uKnowKids est un logiciel de contrôle parental permettant de surveiller les activités des enfants en ligne, notamment ce qu’ils font sur les réseaux sociaux ainsi que les informations échangées à partir de leur smartphone.
Bref, un outil pour les parents modernes qui souhaitent protéger leurs enfants des dangers qui existent en ligne. Cependant, l’expert en sécurité informatique Chris Vickery vient de découvrir qu’une faille dans la configuration de la base de données de l’entreprise exposait à tout public des données à propos de plus de 1700 enfants, ce qui représente plus de 6,8 millions de messages textes, près de 2 millions d’images, dont de nombreuses contenant des photos d’enfants, ainsi que les profils d’environ 1700 enfants sur les réseaux sociaux.
Ces profils incluent presque de manière systématique le prénom et le nom de l’enfant, son adresse email, sa date de naissance, les coordonnées GPS de son lieu de résidence, les informations permettant d’accéder à ses réseaux sociaux et bien d’autres choses encore.
Vickery a contacté l’entreprise à propos de cette énorme faille de sécurité et a été initialement remercié par le PDG de uKnowKids, qui lui a écrit » Merci encore de m’avoir alerté à propos de cette faille que vous avez découvert. Je suis très sensible à chacune et à n’importe quelle faille dans le système de sécurité (et dans ce cas, carrément une défaillance) et c’est pourquoi je vous suis très très reconnaissant de m’avoir alerté.. »
Mais alors qu’il avait remercié Vickery par le biais de ses emails, le PDG a été bien moins sympathique au téléphone avec l’expert en sécurité informatique, qui affirme : « Steve Woda a essayé toutes les tactiques d’intimidation qui existent contre moi. Je peux seulement imaginer que c’est parce qu’il ne veut pas que quiconque soit au courant à propos de cet incident. «
Après cet échange, l’entreprise uKnowKids elle-même a posté une déclaration publique stipulant qu’un « hacker s’était introduit dans la base de données de uKnowKids », avant d’affirmer ensuite dans un tweet que l’entreprise voulait « partager des informations urgentes à propos d’une faille de sécurité que nous avons découvert… «
La base de données en question était en ligne au minimum 48 jours avant que Vickery ne la découvre à l’aide du moteur de recherche Shodan.
Shodan est un moteur de recherche qui permet de trouver un certain nombre d’appareils connectés à Internet et qui a été utilisé par le passé pour mettre en évidence des failles similaires.
Shodan a récemment été sous le feu des projecteurs en raison d’une fonctionnalité permettant de rechercher des webcams non protégées et pouvant être activées à distance.
D’après Vickery toujours, la base de données de uKnowKids n’était pas protégée et était ouverte à l’accès public, puisqu’elle « ne nécessitait aucune forme d’authentification ni de mot de passe et ne protégeait pas ces données du tout ».
Vickery est connu pour avoir mis en évidence de nombreuses failles dans des bases de données en utilisant le moteur de recherche Shodan.
L’année dernière, il avait déjà réussi à montrer que la base de données des électeurs américains était exposé en ligne d’une manière similaire.
Il avait aussi par le passé montré qu’une faille dans le logiciel de sécurité informatique MacKeeper mettait en danger les mots de passe et les données privées de près de 13 millions de clients du logiciel.
En réponse à ce grave incident, MacKeeper avait immédiatement embauché Vickery en personne. Le blogger spécialiste des nouvelles technologies Brian Kerbs décrit Vickery comme « le mec du service informatique la journée, et l’expert en sécurité informatique la nuit », ce qui contraste fortement avec la manière dont uKnowKids l’a décrit, un hacker qui « prétend être un hacker white hat », ce qui veut dire qu’il s’introduit de manière non autorisée dans des systèmes informatiques sécurisés, et cela pour le « bien de tous ». Notez le ton fortement sarcastique de la remarque.
Vickery est complètement conscient du risque qui existe lorsque l’on teste soi-même le niveau de fiabilité de la sécurité de certaines entreprises en informatique pour ensuite le révéler au grand public.
Lorsque l’on lui demande s’il est inquiet qu’un organisme ne comprenant rien à ce qu’il fait ou un magistrat faisant du zèle ne l’attaque en affirmant qu’il est un pirate informatique, Vickery dit qu’il n’est pas inquiet… « Je suis en paix avec cela et je n’ai pas l’intention de vivre dans la peur.
J’ai confiance dans le fait que si un serveur est configuré pour permettre un accès public et que quelqu’un y accède en se servant de cet accès public, il ne s’agit pas d’un crime ».
Le plus ironique dans toute cette histoire, c’est que les parents ayant souscrit à uKnowKids pour surveiller et protéger leurs enfants sur le net les ont en réalité mis en danger. Visitez les applications de controle parental de Mspy, Hoverwatch ou encore Flexispy pour protéger vos enfants.
