Si vous étiez étudiant à l’université il y a quelques années, il y a de fortes chances que vous ayez entendu parler – et peut-être utilisé – Yik Yak, une application de tableau d’affichage anonyme qui affichait un flux de messages provenant d’un emplacement spécifique.
L’application, lancée en 2013, a ensuite été fermée en 2017 après que les utilisateurs ont souligné qu’elle pouvait être utilisée pour intimider et harceler des personnes de manière anonyme, entre autres mauvaises choses. Yik Yak a fait un retour en force, mais les problèmes fondamentaux sont restés.
Mais il s’avère que Yik Yak n’était pas si anonyme après tout, selon un chercheur s’adressant à Carte mère.
Faille de confidentialité de Yik Yak
David Teather, étudiant en informatique, a construit une manière assez ingénieuse de tester les connaissances de Yik Yak en matière de confidentialité et a découvert que l’application était extrêmement insuffisante.
À l’aide de l’outil open-source mitmproxy, Teather a intercepté des données de et vers Yik Yak en se faisant passer pour l’application elle-même. Chaque poste sur le service contient une coordonnée GPS exacte et un identifiant unique (tel que nrCi213RA3SncY6mVLZzuGUIJ2T2), qui peuvent tous deux être utilisés pour anonymiser les utilisateurs de Yik Yak.
Dans son propre article de blog, Teather explique beaucoup plus en détail comment et pourquoi Yik Yak faisait cela, ce qui laisse environ deux millions d’utilisateurs restants en danger.
Une mise à jour silencieuse
« J’ai révélé ce que j’ai trouvé à l’équipe YikYak le 11 avril 2022 », a déclaré Teather. « Près d’un mois plus tard, le 8 mai 2022 (1 jour avant la date de divulgation publique), ils ont répondu en supprimant l’identifiant d’utilisateur renvoyé pour les publications et les commentaires, mais cela ne suffit pas pour protéger la vie privée car il est trivial de récupérer ces informations. »
Mais il ne s’est pas passé grand-chose jusqu’à ce que Yik Yak publie la version 1.4.3 vers le 11 mai, qui a apporté quelques légers ajustements, ce qui signifie principalement que les données de localisation GPS étaient moins précises.
J’ai découvert que @YikYakApp expose des millions d’emplacements d’utilisateurs en envoyant des coordonnées GPS précises de tous les messages et commentaires (précis dans les 10 à 15 pieds) à l’application, ceux-ci peuvent être récoltés par des acteurs malveillants pour suivre les emplacements des utilisateurs.https://t .co/pgT809okv79 mai 2022
Bien qu’il s’agisse presque certainement d’un changement positif, Teather a constaté qu’il était toujours possible, bien que légèrement plus difficile, d’extraire des données de localisation précises.
Yik Yak n’a pas répondu aux multiples demandes de commentaires de Carte mère.