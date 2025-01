Exploiter une faille, même si les répercussions sont moindres en matière de précision de la géolocalisation, c'est tout de même démontrer qu'une faille existe. Mais là où on peut se faire du souci, c'est que l'exploitation de cette faille ne nécessite aucune action de la part de la cible.

Prenons par exemple les applications Signal et Discord. Elles téléchargent automatiquement les images pour les notifications push, même quand l'utilisateur n'ouvre pas l'application. Sur Discord, une simple modification d'avatar associée à une demande d'ami active le processus. Cloudflare a corrigé le bug initial dans Workers et a payé 200 dollars, soit la rondelette somme de 192 euros et des poussières de prime à Daniel. Mais le chercheur en herbe a déniché une autre méthode avec des VPN : avec 3 000 serveurs dans 31 pays, il accède encore à 54 % des centres de données Cloudflare.

Signal et Discord ont déclaré que la protection de l'anonymat au niveau réseau ne fait pas partie de leurs attributions. Les utilisateurs peuvent de leur côté se protéger en désactivant le téléchargement automatique des médias et en refusant les contenus non sollicités. La faille reste exploitable malgré les correctifs apportés. Prudence, donc.