Une appli censée protéger les enfants elle-même victime d'une fuite

TeenSafe : le nom semblait tout trouvé pour cette application censée permettre aux parents, et à eux seuls, de savoir ce que font leurs enfants sur leurs smartphones. Mais c'est plutôt l'inverse qui s'est produit lorsque la base de données où ces informations étaient stockées a elle-même fuité.

En dépit de sa promesse de stocker « de manière sécurisée » les données des enfants dont TeenSafe se voit confier la surveillance, il se trouve que le stockage se faisait sans chiffrement, et la base de données n'était même pas protégée par un mot de passe.

TeenSafe : l'application censée protéger les enfants expose leurs données

Les applications permettant aux parents de connaître l'activité de leurs enfants sur leurs smartphones ne font pas l'unanimité. Mais au-delà de l'aspect éthique, qui fait office d'un éternel débat, c'est la sécurité des données collectées qui arrive aujourd'hui sur le devant de la scène, l'actualité nous offrant un nouvel exemple de gestion catastrophique des données personnelles. Cette fois-ci, c'est la société TeenSafe qui fait les frais du soin insuffisant porté à la protection des données de ses utilisateurs. Et l'histoire est encore plus grave, dans la mesure où il s'agit de données personnelles d'enfants.

Comme un grand nombre d'entreprises de nos jours, TeenSafe stockait ses données sur Amazon Web Services. Mais à la différence de ce qui est considéré comme une protection minimum (ne serait-ce qu'un mot de passe), deux des serveurs de TeenSafe n'étaient pas protégés du tout. A condition de les trouver, tout un chacun pouvait donc y entrer et y trouver l'ensemble des informations récoltées sur les smartphones des enfants, à savoir l'historique de leur navigation Internet, leurs appels, SMS et leur géolocalisation, ainsi que les applications qu'ils ont installées.

Contactés, les parents des victimes ont confirmé le caractère authentique des informations

Dès que ZDNet a alerté TeenSafe, les deux serveurs ont été immédiatement débranchés. La société assure avoir contacté les parents des enfants impactés afin de les informer sur le problème. Ayant contacté par SMS une vingtaine de parents dont les numéros de téléphone figuraient dans la base de données, les journalistes de ZDNet se sont également fait confirmer la véracité des informations contenues dans cette base de données.

Les données ayant fait l'objet de la fuite remontent aux trois derniers mois et contiennent 10.200 lignes. On pouvait notamment y trouver le nom du smartphone de l'enfant (qui est souvent identique au prénom de son propriétaire), les adresses mail associées aux Apple ID des victimes et les mots de passe correspondants. Afin de permettre à l'application de fonctionner, l'autorisation à deux facteurs était désactivée.

• Lilo Browser : un nouveau navigateur mobile respectueux de vos données
• Facebook suspend 200 apps qui siphonnaient des données personnelles
• #Rediff | Affaire Facebook / Cambridge Analytica : et maintenant ?