Bienvenue en 2019, l’année où des chercheurs doivent alerter le Vatican sur les failles de sécurité de ses chapelets connectés.

Oui, vous avez bien lu ce titre. Le Vatican avait annoncé la commercialisation il y a quelques jours d’un chapelet connecté. Il a appris à ses dépends que la sécurité était importante, même pour ce type d’objets, à priori innocents. Des chercheurs en cybersécurité y ont en effet trouvé une faille de sécurité, depuis résolue.

Le chapelet s’appelle le eRosary et il est connecté à une application mobile nommée Click to pray (cliquer pour prier). Il s’active lorsque l’on fait un signe de croix. L’application propose ensuite des contenus personnalisés pour accompagner l’utilisateur dans sa pratique de la religion (images, guide audio, etc).

Proposé à 99 euros, il est uniquement vendu sur le site italien d’Acer et Amazon pour le moment. Le Vatican avait indiqué dans un communiqué du 15 octobre 2019 qu’il était surtout destiné aux jeunes.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

Des milliers de personnes utiliseraient déjà l’application, qui fonctionne aussi indépendamment du bracelet. Le pape aurait lui-même un compte dessus…

Une faille importante

Fidus InfoSecurity, une firme spécialisée en sécurité informatique, a indiqué sur Twitter le 17 octobre qu’en « moins de 5 minutes », elle avait trouvé une faille dans l’application d’eRosary. Cette faille serait massive : elle permettrait, selon eux, d’obtenir des mails, numéros de téléphone, taille, poids et d’autres informations personnelles sur les utilisateurs.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

Le spécialiste Baptiste Robert (qui se fait appeler Elliot Alderson sur Twitter) est également parvenu à hacker l’application du Vatican. Il a expliqué les avoir contacté et assure que la faille a depuis été résolue. Le service presse de Click and pray a confirmé ceci à Numerama, indiquant que les failles avaient été résolues « en moins de 24 heures ». La faille ne semble pas avoir été exploitée à des fins malveillantes et Click and Pray a remercié ceux qui le lui avaient signalé.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

Dans un rapport publié en ligne, Baptiste Robert précisait qu’il avait accès aux informations listées par Fidus mais aussi au genre, à la date d’anniversaire, à la photo de profil ou à la localisation des utilisateurs. Pour y parvenir, il disait que le « seul prérequis » était de connaître l’adresse email de sa victime.

Le chapelet dans sa boîte, en forme de Bible. // Source : Capture d'écran YouTube / Click & Pray

Le chapelet dans sa boîte, en forme de Bible.

Source : Capture d'écran YouTube / Click & Pray

Il indiquait également qu’il était possible de se connecter à son compte sans mot de passe. L’application en effet, requiert un code envoyé par email. Or ce code était accessible très facilement, depuis l’API de l’application.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !