Encore une fuite d'informations personnelles, de nouveau via une base de données MongoDB mal sécurisée. 31 millions d'utilisateurs du clavier alternatif Ai.Type sont ainsi impactés : de nombreux détails étaient librement accessibles sur Internet.
Les bases de données MongoDB sont régulièrement la cible des pirates, qui n'ont parfois qu'à se servir à cause d'une mauvaise configuration. Le clavier alternatif Ai.Type vient d'en faire les frais : une BDD de 577 Go était librement accessible (sans mot de passe) en lecture et en écriture, comme le rapportent nos confrères de MacKeeper.
Le serveur appartient au co-fondateur de l'application, Eitan Fitus, ajoute ZDNet, qui a également pu accéder à une partie de la base de données. Après plusieurs tentatives pour le contacter, Fitus reconnait finalement le manque de sécurité à nos confrères et sécurise la base, sans davantage d'explications. Seuls les utilisateurs Android seraient concernés, mais cela reste à confirmer.
31 millions de clients touchés, 373 millions de données accessibles
Plus de 31 millions de clients sont impactés par cette fuite, contenant de très nombreuses informations personnelles : numéro de téléphone, nom du propriétaire, marque et modèle du smartphone, information sur le réseau mobile, définition de l'écran, langues, version d'Android, numéros IMSI et IMEI, emails associés au téléphone, pays de résidence, informations et liens des réseaux sociaux (Google+, Facebook, etc.) adresse IP et enfin la localisation (longitude et latitude)... excusez du peu.
Pire encore, plus de 6 millions d'entrées contiennent des numéros de téléphone et noms récupérés dans les contacts du smartphone. Plusieurs tables de la base de données contenaient également la liste des applications installées note ZDNet.com. Au total, pas moins de 373 millions de données étaient ainsi librement accessibles selon MacKeeper.
Pas de chiffrement, du texte saisi par les utilisateurs se trouverait dans la base de données
Vous en voulez encore ? Nos confrères ajoutent que l'ensemble des informations n'était pas chiffré… et ce n'est pas fini : « nous avons vu une table contenant plus de 8,6 millions d'entrées de texte saisies en utilisant le clavier ». Dans le lot, il serait question de « numéros de téléphone, de mots clés pour des recherches sur le Web et, dans certains cas, des adresses email concaténées et des mots de passe correspondants ».
« En théorie, il est logique que toute personne ayant téléchargé et installé le clavier virtuel Ai.Type sur son téléphone ait toutes les données de son téléphone en ligne » indique MacKeeper. De son côté, Ai.Type affirme sur la page de présentation de son clavier que « votre vie privée est notre principale préoccupation ». Effectivement, la société s'y intéresse de très près, beaucoup trop même...
Comme toujours, cette affaire soulève la question des droits accordés aux applications, souvent bien trop larges pour le service proposé. Mais les éditeurs en profitent parfois pour récupérer plus d'informations que nécessaire afin de les monétiser par la suite. « Si c'est gratuit, c'est que c'est vous le produit » comme le précise l'adage.
Comme le rappelle ZDNet, Ai.Type propose deux versions de son application : une gratuite avec publicité et une payante. Les deux collectent des informations personnelles des utilisateurs, mais le rayon d'action de la première est bien plus large...
En attendant d'avoir plus de précision de la part d'Ai.Type – qui reste pour le moment muette – il est conseillé de changer vos mots de passe si vous utilisez cette application.
Commentaires (44)
#1
Sidérant.
" />
Par contre, pas envie de lire la politique de sécurité pour savoir en quoi la version gratuite est pire que la payante !
#2
Je comprendrais jamais les admin qui laisse une bdd sans mot de passe…
Après, je trouve ça très bizarre qu’à l’install de MongoDB aucun mot de passe ne soit imposé…
#3
Bof, vu la fréquence à laquelle sont publiées ces news sur le piratage je dirais que c’est plus “routinier” que “sidérant”…
" />
" />
Ils devraient recruter chez Pampers, paraît qu’ils sont doués pour “l’anti-fuites”…
#4
comme le rapportent nos confrères de MacKeeper.Heu ! MacKeeper, le “pouriciel” que les utilisateurs confirmés sur Mac connaissent et qui ne l’installent pas.
#5
Attendez, si je comprend bien, c’est une appli “clavier” qui collecte cette myriade de données qui ne lui servent à rien pour fonctionner mais se revendent drolement bien ?
" />
#6
Heuuu je reviens j’ai quelques mdp a changer moi… et apres je retourne fumer l’editeur.. pardon, le stagiaire dans son garage…
#7
Quoi de mieux qu’un clavier virtuel pour faire un keylogger?
" />
Les apps permettant de remplacer le clavier virtuel devraient
systématiquement être auditées par google/apple avant d’atterrir sur les
stores.
#8
#9
Je n’utilisais aucun clavier alternatif pour éviter ça justement…
Même si le clavier par défaut est perfectible (sous iOS) au moins, les données restent DANS le téléphone…
#10
“clavier virtuel => pas d’enregistrement des données, pas d’accès au contact”
Hmm, en même temps, la présence des contacts dans les prédictions du clavier sont utiles bien que pas indispensable.
Il est très dur d’appliquer des règles générales, certaines collectes peuvent être fait dans un but d’apport de fonctionnalité.
#11
#12
Au contraire. Ce genre de claviers vont te faire des prédictions de mots pour t’éviter de taper le mot en entier. Il va apprendre tes phrases habituelles pour devenir plus “intelligent” et personnalisé avec le temps.
Swiftkey a dû être un des premiers du genre.
#13
Assez hallucinant que ce type d’incompétence ait encore lieu…
Dans des situations pareilles, des poursuites (devraient automatiquement être engagées contre la société ou les auteurs des applications concernées.
Même si c’est aussi à l’utilisateur de veiller aux services qu’il utilise (et aux droits/informations qu’ils demandent), il devrait y avoir des garanties minimales à respecter de nos jours.
Mais bon, quand on voit le pouvoir limité des CNIL et consorts…
#14
+1.
… Ou sinon, des applis open-source, auditées par la communauté.
#15
On se retrouve tristement à la merci de l’attention d’une seule personne, le sysadmin… Comme quoi, c’est pas un pauvre boulot de merde que tout le monde peut faire, mais un vrai boulot qui devrait être géré par plusieurs personnes pour éviter ce genre d’erreurs.
#16
Mouais lol
“intelligent” je me méfierais ^^ le clavier normal apprend tres bien sans collecté autant de choses et en les sécurisant autrement plus fortement
#17
#18
Pourquoi toutes ces données sont récoltées par le clavier en premier lieu ? Le beau keylogger que voilà
" />
" />
« Si c’est gratuit, c’est que c’est vous le produit » comme le précise l’adage.
Je ne suis pas tout à fait d’accord avec cet adage, par ailleurs. Les logiciels réellement gratuits et non-intrusifs, ça existe. Même sur Android
#19
#20
Sauf que ça finit par être très agaçant. Moi ça me fait perdre un temps fou.
#21
#22
#23
Une base de donnée accessible depuis le net et sans mot de passe ? 
" />Je dis bravo
#24
#25
du grand art.
ce mec mérite d’être cloué au pilori.
Apple et Google devraient immédiatement interdire toute installation de cette appli tant qu’une MAJ n’a pas été effectuée.
#26
Justement je parle de celui de windows phone. Il collecte des données de manières globale mais pas que pour lui. De plus j’ai plus confiance en crosoft que dans une petite équipe qui semble vraiment être des arnaqueurs qui se foutent de leur client ;)
Quand tu laisse une telle base de données sans aucune sécurité c’est pas un “bug” ou une “erreur” c’est intentionnel.
#27
Bah non c’est sans doute pas intentionnel, en tout cas je vois pas l’intérêt. Ils peuvent même pas revendre les données puisqu’elles sont librement accessibles. C’est juste de l’amateurisme.
#28
Intentionnel dans le sens ou
1- ça demande du boulot et des compétences
2- ça demande de l’argent
3- après tout, qui s’en soucie ?
