L’application qui permet des conversations à plusieurs dans des salons privés, et qui a connu un succès majeur grâce à des utilisateurs de marque comme des stars et des entrepreneurs, semble avoir subi son premier piratage massif. Et il n’est pas des moindres…
Des milliards d’identifiants Clubhouse en vente sur Internet ?
C’est une très mauvaise nouvelle pour le réseau social, surtout quelques jours à peine après avoir annoncé que sa bêta fermée (accessible uniquement sur invitation) était terminée : désormais accessible à tous les utilisateurs sur Android et iOS, Clubhouse est également au centre d’un piratage massif d’informations.
Le spécialiste de la cybersécurité Marc Ruef a dévoilé, le 24 juillet 2021 sur Twitter, avoir identifié un message sur un forum de hackers sur le DarkNet dans lequel un pirate annonce avoir un fichier contenant 3,8 milliards de numéros de téléphone. Des numéros à la fois privés, publics, professionnels ou encore fixes.
La raison ? Il semblerait que Clubhouse se connecte automatiquement à l’ensemble du répertoire téléphonique et capte tous les numéros. Si a priori seuls les numéros sont disponibles, et ne sont pas associés au nom des personnes, le piratage est problématique à un tout autre titre : le classement des numéros.
Les numéros captés par Clubhouse classés par nombre d’occurrences
Selon le message relayé par Marc Ruef, outre le fait que Clubhouse enregistre, dans sa base de données secrète, tous les numéros du répertoire des utilisateurs, l’application les classe : plus un numéro est présent dans les répertoires, plus il paraît « important » en ce que cette personne a un réseau très développé, et plus le score du numéro est élevé. Le pirate déclare même : « avec ce score, nous sommes en mesure d’évaluer le niveau de relations de chaque numéro dans le monde. Nous pouvons faire un classement national et international de chaque personne et organisation ».
La base de données serait en vente exclusive pour un montant qui n’a pas été communiqué. Mais il y a fort à parier que les enchères seront légion, notamment grâce au niveau d’exclusivité des personnes ayant participé à la bêta : Bill Gates, Elon Musk, Oprah Winfrey, Mark Zuckerberg, Jared Leto ou encore Drake ont utilisé l’application après son lancement privé. La vente aura lieu le 4 septembre 2021, date du 23e anniversaire de Google, a précisé le pirate.
Néanmoins, dans le monde de la cybersécurité, l'information est loin de faire l'unanimité : pour certains chercheurs, il ne s'agirait que d'une liste de numéros de téléphone aléatoirement générée ou que le pirate aurait pu se procurer ailleurs, notamment à cause de l'absence de données personnelles associées aux numéros.