L'application de messagerie Tokee expose 1,2 million de profils d'utilisateurs dans une fuite de base de données

Ce qu'a réellement exposé la fuite de la base de données Tokee

Des chercheurs en sécurité ont récemment découvert une base de données non protégée appartenant à Tokee, une application de messagerie vidéo et textuelle, laissée exposée et accessible sans aucune authentification. La base de données contenait des enregistrements pour environ 1,2 million d'utilisateurs, incluant les noms complets, les numéros de téléphone et les jetons d'appareil. Cette dernière catégorie mérite une attention particulière : les jetons d'appareil sont des identifiants uniques liés à un téléphone ou une tablette spécifique, et ils peuvent être utilisés pour identifier un appareil de manière unique entre différents services, envoyer des notifications push non autorisées, ou cartographier les habitudes d'activité d'un utilisateur au fil du temps.

Il ne s'agissait pas d'un piratage sophistiqué. Aucun attaquant n'avait besoin de franchir des pare-feux ou d'exploiter des vulnérabilités complexes. La base de données était simplement laissée ouverte, ce qui signifie que quiconque savait où chercher aurait pu y accéder et en copier les données. La question de savoir si des parties non autorisées l'ont fait avant que les chercheurs ne découvrent et ne signalent l'exposition n'a pas été confirmée publiquement, ce qui constitue précisément le problème avec ce type d'incident.

L'ampleur de l'exposition la place fermement dans la catégorie des incidents graves en matière de vie privée. Les numéros de téléphone sont particulièrement prisés car ils sont utilisés pour l'authentification à deux facteurs, les attaques par échange de carte SIM et les campagnes d'hameçonnage ciblées par SMS.

Pourquoi le chiffrement seul ne protège pas les utilisateurs d'applications de messagerie

Une idée reçue courante chez les utilisateurs soucieux de leur vie privée est que choisir une application de messagerie chiffrée de bout en bout résout la plupart de leurs problèmes d'exposition aux données. L'incident Tokee illustre précisément pourquoi cette hypothèse est incomplète.

Le chiffrement de bout en bout protège le contenu des messages pendant leur transit entre l'expéditeur et le destinataire. Il ne protège pas les métadonnées que les plateformes de messagerie collectent et stockent sur leurs propres serveurs : qui vous êtes, quel appareil vous utilisez, avec quel numéro de téléphone vous vous êtes inscrit, et à quelle fréquence vous utilisez l'application. Toutes ces informations résident dans des bases de données contrôlées par le fournisseur de l'application, et si ces bases de données sont mal configurées ou insuffisamment sécurisées, aucun chiffrement des messages ne peut empêcher leur fuite.

C'est la même vulnérabilité structurelle qui rend difficile de faire entièrement confiance même aux plateformes axées sur la confidentialité. Le contenu des messages peut être illisible, mais les données environnantes racontent leur propre histoire. Alors que l'UE débat d'une législation obligatoire de surveillance des communications, l'argument selon lequel la collecte de métadonnées est intrinsèquement moins sensible que le contenu des messages devient de plus en plus difficile à défendre.

La violation Tokee est un exemple concret de ce qui se produit lorsque ces métadonnées ne sont pas traitées avec la même rigueur que le contenu des messages lui-même.

Comment les VPN réduisent votre empreinte de métadonnées sur les serveurs d'applications

Lorsque vous vous connectez à une application de messagerie sans VPN, les serveurs de l'application enregistrent votre adresse IP réelle en parallèle de votre activité de compte. Cette adresse IP peut être utilisée pour déduire votre localisation approximative, votre fournisseur d'accès à Internet, et dans certains cas votre identité. Si ces données côté serveur sont un jour exposées lors d'une violation comme celle de Tokee, ou soumises à une assignation, ou consultées par un acteur malveillant lié à un État, votre adresse IP devient un autre élément d'identification lié à votre compte.

Un VPN remplace votre adresse IP réelle par une adresse appartenant au serveur VPN, de sorte que ce qui est enregistré dans les journaux du serveur de l'application est une adresse partagée plutôt qu'une adresse pointant directement vers vous. Cela ne prévient pas une violation et ne protège pas le numéro de téléphone ou le jeton d'appareil avec lequel vous vous êtes inscrit. Mais cela réduit de manière significative la façon dont les données exposées peuvent être utilisées pour vous localiser ou vous identifier.

L'importance de limiter votre empreinte de métadonnées devient plus claire dans des contextes à haut risque. Les attaques sophistiquées parrainées par des États ciblent de plus en plus les infrastructures de communications personnelles, et l'ajout d'un VPN par-dessus vos applications de messagerie constitue une barrière réelle, bien que partielle. De même, il convient de rappeler que les applications malveillantes sur votre appareil peuvent également collecter des données au niveau du système, comme on l'a vu dans des cas tels que le logiciel malveillant NoVoice qui a infecté plus de 2,3 millions d'appareils Android via Google Play, ce qui renforce l'intérêt de réduire les données identifiables qu'une seule application peut collecter et stocker.

Ce que les utilisateurs de Tokee devraient faire immédiatement

Si vous disposez d'un compte Tokee, considérez votre numéro de téléphone enregistré comme potentiellement compromis. Cela signifie rester vigilant face aux SMS inhabituels, en particulier ceux vous demandant de cliquer sur des liens ou de confirmer des informations de compte. Soyez particulièrement prudent à l'égard de tout message prétendant provenir d'une banque, d'un service de livraison ou d'une entreprise technologique, car votre numéro de téléphone est peut-être désormais en circulation parmi les personnes qui collectent des données issues de violations.

Si vous avez utilisé le même numéro de téléphone pour activer l'authentification à deux facteurs sur d'autres comptes, envisagez de faire basculer ces comptes vers une application d'authentification plutôt que la vérification par SMS, car les numéros de téléphone exposés lors de violations sont fréquemment utilisés dans des schémas d'échange de carte SIM conçus pour pirater des comptes.

Plus généralement, cette violation est un rappel utile pour auditer quelles applications ont accès à votre numéro de téléphone et pour examiner les autorisations accordées aux applications de messagerie sur votre appareil. Limiter les données que les applications peuvent collecter en premier lieu constitue une forme de protection plus durable que d'espérer que chaque plateforme sécurise correctement ses bases de données.

Enfin, l'utilisation systématique d'un VPN lors de la connexion aux applications de messagerie ajoute une couche de protection qui fonctionne indépendamment des pratiques de sécurité de l'application elle-même. Vous ne pouvez pas contrôler la manière dont Tokee ou toute autre plateforme gère son infrastructure dorsale, mais vous pouvez contrôler la quantité d'informations d'identification qui parvient à ces serveurs en premier lieu.

L'exposition Tokee rappelle que la confidentialité sur les plateformes de messagerie n'est pas seulement fonction du chiffrement intégré à l'application elle-même. Elle dépend également de la manière dont la plateforme gère les données entourant vos communications, et cette partie de l'équation échappe entièrement à votre contrôle une fois que vous les avez transmises. Prendre des habitudes qui minimisent ce transfert est la défense la plus pratique à la disposition des utilisateurs ordinaires.