Si vous n'utilisez déjà pas le moteur de recherche Bing, voici une autre raison de ne pas y toucher.
Coup dur pour Microsoft : des chercheurs en sécurité expliquent qu'un des serveurs du moteur de recherche Bing est resté vulnérable pendant plusieurs jours mettant à mal les données personnelles des utilisateurs.
Des termes des requêtes aux coordonnées GPS
Plus précisément, il s'agit ici de l'application mobile de Bing Search, téléchargée plus de 10 millions de fois sur Android et disponible sur l'App Store d'Apple.
L'un des experts a montré, via une requête dans l'application, que cette faille donnait accès dans un serveur à des informations sensibles, parmi lesquelles la nature des recherches, les caractéristiques du smartphone ou encore les coordonnées GPS des utilisateurs.
WizCase précise que les termes de la requête étaient lisibles en clair, sauf lorsque le mode privé était activé. Les coordonnées GPS de l'utilisateur - précises à environ 500 mètres près - étaient disponibles via les permissions de géo-localisation accordées à l'application. L'heure exacte de la requête ainsi que le système d'exploitation du smartphone ou de la tablette étaient aussi récupérables.
Quelle est l'ampleur de cette vulnérabilité ?
Les experts expliquent que le serveur concerné contenait 6,5 téraoctets de données auxquelles s'ajoutaient chaque jour quelque 200 Go supplémentaires, issus des requêtes des utilisateurs effectuées entre le 10 et le 16 septembre. Une analyse des coordonnées géographiques révèle que des recherches effectuées depuis plus de 70 pays sont concernées. En d'autres termes, sur cette période, tous les utilisateurs de l'application étaient vulnérables.
Notons que les experts de WizCase ne sont pas les seuls à avoir repéré ce problème. Entre les 10 et 12 septembre, le serveur a été victime d'une attaque de type Meow. Ce script automatisé est conçu pour repérer les infrastructures non sécurisées et procéder à l'effacement des bases de données. Sur ledit serveur, 100 millions de données ont été supprimées… avant une seconde attaque Meow le 14 septembre.
Quelles conséquences pour l'utilisateur ?
On ne sait pas si cette vulnérabilité a été exploitée par un tiers. Si tel est le cas, une personne malintentionnée pourrait effectivement utiliser cette data à mauvais escient. La nature parfois sensibles des requêtes pourrait notamment faire l'objet de chantage auprès d'une victime identifiée.
WizCase ajoute qu'il est possible de désanonymiser les données pour organiser des campagnes de phishing ciblées grâce à la nature des requêtes.
Ayant été informé du problème le 13 septembre, Microsoft a sécurisé son serveur trois jours plus tard.
Source : WizCase
