Les applications de suivi de l'ovulation et de la fertilité sont légion sur smartphone © LariBat / Shutterstock
Les applications de suivi de l'ovulation et de la fertilité sont légion sur smartphone © LariBat / Shutterstock

Il aurait été possible d'accéder à l'âge, au nom ou à l'adresse des utilisateurs. Tout cela en raison d'une faille de sécurité au niveau d'une API.

Connaissez-vous Glow ? L'application prétend être « l'outil de suivi des règles et de fertilité le plus complet au monde ». Pour ce faire, les utilisateurs doivent fournir des informations relativement confidentielles, et l'on pourrait penser que les développeurs ont mis en place les mesures de protection nécessaires.

Mais, en réalité, ce n'est pas tout à fait le cas, et l'entreprise n'en est pas à sa première fois.

Un problème resté silencieux pendant plusieurs mois

Le chercheur en sécurité Ovi Liber s'est penché sur le cas du forum en ligne de Glow. Il y a découvert une faille dans l'une des API de l'entreprise, connue sous le nom d'IDOR pour « Insecure direct object reference ». Ce type de vulnérabilité survient lorsque qu'une telle interface utilise des identifiants pour accéder directement à un élément d'une base de données sans vérifier le contrôle d'accès. Une porte semi-fermée facile à ouvrir, selon le chercheur.

Celui-ci a expliqué à TechCrunch qu'il n'était pas censé pouvoir accéder aux données renvoyées par l'API concernée, n'étant ni employé de Glow, ni développeur. De plus, cette vulnérabilité rend accessible à tous des informations importantes sur les membres, comme leur âge, leur lieu de résidence, leur identifiant sur l'application et les images téléchargées sur le forum. Cela concernerait pas moins de 25 millions de personnes.

Glow a été alerté du problème en octobre 2023, et l'a corrigé une semaine plus tard, une information confirmée par Liber. Cependant, l'entreprise n'a pas choisi de communiquer avec ses utilisateurs sur le sujet. Du moins, pas avant que le chercheur n'en parle sur son blog ce lundi, et que nos confrères de TechCrunch ne rapportent l'information par la suite. Aïe.

Une entreprise habituée aux fuites de données

Conséquence : pour Eva Galperin, directrice de la cybersécurité à l'Electronic Frontier Foundation, une organisation à but non lucratif de défense des droits numériques, les utilisateurs de Glow auraient des raisons de remettre en question la fiabilité du service. Ils « pourraient sérieusement reconsidérer leur utilisation s'ils savaient que ces données ont été divulguées à leur sujet », déclare-t-elle.

D'autant que ce n'est pas la seule défaillance de l'application en la matière. En 2016 déjà, une vulnérabilité avait permis d'accéder à des informations très sensibles sur les inscrits, comme leurs antécédents de fausses couches et d'avortements, ou encore sur leur vie sexuelle. En 2020, Glow a été condamné à une amende de 250 000 dollars après avoir été accusé de « permettre l'accès aux informations des utilisateurs sans leur consentement », y compris des données relatives à leur santé.

Et vous, ferez ou feriez-vous encore confiance à Glow après tout cela ?

Source : TechCrunch, Blog de Ovi Liber