Applications tierces : à quand une API publique SnapChat ?
Ah ces maudites applications tierces et leurs API faites maison, avec en prime une facilité pour perdre les photos. Snapchat s’est plaint, mercredi matin, en promettant de concocter une API publique pour résoudre le problème… dès que possible !
Il faisait référence à l’écosystème entier des applications tierces, qui gravitent autour des fameuses applications image de Snapchat, et qui apparemment rendent les images éphémères mais sans jamais disparaitre en réalité !
Les développeurs de ces applications tierces ont réalisé un reverse-engineering de l’API Snapchat : en effet, les applications ne sont jamais développé ni entretenu par Snapchat directement.
Malheureusement, ces applications tierces, qui sont souvent très peu fiables au niveau de leur sécurité, demande fréquemment les identifiants de connexion au niveau de l’application de base, afin de recevoir, ou d’envoyer, des images (en mettant la main, et en conservant ces images, avant qu’elles ne disparaissent), pour finalement avoir accès aux informations relatives au compte.
Comme le souligne l’équipe de Snapchat, lorsque vous fournissez, à une application tierce, vos identifiants de connexion, cela ouvre tout simplement la porte à un développeur, ou bien à un hacker, pour avoir accès à votre compte, et envoyer des informations en votre nom.
Snapchat a largement séduit les jeunes, principalement attirés par la possibilité de faire disparaître les photos après-coup. Ainsi, quand on lit « envoyer des informations en votre nom », il faut traduire plutôt « voler vos sextos et autres photos intimes ».
L’industrie artisanale des applications tierces et des sites web, qui a fleuri autour de Snapchat, comprend SnapSaved.com, qui utilise une version type reverse-engineering d’une API Snapchat pour la sauvegarde des images.
SnapSaved a admis son problème de sécurité, plus précisément, un hacker a réussi à atteindre un serveur Apache mal configuré, et à mis la main sur plus de 500Mo d’images, dont des centaines de milliers ont été mises en ligne mi-octobre.
SnapSaved a effectué un reverse-engineering de l’API de Snapchat (tout comme d’autres applications tierces gravitant autour de SnapChat) car il n’a pas encore développé d’API publique, tout simplement.
C’est une position très intéressante à garder, car cela permet en effet à Snapchat de conserver une certaine distance au niveau de catastrophes sécuritaires, telles que l’incident survenu chez SnapSaved.
Les conditions générales d’utilisation de SnapChat interdisent l’utilisation de ces applications tierces, et préviennent que ces services ce ne sont pas fiables. Il est aussi facile d’y voir une manière plutôt violente de demander à Google Play et App Store, d’éliminer les applications tierces.
Aucune d’entre elles n’a d’ailleurs protégé les Snapchatters, contre le vol de photos sous leur nez.
En fait, les développeurs ont signalé, depuis des années, que ces API non officielles étaient d’une simplicité déconcertante à pirater. Cette déclaration, rapportée par The Verge, est en fait un secret de polichinelle, car il circule déjà très largement sur le web.
De plus, SnapChat s’est littéralement endormi au moment même ou il aurait dû travailler, sans relâche, pour traiter techniquement ces failles, qui permettaient à des applications tierces non fiables de fleurir, selon The Verge.
Adam Caudill est l’un de ces développeurs. Depuis 2012, les experts en sécurité ont tiré la sonnette d’alarme, pour alerter sur la facilité de réaliser le reverse-engineering de l’API de SnapChat.
Après le vol massif d’images, survenu durant la première quinzaine du mois d’octobre, il a déclaré à Wired qu’il était vraiment surpris que cela ne se soit pas produit plut tôt :
Un développeur moyen peut vous construire quelque chose en une journée qui interagit avec l’API SnapChat, et sauvegarde tout ce qui passera à travers elle.
SnapChat a alors retravaillé son API, peu de temps après avoir été alerté par Caudill, sur la facilité de construire une application tierce pirate capable d’éliminer l’option d’effacement, ou encore sur le fait que des applications tierces, non autorisées, pouvaient sans problème réaliser cette même opération…
Malgré les modifications apportées, Caudill n’a pas vraiment été gêné, et quelques mois plus tard, il a montré qu’il pouvait toujours contourner les protections, tout comme il l’avait déjà fait auparavant.
A présent, SnapChat a décidé de s’attaquer sérieusement à ce problème, à savoir le développement d’une API sous contrôle !
Et quel est le délai de réalisation ?
Eh bien, vous savez, ce genre de développement est compliqué, a déclaré SnapChat :
Cela prend du temps, et beaucoup de ressources pour construire un écosystème d’applications tierces ouvert et fiable. C’est pour cela que nous n’avons pas fourni d’API publique aux développeurs, et que nous interdisons l’accès à l’API privée que nous utilisons pour délivrer nos services. Comprenez nous bien, nous avons un réel intérêt pour le développement de la plateforme SnapChat, mais nous voulons vraiment prendre le temps de faire les choses correctement. En attendant, nous avertissons que n’importe quelle application qui ne provient pas de SnapChat, mais qui revendique offrir le même service que SnapChat, viole en réalité nos conditions générales d’utilisation et n’est pas fiable.
SnapChat est connu pour son extrême lenteur dans le traitement des problèmes de sécurité.
En janvier dernier, un vecteur d’attaque sous-estimé, a été utilisé pour duper le système, et récupérer 4.6 millions d’identifiants et de numéros de téléphone.
Voyons comment SnapChat a réagi, est ce que vous vous rappelez ? Est-ce qu’ils se sont excusés ? Ont-ils résolu le problème ? Nous ont-ils convaincu que cette fois le problème était réglé ?
Eh bien non, bien sûr, je me rappelle maintenant : il s’est vanté, sans s’excuser, en déclarant qu’il était vraiment en train de régler définitivement le problème.
Finalement, la punition infligée à SnapChat par les applications tierces, n’est que le résultat de son incapacité à créer un environnement fiable pour ses utilisateurs. Mais cela est aussi révélateur de la manière avec laquelle ils traitent la sécurité en général.
Oui, les applications tierces sont potentiellement dangereuses. Espérons que SnapChat va maintenant accélérer le travail sur le développement d’une API publique, en béton armé !
Billet inspiré de : “Snapchat to address sketchy third-party apps with public API … at some point” de Lisa Vaas de Naked Security
Partagez “Applications tierces : à quand une API publique SnapChat ?” avec http://bit.ly/1x8XBDc