Quand un hacker français pirate le chapelet connecté du Vatican en 15 minutes
Il est né le divin hacker.
L’un de ses derniers faits d’armes mis au jour courant octobre a rapidement reçu un fort écho médiatique : le chercheur en cybersécurité a en effet révélé une importante faille dénichée dans le chapelet connecté du Vatican, eRosary. Plus surprenant encore, il ne lui a fallu que quinze petites minutes pour s'infiltrer dans le rosaire de sa victime, comme le rapporte CNET.
https://twitter.com/fs0c131y/status/1184572138281406464
Veni, vidi, vici
Commercialisé au prix de 99 euros, eRosary s’appareille à une application iOS ou Android elle aussi développée par le Vatican, intitulée Click To Pray eRosary. Ce binôme connecté accompagne ainsi un utilisateur au gré de ses prières par le biais de guides audio et des contenus personnalisés. Le chapelet enregistre même toute une série de données, tels que le nombre de pas effectués dans une journée et la fréquence des prières.
À savoir désormais comment un pirate informatique est capable de prendre le contrôle d’un compte ciblé : en connaissant son adresse email, tout simplement. Comme l’explique Baptiste Robert dans un rapport public, un utilisateur reçoit sur son adresse email indiquée un code pin à quatre chiffres, et ce à chaque nouvelle connexion. Ce qui, en somme, s’éloigne des standards habituels.
Manque de professionnalisme
La faille se situe alors dans le processus suivant : le code reçu par l’internaute est aussi envoyé à l’application dans une réponse HTTP, non chiffrée. Conséquences : il suffit à un hacker d’analyser le trafic réseau pour intercepter le code pin qu’il utilisera dans la foulée pour se connecter. Une erreur pour le moins naïve de la part du Vatican.
Libre au pirate informatique de récolter l’ensemble des données liées à sa victime : numéro de téléphone, email, nom, genre, date de naissance, taille, poids, avatar ou encore biographie. Supprimer le compte fait même partie de son champ d’action. Contactée par Baptiste Robert, la ville-État située au cœur de Rome a depuis corrigé cette anomalie.