Une société américaine a exposé des millions de SMS et d’appels

Des millions de messages texte et d’historiques d’appels exposés à la vue de tous: voilà ce qu’à découvert Justin Paine, un chercheur en sécurité basé à San Francisco.

Cette trouvaille interpellante, l’expert l’a faite alors qu’il explorait une base de données de plusieurs dizaines de gigaoctets détenue par Voipo, une entreprise californienne de télécommunications.

Difficile de faire encore confiance aux entreprises du secteur de la télécommunication dans un tel contexte. En novembre dernier, une base de données de 26 millions de SMS avait déjà été exposée à cause d’une ironique faille de sécurité chez Voxox, un service d’authentification à double facteur.

Dans le cas de Voipo, ce sont plus exactement 6 millions de SMS et 7 millions de journaux d’appels qui étaient accessibles au premier venu, sans compter d’autres documents internes contenant des mot de passes non cryptés. Seulement, les recherches de Justin Paine n’ont pas permis de savoir si une personne, malintentionnée ou non, avait eu accès à ces données avant lui.

Étrangement, la base de données a été mise hors ligne avant que l’expert en sécurité informatique n’ait eu le temps d’informer l’entreprise sur la localisation de la faille. Justin Paine avait justement contacté le directeur de la technologie de l’entreprise un peu plus tôt pour l’informer de son existence.

Qui sait ce qu’aurait pu faire un hacker en possession de telles données? L’intégralité du contenu des messages était disponible, de même que tous les détails les concernant, à savoir : l’heure, la date même le nom du destinataire. La base de données couvrait une période qui remontait du 8 janvier dernier à mai 2015.