Le chapelet connecté du Vatican était livré avec une faille de sécurité
Oui, vous avez bien lu ce titre.
Le chapelet s'appelle le eRosary et il est connecté à une application mobile nommée Click to pray (cliquer pour prier). Il s'active lorsque l'on fait un signe de croix. L'application propose ensuite des contenus personnalisés pour accompagner l'utilisateur dans sa pratique de la religion (images, guide audio, etc).
Proposé à 99 euros, il est uniquement vendu sur le site italien d'Acer et Amazon pour le moment. Le Vatican avait indiqué dans un communiqué du 15 octobre 2019 qu'il était surtout destiné aux jeunes.
https://www.youtube.com/watch?v=2W_27g0ORxU
Des milliers de personnes utiliseraient déjà l'application, qui fonctionne aussi indépendamment du bracelet. Le pape aurait lui-même un compte dessus...
Une faille importante
Fidus InfoSecurity, une firme spécialisée en sécurité informatique, a indiqué sur Twitter le 17 octobre qu'en « moins de 5 minutes », elle avait trouvé une faille dans l'application d'eRosary. Cette faille serait massive : elle permettrait, selon eux, d'obtenir des mails, numéros de téléphone, taille, poids et d'autres informations personnelles sur les utilisateurs.
https://twitter.com/FidusInfoSec/status/1184823900519227393?s=20
Le spécialiste Baptiste Robert (qui se fait appeler Elliot Alderson sur Twitter) est également parvenu à hacker l'application du Vatican. Il a expliqué les avoir contacté et assure que la faille a depuis été résolue. Le service presse de Click and pray a confirmé ceci à Numerama, indiquant que les failles avaient été résolues « en moins de 24 heures ». La faille ne semble pas avoir été exploitée à des fins malveillantes et Click and Pray a remercié ceux qui le lui avaient signalé.
https://twitter.com/fs0c131y/status/1185427381558886400
Dans un rapport publié en ligne, Baptiste Robert précisait qu'il avait accès aux informations listées par Fidus mais aussi au genre, à la date d'anniversaire, à la photo de profil ou à la localisation des utilisateurs. Pour y parvenir, il disait que le « seul prérequis » était de connaître l'adresse email de sa victime.
Il indiquait également qu'il était possible de se connecter à son compte sans mot de passe. L'application en effet, requiert un code envoyé par email. Or ce code était accessible très facilement, depuis l'API de l'application.