Un hacker révèle une faille de sécurité dans l'application favorite des "gilets jaunes"
Le décompte des manifestants effectué par l'application GJ-France, disponible sur Android depuis plusieurs jours, était facilement manipulable, a montré mercredi le hacker français Baptiste Robert.
"Je n'ai jamais vu un côté serveur aussi mal codé de ma vie." Coup dur pour les "gilets jaunes". Le hacker français Baptiste Robert, connu sous le pseudo "Elliot Alderson", a mis en évidence mercredi 23 janvier sur Twitter une faille de sécurité dans l'application GJ-France, lancée la semaine dernière sur Android, et développée par des "gilets jaunes" bénévoles. D'après la société App Annie, contactée par Le Figaro, GJ-France est la 39e application la plus téléchargée sur Android.
L'app GJ-France est l'app #Android "officiel" du mouvement des #GiletsJaunes en #France. Dans l'appli, il y a une section "Les VRAIS chiffres". Grâce à leur code désastreux, les vrais chiffres peuvent être manipulés avec une ligne de commande https://t.co/LlYOsFe3eB
— Elliot Alderson (@fs0c131y) 23 janvier 2019
Dans une vidéo postée sur le réseau social, ce hacker dont la spécialité est de mettre en évidence les failles de divers sites et applications, montre qu'une simple ligne de code permet de modifier le compteur des "gilets jaunes" mobilisés qui se déclarent sur l'application. Accessible via la rubrique "les VRAIS chiffres des GJ" ["gilets jaunes"], ce compteur était censé permettre de fournir un chiffre alternatif à celui des forces de l'ordre lors des mobilisations.
"On est loin de la faille 'bidon'"
"Etre capable de modifier à distance les données affichées pour l'ensemble des utilisateurs fait partie des choses les plus graves en termes de sécurité. On est loin de la faille 'bidon', s'étonne Baptiste Robert sur Twitter. Je ne suis pas le seul à avoir modifié ce compteur. De nombreuses personnes l'ont artificiellement fait gonfler."
Dans la foulée de cette démonstration, l'application GJ-France a annoncé sur sa page d'accueil être "en cours de maintenance". Le comité de réflexion La France en colère, qui assure être à l'origine de l'application, regrette dans un communiqué que celle-ci soit "victime de tentatives d'attaques et de déstabilisations" et assure que la maintenance permettra de "remédier aux soucis rencontrés et de vous fournir une application parfaitement fonctionnelle et sûre".
Maxime Nicolle, alias "Fly Rider", figure très populaire des "gilets jaunes", a de son côté indiqué dans une vidéo Facebook qu'une "personne experte en sécurité réseau, qui a 20 ans de boulot, va venir filer un coup de main" pour régler le problème. Il a par ailleurs pris contact avec Baptiste Robert, assure ce dernier a franceinfo.
Commentaires
Connectez-vous à votre compte franceinfo pour participer à la conversation.