Un hacker éthique a découvert de nombreuses failles de cybersécurité sur Wizz App, une application pointée du doigt pour des affaires de sextorsion. Ses recherches incluent des captures de discussions privées.

Obtenir des informations personnelles, lire les messages privés : s’infiltrer dans l’application de chat Wizz App serait un jeu d’enfant, alerte un chercheur en cybersécurité. Dans un article publié sur Medium en mars 2024, « Aaron », expert en cyber et hacker éthique, dévoile les failles de sécurité de la plateforme et partage des captures – anonymisées – d’informations personnelles récupérées à travers ces vulnérabilités.

Wizz App s’est fait connaitre en janvier dernier, quand Google Play et l’App Store ont tous deux retiré l’application de leur plateforme à la suite de scandales de sextorsion sur des mineurs, relevés par des organismes américains.

L’interface se présente comme n’importe quelle application de rencontre, en swipant jusqu’à tomber sur une personne qui vous intéresse. Or, l’application a trouvé son public parmi les adolescents, et dans la foulée, les escrocs qui cherchent à tromper ces jeunes.

Une étude du Network Contagion Research Institute, une organisation à but non lucratif, note que « certaines victimes déclarent avoir été ciblées par des sextos quelques minutes après avoir rejoint l’application, ce qui suggère que les criminels ont saturé Wizz ». Le but étant de faire chanter la personne une fois que celle-ci a envoyé des photos compromettantes.

Un accès aux conversations privées de Wizz App

Wizz App a fait son retour quelques jours après le ban sur l’App Store et Google Play, avec de nouvelles restrictions et une reconnaissance faciale pour déterminer l’âge. Contacté par Numerama, Aaron* nous indique qu’il a pu contourner ces obstacles « en modifiants des requêtes et en envoyant une photo avec l’âge qu’il souhaite ».

L’expert en cyber a ensuite récupéré de nombreuses informations en scrappant la plateforme, c’est-à-dire en automatisant des requêtes pour que l’app lui livre des infos. Aaron est même parvenu à récupérer des discussions privées en donnant l’identifiant utilisateur de la personne ciblée à l’application. « En remplaçant les requêtes avec les identifiants utilisateurs, on peut accéder à l’intégralité de la conversation entre ces 2 users, avec en plus des infos privées sur leurs comptes respectifs », note le chercheur.

Une conversation récupérée par le hacker éthique. // Source : Aaron
Une conversation récupérée par le hacker éthique. // Source : Aaron

Aaron a continué son infiltration dans le script de l’application jusqu’à accéder au tableau interne de modération et de configuration de Wizz. « J’ai pu voir les outils utilisés par Wizz pour la messagerie de masse, la modération et la configuration de l’application. »

Le tableau de bord de modération de Wizz. // Source : Aaron
Le tableau de bord de modération de Wizz. // Source : Aaron

L’expert en cyber espère que « ce problème sera résolu rapidement et qu’il n’a pas encore été exploité par les prédateurs sexuels auxquels Wizz a eu affaire par le passé ».

Un contournement des limites d’âge

Contacté par Numerama, Wizz App a répondu le 18 avril :

« Ce sont les compétences techniques rares de cet expert qui lui ont permis de contourner les systèmes de sécurité de pointe de Wizz ; il a exploité une faille d’Android qui donne l’opportunité à des hackers aguerris de pouvoir décompiler l’application et ainsi d’accéder à des clés et certificats privés.

D’ailleurs, concernant Android, nous avons seulement rejoint l’OS l’année dernière – contre 2019 pour iOS – pour mettre en place le maximum de mesures de sécurité car nous savions que nous serions beaucoup plus exposés à des hackers sur Android que sur iOS. »

Or, toutes les manœuvres du hacker éthique ont été réalisées depuis iOS et non depuis Android, comme le prétend Wizz. De plus, le scraping d’Aaron est une méthode assez connue des pirates et à la portée de nombreux hackers.

Quant au blocage de l’application pour les personnes bannies, il est toujours possible de le contourner en effaçant les données de son smartphone ou en modifiant les requêtes pour les internautes plus compétents.

Après nos échanges avec Wizz, Aaron nous a signalé que la société avait commencé à corriger certaines failles.

*Aaron est un pseudonyme utilisé par le hacker éthique.

une comparateur meilleur vpn numerama

Cet article existe grâce à

Les abonnés Numerama+ offrent les ressources nécessaires à la production d’une information de qualité et permettent à Numerama de rester gratuit.

Zéro publicité, fonctions avancées de lecture, articles résumés par l’I.A, contenus exclusifs et plus encore. Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.