Obtenir des informations personnelles, lire les messages privés : s’infiltrer dans l’application de chat Wizz App serait un jeu d’enfant, alerte un chercheur en cybersécurité. Dans un article publié sur Medium en mars 2024, « Aaron », expert en cyber et hacker éthique, dévoile les failles de sécurité de la plateforme et partage des captures – anonymisées – d’informations personnelles récupérées à travers ces vulnérabilités.
Wizz App s’est fait connaitre en janvier dernier, quand Google Play et l’App Store ont tous deux retiré l’application de leur plateforme à la suite de scandales de sextorsion sur des mineurs, relevés par des organismes américains.
L’interface se présente comme n’importe quelle application de rencontre, en swipant jusqu’à tomber sur une personne qui vous intéresse. Or, l’application a trouvé son public parmi les adolescents, et dans la foulée, les escrocs qui cherchent à tromper ces jeunes.
Une étude du Network Contagion Research Institute, une organisation à but non lucratif, note que « certaines victimes déclarent avoir été ciblées par des sextos quelques minutes après avoir rejoint l’application, ce qui suggère que les criminels ont saturé Wizz ». Le but étant de faire chanter la personne une fois que celle-ci a envoyé des photos compromettantes.
Un accès aux conversations privées de Wizz App
Wizz App a fait son retour quelques jours après le ban sur l’App Store et Google Play, avec de nouvelles restrictions et une reconnaissance faciale pour déterminer l’âge. Contacté par Numerama, Aaron* nous indique qu’il a pu contourner ces obstacles « en modifiants des requêtes et en envoyant une photo avec l’âge qu’il souhaite ».
L’expert en cyber a ensuite récupéré de nombreuses informations en scrappant la plateforme, c’est-à-dire en automatisant des requêtes pour que l’app lui livre des infos. Aaron est même parvenu à récupérer des discussions privées en donnant l’identifiant utilisateur de la personne ciblée à l’application. « En remplaçant les requêtes avec les identifiants utilisateurs, on peut accéder à l’intégralité de la conversation entre ces 2 users, avec en plus des infos privées sur leurs comptes respectifs », note le chercheur.
Aaron a continué son infiltration dans le script de l’application jusqu’à accéder au tableau interne de modération et de configuration de Wizz. « J’ai pu voir les outils utilisés par Wizz pour la messagerie de masse, la modération et la configuration de l’application. »
L’expert en cyber espère que « ce problème sera résolu rapidement et qu’il n’a pas encore été exploité par les prédateurs sexuels auxquels Wizz a eu affaire par le passé ».
Un contournement des limites d’âge
Contacté par Numerama, Wizz App a répondu le 18 avril :
« Ce sont les compétences techniques rares de cet expert qui lui ont permis de contourner les systèmes de sécurité de pointe de Wizz ; il a exploité une faille d’Android qui donne l’opportunité à des hackers aguerris de pouvoir décompiler l’application et ainsi d’accéder à des clés et certificats privés.
D’ailleurs, concernant Android, nous avons seulement rejoint l’OS l’année dernière – contre 2019 pour iOS – pour mettre en place le maximum de mesures de sécurité car nous savions que nous serions beaucoup plus exposés à des hackers sur Android que sur iOS. »
Or, toutes les manœuvres du hacker éthique ont été réalisées depuis iOS et non depuis Android, comme le prétend Wizz. De plus, le scraping d’Aaron est une méthode assez connue des pirates et à la portée de nombreux hackers.
Quant au blocage de l’application pour les personnes bannies, il est toujours possible de le contourner en effaçant les données de son smartphone ou en modifiant les requêtes pour les internautes plus compétents.
Après nos échanges avec Wizz, Aaron nous a signalé que la société avait commencé à corriger certaines failles.
*Aaron est un pseudonyme utilisé par le hacker éthique.
Cet article existe grâce à
Cet article a pu voir le jour grâce au financement de nos adhérent·e·s, offrant le temps et les ressources nécessaires à la production d’une information de qualité. Numerama+ permet à Numerama de rester gratuit et éviter de verrouiller le web derrière un mur payant.
Zéro publicité, meilleur confort de lecture, articles résumés par l’I.A et plus encore... Si vous souhaitez soutenir la mission de Numerama et profiter de nombreux avantages exclusifs, adhérez à Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