Totalement intentionnel, surtout quand tu écris sur ton site que la sécurité est ta priorité. Vu l’appli c’est pas des amateurs…
#29
Va savoir… J’ai trouvé ça un peu gros aussi comme gaffe, au premier abord… puis je suis allé voir leur linked-in qui recense 12 employés, on peut deviner plus de la moitié en marketing, bref, ça n’a pas l’air d’être si pointu techniquement. Surtout du bla-bla. Je parierais plutôt sur de l’amateurisme :-)
#30
C’est vrai qu’actuellement dans la tech et l’informatique on ne parle jamais de sécurité… Que les dev ne savaient pas du tout où ils envoyés la masse très conséquente de données collectées.
Quand tu collecte autant tu sais mieux que personne où elle vont et comment. La faille aurait été sur le clavier en lui même, le soft ou encore sur leur site web je dis pas. Mais sur leur gagne pain ? Franchement, quel dev est demeuré au point de ne pas hasher une base de donnée aussi énorme ?
On parle pas de 10 000 personnes … 31 millions tu te pose certaines questions sur la sécurité, ils jouent la carte de l’amateurisme à plein pour pas se faire accuser d’avoir négligé la sécurité pour économiser du fric
#31
Non mais faut pas exagérer, mettre un mot de passe sur une base mongo (on parle pas de chiffrer le contenu hein, on parle juste de mettre un mot de passe) c’est pas ça qui coûte de l’argent, n’importe qui peut le faire en 2 minutes. Il n’y a aucun intérêt à ne pas le faire, vraiment j’en vois aucun, ou alors faudra m’expliquer plus en détail. A part l’ignorance, je vois pas.
#32
Même la RGPD ne permettra pas d’aller assez loin avec ce genre de comportement.
Une (grosse) amende c’est bien, mais franchement je verrais bien des sanctions pénales avec peine de prison pour des cas aussi extrêmes…
#33
#34
si c’est comme swiftkey, il doit y avoir enregistrment des frappes du clavier pour faire de la prédiction des mots.
Swiftkey explique bien ça et on peut y souscrire ou ne pas utiliser le clavier.
#35
Ce qu’il faut, ce sont de vraies lois interdisant purement et simplement la collecte de données personnelles ainsi que leur revente.
Et pour que ces lois soient respectées, il faudra de vraies peines de prison dissuasives à la clé.
#36
Si je ne me trompes pas, poru swiftkey il suffit de refuser de se connecter avec son compte google/microsoft pour qu’il ne collecte pas de données (mais le choix des thèmes du clavier est bien plus restreint, il faut bien motiver les gens à se connecter !)
#37
@secouss Le clavier normal ? Mais il collecte, bien sûr que si. Et si, il collecte autant. La différence étant peut-être qu’il n’envoie pas les données collectées en ligne (et c’est tant mieux).
@numerid Quoi te fait perdre ton temps ? Les suggestions ? T’es pas obligé de cliquer dessus, tu sais.
#38
Il collecte, mais il n’envoie pas en ligne, nuance. Mais il collecte.
#39
Mais… Comment tu fais un clavier qui s’adapte à l’utilisateur sans collecter des données sur l’utilisateur ?
#40
Justement je ne dis pas qu’il collecte pas (mauvaise expression de ma part) mais que j’ai plus confiance. De plus il envoit des données en ligne. C’est juste autrement plus sécurisé…
#41
#42
La question de certains dans les commentaires porte sur la collecte par le clavier (que ça reste en local ou non). Genre “Android devrait interdire aux claviers d’enregistrer des données” “d’accéder à internet” (oui mais les claviers de gifs, hein ?). Bref sinon je suis d’accord, de la collecte de données devrait être conservée en local, filtrée de manière intelligente (l’API indique au clavier que c’est un champ de mot de passe, donc pas de keylogging à ce moment, etc).
#43
Sauf que si tu veux faire tourner les algos de machine learning pour améliorer la prédiction, tu vas pas le faire sur le petit snapdragon de ton smartphone. Je ne sais pas si ai.type fait du machine learning, mais ce ne serait pas déconnant.
#44
https://images.apple.com/privacy/docs/Differential_Privacy_Overview.pdf