« Les pirates ne font pas qu’écumer les routes numériques, parfois, ils prennent aussi le bus. » Telle aurait été la devise d’Omer Attias, chercheur en sécurité chez SafeBreach, face aux vulnérabilités qu’il a décelées dans l’application de transport Moovit. Selon lui, ces failles de sécurité auraient pu permettre aux pirates de subtiliser les informations des utilisateurs, de profiter de trajets gratuits et même de prendre le contrôle d’autres comptes pour faire passer leurs propres voyages sur la note de quelqu’un d’autre.
Omer Attias a signalé avoir trouvé trois failles dans l’application Moovit. Une véritable aubaine pour lui qui aurait pu récolter les informations d’inscription des nouveaux utilisateurs dans le monde entier, et s’emparer d’informations personnelles telles que les numéros de téléphone, les adresses email et postales, et même les quatre derniers chiffres des cartes de crédit.
La subtilité de l’opération aurait résidé dans le fait que les utilisateurs ciblés ne se seraient doutés de rien, à moins de constater des frais indésirables sur leurs cartes de crédit. Selon Attias, l’opération aurait été « l’attaque parfaite ».
« Nous pouvons totalement usurper les comptes, sans les déconnecter. C’est fou, nous avons effectivement la capacité d’effectuer toutes les opérations au nom de différents comptes, y compris l’achat de billets de train. », a déclaré Attias à TechCrunch.
Pour montrer l’impact potentiel de ces failles, Attias a même créé une interface personnalisée lui permettant de prendre le contrôle des comptes d’autres personnes en quelques clics. Bien qu’il n’ait testé ses exploits qu’en Israël, il imagine que cela aurait pu fonctionner dans d’autres villes, étant donné que Moovit opère à travers le monde.
Moovit, une start-up israélienne rachetée par Intel en 2020 pour la modique somme de 900 millions de dollars, pourrait donc causer bien des maux de tête à ses utilisateurs. L’application, qui permet de trouver des itinéraires et d’acheter et utiliser des tickets pour les transports publics, est largement utilisée à travers le monde. Moovit affirme servir 1,7 milliard de passagers dans 3 500 villes à travers 112 pays.
Malgré le potentiel d’impact de ces vulnérabilités, Moovit assure qu’il n’y a aucune preuve que des pirates malintentionnés aient trouvé et exploité ces failles. Attias a déclaré avoir signalé toutes les failles qu’il a trouvées à la société en septembre 2022, et la société les a par la suite corrigées.
Cependant, malgré les déclarations rassurantes de Moovit, Attias reste persuadé qu’il aurait pu charger n’importe quel client, pas seulement les clients israéliens. Selon lui, il n’y avait aucune différence entre les clients israéliens et non israéliens dans leurs demandes d’API.
Il semblerait donc que les pirates aient trouvé un nouveau moyen de locomotion pour leurs méfaits. N’oubliez pas que même si vous utilisez une application de transport pour vous déplacer, cela ne vous empêche pas de prêter attention à votre sécurité. Dans le monde de la tech, chaque arrêt peut être un départ vers de nouveaux dangers. Quand à nos amis pirates, ils semblent avoir trouvé un moyen inédit de voyager en première classe, sans débourser un centime. Qui a dit que le crime ne payait pas?
Source : Techcrunch