Vote Joe app : brèche sécuritaire dans l'application du candidat américain impactant les données personnelles des utilisateurs !

Toujours au cœur de l'actualité politique, les campagnes électorales à la Présidentielle américaines sont en cours ainsi que les risques sécuritaires potentiels qui peuvent graviter autour : dernier incident en date, un levé de voile insécuritaire sur un service tiers inclus dans l'application mobile "vote Joe" (Biden), qui aurait potentiellement mis sur la sellette bon nombre d'informations sensibles.

 

 

Le soucis reposait sur Target Smart, un service gérant, comptabilisant les votes des utilisateurs qui s'inscrivaient sur l'application dédiée. Le retour-objet (fichier JSON) a démontré, par simple inspection de trafic, des votes confirmés ou non ainsi que leur nature (parti politique). le retour-requête get_voter amenait, par exemple, ce type d'information (en clair) :

 

  • ID-user,
  • Nom, prénom,
  • Date de naissance,
  • Ville,
  • État,
  • Code postal,
  • Age.

 

Tandis que, set_voter, rabattait les informations suivantes :

 

  • Nom, prénom,
  • Adresse complète,
  • Dates de création et mises à jour (BdD),
  • Type de communication (mail, téléphone),
  • Type de vote,
  • Parti politique (affiliation),
  • Fréquence de vote.

Au final, en plus de ces informations sensibles, d'autres ont été confirmées par le découvreur de la faille : religion, centres d’intérêts, historique de vote. Une revente de ces données a pu être faite mais, sur ce point, TargetSmart, comme toute société commerciale spécialisée dans ce domaine, indique bien, en toute transparence, que cela est effectivement le cas et que l'utilisateur peut l'informer de son refus à tout moment dans l'application mobile, ou bien, en allant sur le formulaire dédié (privacy.targetsmart.com), voire en l'indiquant par mail (même URL que précédemment : il faut remplacer le "." par un arobase). Enfin, un numéro de téléphone reste à disposition dans ce but : 888-678-6880.

Bien évidemment, les éditeurs de l'application ont été avertis et la vulnérabilité a été colmatée sous iOS, depuis le 11 Septembre dernier... A veiller !

 

 

Source : TheAppAnalyst - Application mobile Joe Biden : vulnérabilité depuis une défaillance de TargetSmart permettant une aspiration de données.