Chercheur en cybersécurité connu et reconnu, Baptiste Robert a décelé une faille informatique au sein du chapelet connecté du Vatican, eRosary. Seulement quinze minutes lui ont suffi pour accéder au compte utilisateur de sa cible.

Il est né le divin hacker. Baptiste Robert, aussi connu sous le pseudo Twitter Elliot Alderson – en référence au personnage fictif de Mr. Robot incarné par le génialissime Rami Malek – a fait de la recherche de brèches informatiques son véritable fer de lance. En publiant ses trouvailles sur le réseau social à l’oiseau bleu, l’intéressé s’est forgé une solide réputation, récompensée par une importante communauté de 131 000 abonnés.

L’un de ses derniers faits d’armes mis au jour courant octobre a rapidement reçu un fort écho médiatique : le chercheur en cybersécurité a en effet révélé une importante faille dénichée dans le chapelet connecté du Vatican, eRosary. Plus surprenant encore, il ne lui a fallu que quinze petites minutes pour s’infiltrer dans le rosaire de sa victime, comme le rapporte CNET.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

Veni, vidi, vici

Commercialisé au prix de 99 euros, eRosary s’appareille à une application iOS ou Android elle aussi développée par le Vatican, intitulée Click To Pray eRosary. Ce binôme connecté accompagne ainsi un utilisateur au gré de ses prières par le biais de guides audio et des contenus personnalisés. Le chapelet enregistre même toute une série de données, tels que le nombre de pas effectués dans une journée et la fréquence des prières.

Image d'erreur

À l’image de Jules César après sa victoire éclair en -47 face au roi Pharnace II, près de Zéla (Asie Mineure), Baptiste Robert est venu, a vu et a vaincu le chapelet connecté du Vatican en un très court laps de temps. // Crédit photo : 139904 via Pixabay.

À savoir désormais comment un pirate informatique est capable de prendre le contrôle d’un compte ciblé : en connaissant son adresse email, tout simplement. Comme l’explique Baptiste Robert dans un rapport public, un utilisateur reçoit sur son adresse email indiquée un code pin à quatre chiffres, et ce à chaque nouvelle connexion. Ce qui, en somme, s’éloigne des standards habituels.

Manque de professionnalisme

La faille se situe alors dans le processus suivant : le code reçu par l’internaute est aussi envoyé à l’application dans une réponse HTTP, non chiffrée. Conséquences : il suffit à un hacker d’analyser le trafic réseau pour intercepter le code pin qu’il utilisera dans la foulée pour se connecter. Une erreur pour le moins naïve de la part du Vatican.

Libre au pirate informatique de récolter l’ensemble des données liées à sa victime : numéro de téléphone, email, nom, genre, date de naissance, taille, poids, avatar ou encore biographie. Supprimer le compte fait même partie de son champ d’action. Contactée par Baptiste Robert, la ville-État située au cœur de Rome a depuis corrigé cette anomalie.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !