EN TRAIN DE LIRE...

Sarahah : pointée du doigt pour les failles de séc...

Sarahah : pointée du doigt pour les failles de sécurité !

Sarahah : pointée du doigt pour les failles de sécurité !

L’application Sarahah a été pour un moment une star sur Facebook en Tunisie. Son concept est assez simple : recevoir et envoyer des messages à travers un système de messagerie anonyme. En fait, le destinataire est ciblé, c’est l’expéditeur qui est anonyme. Cet anonymat a déclenché un lâcher-prise collectif. L’utilisation de cette application est-elle sans risques ?

L’histoire de l’application Sarahah

Sarahah a été inventée par le développeur saoudien Zain al-Abidin Tawfiq pour être un réseau social permettant d’envoyer et de recevoir des messages anonymes. Ayant vu le jour en Arabie Saoudite, cette messagerie anonyme s’est propagée à travers le globe. A la base, il a eu l’idée de créer un outil permettant aux salariés de s’exprimer « sans filtres » à propos de leurs employeurs. Ainsi, il pensait, semble-t-il, que les gens sont plus honnêtes quand leurs messages sont anonymes. D’ailleurs, « Sarahah » signifie « franchise » ou « honnêteté » en arabe. L’application a connu une popularité assez remarquable dans les pays arabophones et encore chez les adolescents anglophones.

Sarahah : Quelles risques courent ses utilisateurs ?

En août, Sarahah a été accusée de collecter des données auprès de ses utilisateurs mobiles à leur insu. Son fondateur s’est excusé tout en remettant la responsabilité sur « un bug ».

Aujourd’hui, la messagerie est encore une fois dénoncée par un chercheur en sécurité informatique. Ce dernier,  Scott Helme, affirme que la version web de Sarahah serait très vulnérable. En effet,  la page en ligne de la messagerie contient des failles de sécurité l’exposant à des attaques de type « Cross-Site Request Forgery » CSRF. Ce type d’attaque permet à l’assaillant de faire exécuter à l’utilisateur des actions à son insu directement sur son ordinateur.

Un autre expert en sécurité informatique, Rony Das de la firme indienne Defencely, avait également découvert une faille dans la version web de Sarahah permettant le Cross-site Scripting (XSS), et ainsi l’ajout de scripts malveillants à la page internet. De plus, le site n’établit jamais de connexion chiffrée puisqu’il empêche le protocole HSTS permettant d’établir une connexion par exemple chiffrée.

 

En fait, avant de publier l’ensemble de ses découvertes, Scott Helme a eu la bienveillance de contacter l’équipe de Sarahah. Après leur silence radio, qui duré du 8 août à ce lundi 23 octobre, ce dernier a publié sur son blog  les différentes failles identifiées. Face à ces éventuels risques, nous vous conseillons de vous passer des services de cette messagerie anonyme.