L’application d’appel vidéo et de messagerie populaire JusTalk prétend être à la fois sécurisée et cryptée. Mais une faille de sécurité a prouvé que l’application n’était ni sécurisée ni cryptée après la découverte en ligne d’un énorme cache de messages privés non cryptés d’utilisateurs.
L’application de messagerie est largement utilisée dans toute l’Asie et a une audience internationale en plein essor avec 20 millions d’utilisateurs dans le monde. Google Play répertorie JusTalk Kids, présenté comme sa version adaptée aux enfants et compatible de son application de messagerie, comme ayant plus d’un million de téléchargements Android.
JusTalk indique que ses deux applications sont cryptées de bout en bout – où seules les personnes participant à la conversation peuvent lire ses messages – et se vante sur son site Web que « seuls vous et la personne avec qui vous communiquez pouvez les voir, les lire ou les écouter : même l’équipe JusTalk n’accédera pas à vos données !
Mais un examen de l’énorme cache de données internes, vu par TechCrunch, prouve que ces affirmations ne sont pas vraies. Les données comprennent des millions de messages d’utilisateurs JusTalk, ainsi que la date et l’heure précises auxquelles ils ont été envoyés et les numéros de téléphone de l’expéditeur et du destinataire. Les données contenaient également des enregistrements d’appels passés à l’aide de l’application.
Le chercheur en sécurité Anurag Sen a trouvé les données cette semaine et a demandé à TechCrunch de l’aider à les signaler à l’entreprise. Juphoon, la société cloud basée en Chine à l’origine de l’application de messagerie, a déclaré qu’elle avait lancé le service en 2016 et qu’elle est désormais détenue et exploitée par Ningbo Jus, une société qui semble partager le même bureau que celui indiqué sur le site Web de Juphoon. Mais malgré de multiples efforts pour joindre le fondateur de JusTalk, Leo Lv, et d’autres dirigeants, nos e-mails n’ont pas été reconnus ou renvoyés, et la société n’a montré aucune tentative pour remédier au déversement. Un message texte sur le téléphone de Lv a été marqué comme remis mais pas lu.
Étant donné que chaque message enregistré dans les données contenait tous les numéros de téléphone dans le même chat, il était possible de suivre des conversations entières, y compris des enfants qui utilisaient l’application JusTalk Kids pour discuter avec leurs parents.
Les données internes comprenaient également les emplacements granulaires de milliers d’utilisateurs collectés à partir des téléphones des utilisateurs, avec de grands groupes d’utilisateurs aux États-Unis, au Royaume-Uni, en Inde, en Arabie saoudite, en Thaïlande et en Chine continentale.
Selon Sen, les données contenaient également des enregistrements d’une troisième application, JusTalk 2nd Phone Number, qui permet aux utilisateurs de générer des numéros de téléphone virtuels et éphémères à utiliser au lieu de donner leur numéro de téléphone portable privé. Un examen de certains de ces enregistrements révèle à la fois le numéro de téléphone portable de l’utilisateur ainsi que tous les numéros de téléphone éphémères qu’ils ont générés.
Nous ne divulguons pas où ni comment les données peuvent être obtenues, mais nous pesons en faveur de la divulgation publique après avoir trouvé des preuves que Sen n’était pas le seul à découvrir les données.
Il s’agit de la dernière d’une série de déversements de données en Chine. Plus tôt ce mois-ci, une énorme base de données d’environ 1 milliard de résidents chinois a été détournée d’une base de données de la police de Shanghai stockée dans le cloud d’Alibaba et des parties des données ont été publiées en ligne. Pékin n’a pas encore commenté publiquement la fuite, mais les références à la violation sur les réseaux sociaux ont été largement censurées.