Une messagerie se disant « super sécurisée » a divulgué le numéro de téléphone de tous ses utilisateurs

 (ericdaigle.ca)
1 points par GN⁺ 2025-12-16 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Une faille critique a été découverte dans Freedom Chat, une application de messagerie sur le thème MAGA (droite conservatrice américaine), exposant les numéros de téléphone et codes PIN de ses utilisateurs
  • L’application est la suite d’un projet antérieur appelé Converso, qui avait déjà connu par le passé des problèmes d’erreur d’implémentation du chiffrement et d’exposition de données
  • L’analyse montre que, via la fonction de canaux, les codes PIN de tous les membres étaient transmis à d’autres utilisateurs, et que l’API de synchronisation des contacts permettait un appairage numéro de téléphone-UID
  • Le chercheur a confirmé qu’il n’y avait aucune limitation de débit (rate limiting), ce qui lui a permis de collecter en une seule journée les numéros de téléphone de tous les utilisateurs de Freedom Chat
  • L’affaire est présentée comme un cas où une application « axée sur la sécurité » a en réalité échoué même à assurer la protection élémentaire des données personnelles

De Converso à Freedom Chat

  • Lancé en 2023, Converso affirmait proposer une « architecture décentralisée sans serveur » et un « E2EE de pointe », mais l’analyse du chercheur crnković a montré que toutes ces affirmations étaient fausses
    • En réalité, l’application utilisait un serveur central et un service de chiffrement tiers (Seald), et les clés de chiffrement pouvaient être dérivées à partir d’informations publiques
    • Tous les messages étaient téléversés dans un bucket Firebase public, consultable par n’importe qui
  • Par la suite, le PDG Tanner Haas a retiré l’application puis l’a rebaptisée Freedom Chat, invoquant les « préoccupations en matière de confidentialité du camp conservateur »
    • Il avait évoqué la leçon consistant à « accepter les critiques et s’améliorer », mais les problèmes de sécurité se sont répétés

Architecture et fonctions de Freedom Chat

  • L’application utilise une inscription basée sur le numéro de téléphone et une vérification par code 2FA, tandis que la définition d’un PIN est facultative
  • Les fonctions principales sont les discussions 1:1 et les canaux (Channels), dans une structure similaire à Telegram
  • L’application mettait en avant une fonction de blocage des captures d’écran et la présentait comme une « fonction de sécurité », sans rapport avec la sécurité réelle

Fuite des codes PIN

  • Le résultat d’une requête API /channel incluait, dans les objets utilisateur (user object) de 1 519 membres du canal, un champ PIN
    • Le code PIN à 6 chiffres apparaissait en clair, avec l’UID de chaque utilisateur, sa clé Seald, sa date de création, etc.
  • Après avoir créé un nouveau compte, le chercheur a constaté que son propre PIN figurait tel quel dans les données de réponse
  • Autrement dit, les PIN de tous les utilisateurs restés dans le canal par défaut étaient exposés aux autres utilisateurs

Vulnérabilité d’appairage des numéros de téléphone

  • L’API /user/numbers vérifie la présence d’un contact selon une méthode identique à WhatsApp
    • Si un numéro inclus dans la requête appartenait à un utilisateur de Freedom Chat, l’API renvoyait l’UID et la clé Seald
  • Le chercheur a confirmé que cette API n’avait aucune limitation de débit, rendant possible le test séquentiel de tous les numéros de téléphone américains
    • Il devenait ainsi possible d’effectuer un appairage numéro de téléphone-UID et, en le combinant avec les données UID-PIN déjà exposées, de reconstituer une correspondance numéro de téléphone-PIN

Expérience de fuite des données de l’ensemble des utilisateurs

  • Le chercheur a écrit un script Python pour envoyer automatiquement des requêtes sur tous les numéros de téléphone nord-américains (combinaisons à 7 chiffres × indicatifs régionaux)
    • Chaque requête envoyait 40 000 numéros, avec un temps de réponse moyen d’environ 1,5 seconde
    • En 27 heures, toutes les requêtes ont été traitées avec succès, permettant de collecter tous les numéros de téléphone des utilisateurs de Freedom Chat
  • Le serveur répondait sans limitation de débit ni blocage, rendant possible une consultation complète des données

Réponse et suite

  • 2025-11-23 : découverte de la faille
  • 2025-12-04 : le journaliste de TechCrunch Zack Whittaker révèle la vulnérabilité à Freedom Chat
  • 2025-12-05 : Freedom Chat affirme que « le PIN ne sert pas à restaurer les messages » et indique qu’un audit est déjà en cours
  • 2025-12-09 : notification de correction du problème
  • 2025-12-11 : publication simultanée de ce rapport et de l’article de TechCrunch

Enseignement principal

  • Freedom Chat affichait une ambition de « super sécurité », mais ne disposait pas des bases en matière d’authentification, de limitation de débit et de protection des données
  • En conséquence, les numéros de téléphone et PIN de tous les utilisateurs ont été exposés, neutralisant de fait les fonctions de sécurité
  • Le cas est considéré comme un exemple représentatif du décalage entre le marketing de la sécurité et l’implémentation réelle

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.