🔴 Soldes : jusqu'à - 70% sur le high-tech 🔴 Soldes d'hiver : jusqu'à - 70% sur le high-tech

Bing : les données des utilisateurs sont restées vulnérables pendant une semaine

23 septembre 2020 à 16h25
6
Bing © QZ.com

Si vous n'utilisez déjà pas le moteur de recherche Bing, voici une autre raison de ne pas y toucher.

Coup dur pour Microsoft : des chercheurs en sécurité expliquent qu'un des serveurs du moteur de recherche Bing est resté vulnérable pendant plusieurs jours mettant à mal les données personnelles des utilisateurs.

Des termes des requêtes aux coordonnées GPS

Plus précisément, il s'agit ici de l'application mobile de Bing Search, téléchargée plus de 10 millions de fois sur Android et disponible sur l'App Store d'Apple.

L'un des experts a montré, via une requête dans l'application, que cette faille donnait accès dans un serveur à des informations sensibles, parmi lesquelles la nature des recherches, les caractéristiques du smartphone ou encore les coordonnées GPS des utilisateurs.

WizCase précise que les termes de la requête étaient lisibles en clair, sauf lorsque le mode privé était activé. Les coordonnées GPS de l'utilisateur - précises à environ 500 mètres près - étaient disponibles via les permissions de géo-localisation accordées à l'application. L'heure exacte de la requête ainsi que le système d'exploitation du smartphone ou de la tablette étaient aussi récupérables.

Quelle est l'ampleur de cette vulnérabilité ?

Les experts expliquent que le serveur concerné contenait 6,5 téraoctets de données auxquelles s'ajoutaient chaque jour quelque 200 Go supplémentaires, issus des requêtes des utilisateurs effectuées entre le 10 et le 16 septembre. Une analyse des coordonnées géographiques révèle que des recherches effectuées depuis plus de 70 pays sont concernées. En d'autres termes, sur cette période, tous les utilisateurs de l'application étaient vulnérables.

Notons que les experts de WizCase ne sont pas les seuls à avoir repéré ce problème. Entre les 10 et 12 septembre, le serveur a été victime d'une attaque de type Meow. Ce script automatisé est conçu pour repérer les infrastructures non sécurisées et procéder à l'effacement des bases de données. Sur ledit serveur, 100 millions de données ont été supprimées… avant une seconde attaque Meow le 14 septembre.

Quelles conséquences pour l'utilisateur ?

On ne sait pas si cette vulnérabilité a été exploitée par un tiers. Si tel est le cas, une personne malintentionnée pourrait effectivement utiliser cette data à mauvais escient. La nature parfois sensibles des requêtes pourrait notamment faire l'objet de chantage auprès d'une victime identifiée.

WizCase ajoute qu'il est possible de désanonymiser les données pour organiser des campagnes de phishing ciblées grâce à la nature des requêtes.

Ayant été informé du problème le 13 septembre, Microsoft a sécurisé son serveur trois jours plus tard.

Source : WizCase

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
6
7
cirdan
«&nbsp;Si vous n’utilisez déjà pas le moteur de recherche Bing, voici une autre raison de ne pas y toucher.&nbsp;»<br /> Vous donnez le 23 septembre l’information d’un problème (malheureusement plutôt commun de nos jours) qui a été sécurisé dès le 16 septembre et dont on ne sait même pas s’il a été exploité, mais vous conseillez quand même de ne jamais toucher Bing.<br /> Légèrement orienté, à moins de suggérer que nos données sont parfaitement en sécurité partout ailleurs, l’ont toujours été et le seront toujours.
bmustang
quelle idée de télécharger une apps alors qu’il suffit de mettre à l’ouverture de son navigateur par défaut l’url https://www.bing.com<br /> Les gens sont naïfs à un point qui me dépasse !
bmustang
Ce n’est certainement pas cet article qui me fera aller ailleurs
flonc
Moi non plus. Restons sur Bing
TofVW
En fait, étant obligé d’avoir une barre de recherche sur mon téléphone (et ne souhaitant pas le rooter pour bidouiller et l’enlever), télécharger Bing est la seule solution que j’ai trouvée pour ne pas avoir la barre Google sur la page d’accueil.
ZeBigBoss
C’est vrai que Google mettant à disposition, ce n’est pas une fuite, c’est une fonctionnalité.
Voir tous les messages sur le forum

Derniers actualités

Lara Croft bientôt de retour dans une série Tomb Raider !
Samsung dévoile le premier écran plat Mini-LED pour joueurs, et il ne fait pas les choses à moitié
Profitez dès maintenant de ce kit RAM Corsair à son prix le plus pendant les soldes d'hiver !
Epic fail : un voleur se prend en selfie avec un iPhone fraîchement dérobé… et se fait arrêter
Vous avez vu ? L'app Google se fait une beauté sur Android !
Surveillance : comment ces vêtements peuvent vous invisibiliser aux yeux de la reconnaissance faciale
Faites vos valises ! Des hôtels e-sport en Chine s'équipent en GeForce RTX 4090
Sous la pression d’avocats humains, l'intelligence artificielle ne pourra finalement pas plaider
Xavier Niel : pourquoi le fondateur de Free veut investir dans Brut
Comprendre les avantages d'un VPN : voici un guide pour les débutants
Haut de page