Il est né le divin hacker. Baptiste Robert, aussi connu sous le pseudo Twitter Elliot Alderson – en référence au personnage fictif de Mr. Robot incarné par le génialissime Rami Malek – a fait de la recherche de brèches informatiques son véritable fer de lance. En publiant ses trouvailles sur le réseau social à l’oiseau bleu, l’intéressé s’est forgé une solide réputation, récompensée par une importante communauté de 131 000 abonnés.
L’un de ses derniers faits d’armes mis au jour courant octobre a rapidement reçu un fort écho médiatique : le chercheur en cybersécurité a en effet révélé une importante faille dénichée dans le chapelet connecté du Vatican, eRosary. Plus surprenant encore, il ne lui a fallu que quinze petites minutes pour s’infiltrer dans le rosaire de sa victime, comme le rapporte CNET.
Veni, vidi, vici
Commercialisé au prix de 99 euros, eRosary s’appareille à une application iOS ou Android elle aussi développée par le Vatican, intitulée Click To Pray eRosary. Ce binôme connecté accompagne ainsi un utilisateur au gré de ses prières par le biais de guides audio et des contenus personnalisés. Le chapelet enregistre même toute une série de données, tels que le nombre de pas effectués dans une journée et la fréquence des prières.
À savoir désormais comment un pirate informatique est capable de prendre le contrôle d’un compte ciblé : en connaissant son adresse email, tout simplement. Comme l’explique Baptiste Robert dans un rapport public, un utilisateur reçoit sur son adresse email indiquée un code pin à quatre chiffres, et ce à chaque nouvelle connexion. Ce qui, en somme, s’éloigne des standards habituels.
Manque de professionnalisme
La faille se situe alors dans le processus suivant : le code reçu par l’internaute est aussi envoyé à l’application dans une réponse HTTP, non chiffrée. Conséquences : il suffit à un hacker d’analyser le trafic réseau pour intercepter le code pin qu’il utilisera dans la foulée pour se connecter. Une erreur pour le moins naïve de la part du Vatican.
Libre au pirate informatique de récolter l’ensemble des données liées à sa victime : numéro de téléphone, email, nom, genre, date de naissance, taille, poids, avatar ou encore biographie. Supprimer le compte fait même partie de son champ d’action. Contactée par Baptiste Robert, la ville-État située au cœur de Rome a depuis corrigé cette anomalie.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !