On se demande parfois à quoi pense les grandes entreprises éditrices d’applications. Le cafetier Starbucks a ainsi été pris en flagrant délit de stocker les identifiants, mots de passe, adresses courriel et infos de géolocalisation des utilisateurs de son app mobile sans aucun chiffrement, des données vulnérables à la merci du moindre hacker venu. Alors que Starbucks aurait pu (et du) se rendre compte du problème avec ses propres moyens, il a fallu qu’un chercheur en sécurité, Daniel Wood, mette le doigt sur le problème pour que le groupe l’admette. Ces données peuvent être récupérées assez facilement, sans aucun jailbreak ni manipulation hasardeuse, même s’il faut un accès physique à l’iPhone de sa victime.
Les dirigeants de Starbucks expliquent que des « mesures de sécurité » sont maintenant en place, sans qu’on sache de quoi il s’agit. Pour boucher cette vulnérabilité, il faudrait surtout une mise à jour de l’application, qui n’est toujours pas disponible. La dernière version du logiciel date de mai dernier, et elle contient toujours -et pour cause- la faille de sécurité.
Source
