Déjà accusée de collecter copieusement les données de ses utilisateurs il y a plusieurs mois, le réseau Sarahah, popularisé par les adolescents arabophones, serait victime de graves failles de sécurité selon des chercheurs en sécurité informatique anglais.

Sarahah a été une des applications à connaître un succès fulgurant en 2017. Inventée et popularisée en Arabie Saoudite, cette messagerie anonyme qui servirait à connaître ce que pensent de nous nos proches s’est répandue à travers l’Occident. Elle compterait des millions d’utilisateurs à travers le globe, principalement de jeunes gens. En août, elle était accusée de collecter des données de ses utilisateurs mobiles à leur insu. Son fondateur s’était alors excusé, remettant la responsabilité sur « un bug ».

Failles et vulnérabilités

Aujourd’hui, la messagerie est de nouveau dénoncée par des chercheurs : selon Scott Helme, la version web de Sarahah serait très vulnérable. Selon cet expert anglais, la page en ligne de la messagerie serait sujette à des failles qui permettent des attaques CSRF –Cross-Site Request Forgery.

Ce type d’attaque consiste, pour l’assaillant, à utiliser l’accès d’un utilisateur authentifié pour certaines actions, afin de mener des attaques ultérieurement en s’octroyant l’identité d’un utilisateur. Helme considère que la version web de Sarahah serait très facile à tromper grâce à ce type de manipulation.

La version web de Sarahah, capture d'écran de Scott Helme

La version web de Sarahah, capture d’écran de Scott Helme

Ce n’est pas la seule faille recensée par l’Anglais qui rappelle qu’un homologue, Rony Das de la firme indienne Defencely, avait également découvert une faille permettant le Cross-site Scripting (XSS), une technique visant à ajouter des contenus à une page internet. Un assaillant peut ainsi ajouter différents scripts à l’insu des administrateurs et utilisateurs, pouvant conduire à d’autres attaques.

Scott Helme compte également un autre problème de sécurité sur cette page web : selon lui, les en-têtes de message HTTP (http headers) empêcheraient le protocole HSTS qui permet d’établir une connexion par exemple chiffrée (HTTPS).

Sarahah, première du classement français d'Apple en août dernier

Sarahah, première du classement français d’Apple en août dernier

Au-delà des problèmes de sécurité, l’Anglais pose de nombreuses questions quant au fonctionnement du site. Alors que ce dernier a mauvaise presse auprès de certains à cause du cyberharcèlement qu’il permettrait, Helme estime que la messagerie manque de professionnalisme pour traiter ce sujet. Remarquant qu’il est impossible de supprimer un message, qu’il n’existe pas de limite d’envoi, le chercheur estime que les précautions de l’application sont insuffisantes face au risque de harcèlement.

Le chercheur anglais, avant de publier l’ensemble de ces découvertes, a contacté a plusieurs reprises l’équipe de Sarahah. Du 8 août à ce lundi 23 octobre, Sarahah a largement ignoré les messages du chercheur, le conduisant à publier son billet de blog sur les différentes failles qu’il identifie. Helme conclu : « En sachant ce que j’ai trouvé, et la manière dont on m’a répondu, je n’utiliserais vraiment pas ce service moi-même. »


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !