Un message d’intérêt public à l’intention des personnes qui discutent anonymement avec des inconnus sur Internet : Tous les espaces ne sont pas aussi privés.
Selon le chercheur en sécurité Indrajeet Bhuyan, Omegle – un site de discussion en ligne gratuit où des inconnus sont appariés au hasard pour des sessions de discussion en tête-à-tête – n’est « pas aussi anonyme qu’il le prétend ».
Chaque journal de chat est enregistré dans le serveur d’Omegle après qu’un utilisateur quitte une conversation, a déclaré Bhuyan dans un courriel.
« Après qu’un utilisateur déconnecte son chat, Omegle enregistre l’ensemble du journal de chat dans leur serveur de façon permanente », a déclaré Bhuyan.
La politique de confidentialité d’Omegle indique que « les messages de chat sont examinés par un système automatisé pour détecter les spams. En général, les messages ne sont pas stockés, mais les messages qui sont signalés comme suspects peuvent être stockés indéfiniment, et certains messages sélectionnés peuvent être lus par un être humain pour améliorer le logiciel anti-spam d’Omegle, ou à d’autres fins de contrôle de qualité. »
Omegle poursuit en indiquant que lorsque vous démarrez une discussion, l’horodatage, l’adresse IP, le cookie d’identification « et des informations similaires pour vous et votre partenaire de discussion » sont enregistrés et peuvent être utilisés pour traquer les spammeurs, les pirates et autres malfaiteurs potentiels du cyberespace ainsi qu’à des « fins d’application de la loi » ou pour compiler des données statistiques. Toutes ces données sont « généralement » stockées pendant environ 120 jours.
Le problème ici n’est pas qu’Omegle prétend ne pas enregistrer les chats sur sa plateforme – il indique directement dans sa politique de confidentialité qu’il collecte tout un tas d’informations sur ses utilisateurs et, sur la base du « généralement » jeté là, peut essentiellement conserver toutes ces données aussi longtemps qu’il le souhaite. Le problème est qu’Omegle est commercialisé comme un espace d’anonymat volontaire, où les utilisateurs peuvent développer une compagnie en ligne avec des inconnus – et à moins de lire sa politique de confidentialité, vous êtes probablement ignorant du fait que votre chat est enregistré dès le départ.
« Les gens sur Omegle pensent souvent que leurs chats sont privés et les chats sont supprimés une fois qu’ils se déconnectent de la conversation », a déclaré Bhuyan. « En raison de ce faux sentiment de sécurité, les gens partagent souvent des informations sensibles dessus ».
Démarrer un chat est presque instantané, et à moins qu’un utilisateur ne lise la page de politique de confidentialité avant un chat, rien n’indique que vos informations sont stockées. Et toutes ces informations sensibles sont susceptibles d’être piratées, ce qui signifie que ces conversations privées pourraient se retrouver dans de mauvaises mains et devenir très publiques. Comme le rapporte Hacker News, ces conversations enregistrées nécessitent « peu de connaissances en matière de piratage » pour y accéder, citant le script python de Bhuyan, Omegle-Chat-Hack, comme preuve que quelqu’un en dehors d’Omegle peut télécharger les conversations des utilisateurs.
Un porte-parole d’Omegle a déclaré dans un courriel qu’ils pensent que le piratage de Bhuyan était réalisable en devinant l’URL d’un chatlog – une séquence aléatoire de lettres et de chiffres – qu’un utilisateur a sauvegardé.
« En pratique, c’est surtout une préoccupation pour les chatlogs que les utilisateurs ont sauvegardés il y a des années, qui avaient des URL plus courtes et plus faciles à deviner », ont-ils dit. « Les URL générées plus récemment devraient être beaucoup plus difficiles à deviner, mais juste pour être du côté sûr, j’ai rendu les URL nouvellement générées encore plus longues en réponse à cela. »
Ils pensent que ceux qui sont à risque sont probablement juste les utilisateurs qui ont sauvegardé leur chatlogs et ceux qui ont été sauvegardés avec des URL « qui sont assez courtes pour être devinables », mais ils ont réitéré qu’Omegle a fait des URL nouvellement générées qui sont encore plus longues « pour être du côté sûr avec cela. »
Le 19 août 2016, 15h01 : Cette histoire a été mise à jour.