Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser les commentaires pour donner votre avis, ou la page de contact pour nous contacter. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Le chapelet connecté du Vatican était livré avec une faille de sécurité

Bienvenue en 2019, l'année où des chercheurs doivent alerter le Vatican sur les failles de sécurité de ses chapelets connectés.

Oui, vous avez bien lu ce titre. Le Vatican avait annoncé la commercialisation il y a quelques jours d'un chapelet connecté. Il a appris à ses dépends que la sécurité était importante, même pour ce type d'objets, à priori innocents. Des chercheurs en cybersécurité y ont en effet trouvé une faille de sécurité, depuis résolue.

Le chapelet s'appelle le eRosary et il est connecté à une application mobile nommée Click to pray (cliquer pour prier). Il s'active lorsque l'on fait un signe de croix. L'application propose ensuite des contenus personnalisés pour accompagner l'utilisateur dans sa pratique de la religion (images, guide audio, etc).

Proposé à 99 euros, il est uniquement vendu sur le site italien d'Acer et Amazon pour le moment. Le Vatican avait indiqué dans un communiqué du 15 octobre 2019 qu'il était surtout destiné aux jeunes.

https://www.youtube.com/watch?v=2W_27g0ORxU

Des milliers de personnes utiliseraient déjà l'application, qui fonctionne aussi indépendamment du bracelet. Le pape aurait lui-même un compte dessus...

Une faille importante

Fidus InfoSecurity, une firme spécialisée en sécurité informatique, a indiqué sur Twitter le 17 octobre qu'en « moins de 5 minutes », elle avait trouvé une faille dans l'application d'eRosary. Cette faille serait massive : elle permettrait, selon eux, d'obtenir des mails, numéros de téléphone, taille, poids et d'autres informations personnelles sur les utilisateurs.

https://twitter.com/FidusInfoSec/status/1184823900519227393?s=20

Le spécialiste Baptiste Robert (qui se fait appeler Elliot Alderson sur Twitter) est également parvenu à hacker l'application du Vatican. Il a expliqué les avoir contacté et assure que la faille a depuis été résolue. Le service presse de Click and pray a confirmé ceci à Numerama, indiquant que les failles avaient été résolues « en moins de 24 heures ». La faille ne semble pas avoir été exploitée à des fins malveillantes et Click and Pray a remercié ceux qui le lui avaient signalé.

https://twitter.com/fs0c131y/status/1185427381558886400

Dans un rapport publié en ligne, Baptiste Robert précisait qu'il avait accès aux informations listées par Fidus mais aussi au genre, à la date d'anniversaire, à la photo de profil ou à la localisation des utilisateurs. Pour y parvenir, il disait que le « seul prérequis » était de connaître l'adresse email de sa victime.

Il indiquait également qu'il était possible de se connecter à son compte sans mot de passe. L'application en effet, requiert un code envoyé par email. Or ce code était accessible très facilement, depuis l'API de l'application.