Après plusieurs failles de grande ampleur, l’application d’échange de contenus éphémères a enfin atteint un niveau de sécurité optimal, selon ses dirigeants.
« Nous nous préoccupons tellement de nos utilisateurs que nous supprimons leurs données. C’est quelque chose que la plupart de nos concurrents ne font pas. Parce qu’elles ont de la valeur. Cela nous coûte de faire ça. Cela prouve qu’il y avait dés le départ une éthique particulière« . S’il est surprenant de lire cette phrase de Tim Sehn, ingénieur sécurité chez Snapchat sur Medium, c’est que la communication de la firme américaine ne s’est pas toujours voulue aussi humble et rassurante.
{"type":"Pave-Haut2-Desktop"}
Et pourtant, si cela semblait impensable il y a encore un an, l’heure est aux excuses et à l’opération séduction, comme le montre la parution de cette longue interview de l’équipe technique menée par Back Channel, titrée : « Vous pouvez nous faire confiance« . En communiquant sur la publication d’un rapport sur la transparence, la mise en place d’une chasse aux bugs (avec récompense à la clef), et une déclaration de guerre aux applications tierces, créées dans le but d’ajouter des fonctionnalités à une application déjà existante, l’entreprise veut montrer patte blanche. Il faut dire que les nombreuses fuites de données et de photos de ses utilisateurs avaient clairement entaché son image.
Le Snappening
Une première attaque avait eu lieu en 2013 au cours de laquelle 4,6 millions de comptes avaient été piratés. Un an plus tard, en octobre dernier, des hackers se sont attaqués à SnapSaved, une application tierce qui permet de conserver automatiquement toutes les images et les vidéos reçues via Snapchat. Au total ce sont 13 gigaoctets de données émises par 200 000 utilisateurs qui ont récupérées et mises en téléchargement sur le site viralpop.com, avant d’être relayées par certains membres malveillants de 4chan.
Pour autant, a aucun moment le géant qui vaut désormais 19 milliards de dollars n’avait cherché à se montrer rassurant. A quoi bon ? Ni ces deux affaires, ni même les remontrances de la FTC, n’ont eu d’impact sur l’augmentation de sa fréquentation. En janvier 2014, Forbes estimait ainsi le nombre de snapchatters à 50 millions. Ils sont le double aujourd’hui.
Changement de cap
Conscients de la fragilité de cette croissance, si affolante soit-elle, Evan Spiegel et Bobby Murphy, les fondateurs, ont décidé qu’il était temps de tranquilliser leurs utilisateurs. Via cette interview de leur trio de techniciens, ils affirment faire des efforts pour améliorer la sécurité de leur service depuis plusieurs années. Notamment en embauchant dés 2013 Tim Sehn, un des meilleurs ingénieurs d’Amazon.
Il raconte à Back Channel que son arrivée a concordé avec la publication par un média de tous les secrets de l’interface de programmation de l’application. Une information que certains codeurs se sont empressés d’utiliser pour créer les fameuses « applications tierces », comme Snapsaved. Simultanément, les attaques de spammers ont commencé à se multiplier. « A l’époque, nous n’avions pas les outils de base pour traiter les spams manuellement. Alors nous avons commencé à travailler sept jours sur sept et vingt quatre heures sur vingt quatre pour mettre en place nos défenses. » Raconte Tim Sehn. Depuis, si l’entreprise détecte une activité suspicieuse, l’application n’aura plus accès à internet sur aucun des smartphones de la zone dans laquelle le hacker supposé se trouve.
Pour parfaire leur arsenal, un chargé de sécurité a par la suite été embauché en avril 2014. Débauché chez Google, Jad Boutros explique qu’il s’est tout de suite attaqué à une « liste énorme d’améliorations » nécessaires selon lui. Sous sa tutelle, le code de base a été sécurisés et des protocoles de sécurité ont été imposés aux ingénieurs. « La situation était mauvaise, mais à présent, il est très très difficile pour les spammers de créer des comptes« , déclare-t-il. Quant au problème relatif aux « applications tierces », il serait apparemment aussi sous contrôle selon lui, puisque l’interface de programmation a été entièrement renforcée. Pour confirmer l’efficacité de la manœuvre, il suffit d’aller faire un tour sur la page Itune de commentaires des utilisateurs d’une de ces applications comme SnapCrack, suggère Back Channel : ils y déplorent tous son dysfonctionnement depuis quelques semaines.
Pour ce qui est des changements plus récents, l’entreprise lance un vaste programme de recrutement de hackers dans le monde entier. Une fois intégrés, ils seront récompensés s’ils notifient la moindre faille qu’ils auraient détectées. Enfin, Snapchat acceptent désormais, comme Google, Facebook et Yahoo, de publier régulièrement un « rapport de transparence ». Il y est révélé le nombre de demande d’information émanant des gouvernements auxquelles il a été répondu. On apprend dans celui de ce jeudi 2 avril que la France a fait neuf demandes concernant neuf comptes différents. C’est plus que n’importe quel pays, les Etats Unis mis à part.
Une sécurité presque parfaite
Si tout à l’air pour le mieux dans le meilleur de monde, un élément reste à déplorer malgré tout. Car pour s’assurer que les contenus échangés ne puissent être interceptés à aucun moment, la disparition des applications tierces et la promesse de Snapchat de les effacer une fois vus par le destinataire ne suffit pas. Il faudrait qu’ils soient encryptés « de bout en bout » : de l’envoi à la réception. Ainsi personne, pas même un employé de la firme, ne pourrait voir les photos, messages et vidéos qui transitent via ses serveurs. Mais l’instauration d’un tel processus n’est pas à l’ordre du jour chez Snapchat, qui se félicite dans un premier temps des progrès accomplis. Tout viendra peut-être à point à qui sait attendre.
{"type":"Banniere-Basse"}