Plus tôt cette semaine, il a été annoncé que l’application mobile iOS de Starbucks exposait les informations personnelles des utilisateurs qui l’avaient téléchargée. Mais Starbucks a publié une mise à jour permettant de réparer cette faille hier, ce qui est tout à son honneur, surtout si l’on considère qu’il ne s’agit pas d’une entreprise de sécurité.
La compagnie américaine a détecté la faille en décembre et l’a réparée en janvier. Un timing plus qu’acceptable pour ce genre de faille. La découverte d’une vulnérabilité ainsi que sa réparation sont souvent sujettes à un déni de l’entreprise responsable puis à des discussions qui peuvent durer des mois avant de réparer la vulnérabilité en question.
Si vous avez téléchargé l’application mobile de Starbucks sur votre iPhone, votre iPad ou tout autre appareil d’Apple, pensez donc à vous rendre sur l’App Store afin d’installer la mise à jour de l’application aussi vite que possible.
Nous vous épargnerons les terribles détails techniques mais la vulnérabilité résidait (jusqu’au 16 janvier) dans la version la plus récente de l’application : la version 2.6.1 pour iOS. Comme nous l’avons déjà expliqué, l’entreprise a depuis réparé la vulnérabilité en lançant la version 2.6.2 que vous pouvez trouver, encore une fois, dans l’App Store d’Apple.
Si vous n’avez pas effectué la mise à jour, vous pourriez bien exposer vos informations sensibles y compris votre nom, votre adresse, l’ID de votre appareil et vos données de géolocalisation, selon un rapport écrit par Chris Brook sur Threatpost.
L’application du géant du café stockait toutes les informations sous forme de texte non chiffré dans les fichiers d’une solution de protection anti-crash développée par une entreprise de Boston appelée Crashlytics.
Daniel Wood, le chercheur qui a découvert le bug et un membre de l’OWASP (Open Web Application Security Project) ont déclaré que la faille venait de l’incapacité de Starbucks à suivre les recommandations de sécurité concernant les applications mobiles.
Wood a déclaré que Starbucks devrait filtrer et analyser les données dès qu’elles sont entrées « afin d’éviter que ces données ne soient stockées dans les fichiers de Crashlytics en texte clair ».
Crashlytics développe des solutions permettant de signaler des crashs aux développeurs d’applications. Starbucks aurait utilisé la technologie de la compagnie dans son application, mais ne l’aurait pas bien mise en place.
Le co-fondateur de Crashlytics, Wayne Chang, a déclaré par e-mail, à Chris Brook de Threatpost, que le problème proviendrait d’une des fonctionnalités servant à enregistrer le texte clair dans le service. Il a continué en expliquant que Crashlytics ne collecte pas les noms d’utilisateurs ou les mots de passe automatiquement. La fonctionnalité, CLSLog, est une « fonctionnalité optionnelle que les développeurs peuvent utiliser pour enregistrer des informations additionnelles ».
Au cas où vous seriez curieux, l’application Starbucks donne aux clients la possibilité de rattacher leur carte Starbucks à leur smartphone, d’y verser de l’argent via PayPal ou par carte bancaire, et leur permet d’utiliser leur smartphone pour payer dans les Starbucks du monde entier.