TeenSafe

Ce sont des milliers de comptes Apple, associés à leur mot de passe, stockés en clair, qui ont été laissés ouverts aux 4 vents par TeenSafe, une application douteuse de surveillance des appareils des enfants à destination des parents. La société laissait ces données accessibles sur un serveur non protégé. 10200 comptes, incluant quelques doublons, sont concernés, révèle ZDNET.

Deux serveurs ouverts et bien remplis

L’application, qui existe sur iOS et Android, permet de dupliquer, sur les iPhone parentaux, les Messages, l’historique des appels, la localisation, l’historique web, les applications installées, WhatsApp ou encore les contacts des iPhone surveillés.

Pour installer celle-ci discrètement, sans avoir besoin de recueillir le consentement des enfants, l’éditeur exigeait que le compte iTunes des enfants ne soit pas protégé par l’authentification deux facteurs. Impossible, si celle-ci est activée, de ne pas faire savoir à l’enfant qu’il est sous surveillance.

Outre les questions morales posées par ce type d’app, l’affaire montre l’incroyable ignorance de l’éditeur. Robert Wiggins, un chercheur en sécurité britannique, a scruté les serveurs de celui-ci pour trouver que deux d’entres-eux, hébergés chez Amazon, étaient accessibles en clair, sans mot de passe, donnant à qui le voulait accès au mails des parents, à celui de l’enfant, à son identifiant Apple, et à son mot de passe, et à l’identifiant unique de l’appareil surveillé tout ça sans chiffrement, en clair.

Des milliers de comptes concernés

Après avoir été contacté, TeenSafe a mis hors ligne les deux serveurs concernés, et a affirmé commencer à contacter les clients concernés pour les prévenir du « risque » pesant sur leur compte. L’éditeur revendique, mais on peut supposer qu’il s’agit de vantardise commerciale, « plus d’un million de parents utilisateurs » ; le nombre de comptes accessibles, censé représenter l’activité des trois derniers mois, concerne seulement 10 200 d’entre-eux.

L’éditeur californien a promis de donner plus de détails plus tard, en attendant, il n’a même pas publié un billet sur son blog au sujet de ce grave manquement aux règles de base de la sécurité.

AUCUN COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. Apprenez comment les données de vos commentaires sont utilisées.