément très croustillant. Le sel de Secret est en effet d'avoir un aperçu des confidences laissées par ses amis, ses collègues, et pour ce faire, explique Wired, il faut également donner accès à la liste de contacts enregistrés sur le téléphone:
«Alors l'application recherche sur toutes les adresses mail et numéros de téléphone de la liste des utilisateurs de Secret, et vous commencez à les suivre.»
Extraits de messages postés sur l'application Secret.
Et pour assurer l'anonymat sur lequel repose tout son modèle, Secret compte sur votre vie sociale fournie, poursuit Wired:
«Si vous avez 500 personnes dans vos contacts, et que 30 utilisent Secret, vous ne saurez pas qui sont ces 30. De ce fait, un secret croustillant publié par un "ami" provient potentiellement de l'une de ces 500 personnes.»
Sauf qu'il y a un hic: que se passe-t-il si dans votre liste de contacts, vous n'avez que votre grand-oncle qui est resté sur Minitel, le numéro de votre banquière et l'adresse mail de ce collègue hyper branché nouvelles technologies? Même si son nom n'apparaît pas, il est dans ce cas de figure très facile d'identifier le petit malin qui sussure sur Secret! Or c'est exactement cette faille qu'est allé exploiter le hacker rencontré par le journaliste de Wired, qui raconte:
«Il a tout supprimé dans sa liste de contact, et a ajouté sept fausses adresses mails [qu'il avait toutes créées] comme contacts. Puis, il a ajouté un seul contact supplémentaire: l'adresse mail de la personne dont il voulait démasquer les secrets -moi. [...] Tout ce qui apparaissait être publié par un "ami" dépendant alors logiquement de moi.»
Nous ne disons pas que vous serez totalement et à tout moment en sécurité, et resterez complètement anonymes.»
David Byttow, directeur de Secret.
Fort heureusement, poursuit Wired, ce hacker n'a pas cherché à exploiter cette vulnérabilité: il en a au contraire averti les tenanciers de l'application. Non sans leur démontrer au préalable par l'exemple l'efficacité de son astuce, à la demande même du patron de l'entreprise, David Byttow.
Face à cette vulnérabilité, qui vient s'ajouter à une longue liste de «42 failles de sécurité» repérées dès février dernier, le boss de Secret tient un discours moins ferme sur le caractère parfaitement sécurisé de son application. «Secret n'est pas un endroit pour commettre des activités illégales, ou menacer de poser des bombes ou partager des images explicites, confie-t-il ainsi à Wired. Nous ne disons pas que vous serez complètement et à tout moment en sécurité, et resterez complètement anonymes.»
De quoi ravir les amateurs, nombreux depuis quelques mois, de tous ces services (Secret, Whisper, Snapchat, ...) dont le moteur est le partage de contenu anonyme et éphémère sur Internet. Ces derniers avaient déjà été échaudés par Snapchat, application mobile de partage de photos et vidéos à durée de vie a priori limitée sur Internet... sauf qu'il n'en est rien. Le service s'est même fait attraper en mai dernier par l'autorité américaine chargée de veiller au droit de la consommation, qui lui reprochait d'avoir exagéré la sécurité de son système, dans la mesure où n'importe qui peut prendre une capture d'écran des photos censées s'auto-détruire.
A l'instar de la vulnérabilité des pages perso, dont le contenu très, très, très intime est visible par tous sur Google, comme nous vous le révélions il y a quelques jours, cette nouvelle anecdote nous rappelle que tout ce que nous publions sur Internet, tout ce que nous plaçons sur des serveurs que nous ne contrôlons pas, est potentiellement récupérable... et identifiable. Prudence.
