Snapchat va proposer à ses abonnés de désactiver la fonction qui a permis à des hackers de s'introduire sur son service de partage de photos et de vidéos pour pirater 4,6 millions de comptes. L'intrusion, perpétrée il y a quelques jours, a exploité une faille du service qui avait été pourtant signalée à l'éditeur de l'application. Le site SnapchatDB, géré de façon anonyme, avait ensuite publié les noms et une partie des numéros de téléphone en question.

Afin de prévenir d'autres tentatives d'intrusion, Snapchat a indiqué qu'il allait améliorer certains mécanismes, dont son outil de "rate limiting" permettant d'effectuer certains contrôles sur le trafic réseau. En août, il avait été averti par les experts du groupe Gibson Security qu'une vulnérabilité dans sa fonction "Trouver des amis" donnait accès aux coordonnées de ses membres. La semaine dernière, ces experts ont publié un code montrant de quelle façon l'API de Snapchat pouvait être détournée pour arriver jusqu'à ces données. Et le jour de l'an, après avoir pu associer les numéros de téléphone avec les noms de plus de 4,6 millions d'utilisateurs, un groupe de hackers les a mis en ligne en proposant de les compléter selon certaines conditions.

Snapchat veut montrer qu'il ne prend plus l'affaire à la légère

La fonction "Trouver des amis" propose aux utilisateurs de Snapchat d'indiquer leurs numéros de téléphone afin que leur entourage ou d'autres connaissances puissent les retrouver dans le cas où ces coordonnées figureraient dans leur carnet d'adresses. Hier, Snapchat a indiqué qu'il allait mettre son app à jour pour permettre à ses membres de sortir de cette fonction afin que leur numéro de téléphone ne risque plus d'être exposé. Mais le fournisseur n'a pas dit quand il sera possible de s'en extraire. Il n'a pas non plus précisé ce qu'il allait faire avec les numéros de téléphone des personnes qui décideraient d'abandonner cette option. 

Dans le dernier billet qu'il a publié sur son blog, Snapchat a semblé prendre plus au sérieux la situation. Il abandonne le ton un peu trop léger qu'il avait adopté dans un précédent billet. "Nous voulons nous assurer que les experts en sécurité peuvent nous contacter lorsqu'ils trouvent de nouveaux moyens de détourner nos services afin que nous puissions rapidement trouver une solution". La semaine dernière, la société avait reconnu les problèmes signalés, mais les avait jugés relativement théoriques compte tenu des protections qu'elle avait déjà mis en place. Elles sont montrées totalement inefficaces.