Le manque de confidentialité peut toucher votre banque, vos réseaux sociaux, mais également des applications qui vous promettent de garder vos secrets anonymes. Whisper, une plateforme lancée en 2012 sur Android et iPhone, est rapidement devenue populaire en tant que « réseau social anonyme ».
Mais alors que 30 millions d’utilisateurs l’utilisent encore, il vient d’être révélé que sa base de données était loin d’être privée. Des informations sur les milliards de messages anonymes ont dévoilé des détails sur leur auteur. L’ironie du sort, qui n’est pas la première mésaventure de l’application.
Des secrets pas très bien gardés par Whisper
Selon un article publié par le Washington Post, l’application Whisper aurait laissé exposer l’ensemble des informations de sa base de données de façon publique, directement sur le web. Grâce à deux chercheurs en sécurité dirigeant la société Twelve Security, cette vulnérabilité a été découverte, et les deux hommes ont prévenu la rédaction du média américain, ainsi que les autorités fédérales.
Dans leur enquête, les chercheurs Matthew Porter et Dan Ehrlich ont remarqué que la société mère de l’application Whisper MediaLab avait laissé la base de données complètement publique, et qu’il était possible de l’interroger de façon directe. En arrivant à ce point, les deux chercheurs n’ont bien évidemment pas pu trouver de prénoms et noms, alors que la plateforme ne les demande pas à ses utilisateurs. Mais ils ont pu trouver des pseudonymes, des âges, des informations sur le sexe, l’éthique, ainsi que de façon plus délicate : des données de localisation des messages postés.
Une découverte qui en dit beaucoup sur Whisper
C’est seulement après avoir contacté les autorités et le Washington Post que les deux spécialistes de la sécurité sur le web ont contacté la société de Whisper. Les responsables de l’application ont critiqué les conclusions effectuées par les chercheurs. Ils se sont protégés, en déclarant que la base de données n’avait jamais eu vocation à être privée, tant elle permettait aux utilisateurs d’avoir quelques informations sur les secrets postés.
Le point qu’il leur a cependant échappé concerne la possibilité de communiquer directement avec la base de données, et donc de recueillir toutes les informations facilement. Ils ont confirmé aux journalistes du Washington Post que la base de données « n’avait pas été conçue pour être interrogée directement ».
Un autre point qui met en difficulté l’application concerne justement les données de localisation. En 2014, ses dirigeants s’étaient déjà fait pincer, alors qu’ils n’avaient pas clairement annoncé à leurs utilisateurs qu’ils récoltaient ces informations de géolocalisation. Depuis, cette data n’était plus enregistrée. En vue de la découverte des deux chercheurs, cette décision n’a pas été respectée. Un secret bien gardé pendant tout ce temps, peut-être bien le seul sur le réseau social des pseudo-anonymes, qui avait la prétention de se nommer lui-même comme “l’endroit le plus sûr sur internet”.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
