Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Cyber-attaque, Facebook, Fuite de données, Hacking, Leak, Sauvegarde, Twitter

L’armée électronique Syrienne pirate True Caller

La Syrian Electronic Army, qui a fait pas mal parler d’elle en piratant d’importants comptes Twitter, vient de ressortir de son trou numérique pour annoncer le piratage de l’annuaire collaboratif TrueCaller. Truecaller est un annuaire collaboratif mondial qui tient dans votre poche et vous permet de contacter facilement des personnes à travers toute la planète. Bref, une mine d’or pour malveillants.

La SEA a annoncé sur son Twitter qu’il avait mis la main sur les données du site. Sept bases de données auraient été volées. La principale BDD pèserait 450GB. La BDD, baptisée Profiles, tiendrait dans 4Go. Le base de données contiendrait, selon les hacktivistes, les codes d’accès de plusieurs millions de Facebook, Twitter, Linkedin, de comptes Gmail.

True Caller explique sur son blog ne pas stocker « les mots de passe, informations de carte de crédit, ou toute autre information sensible sur nos utilisateurs. a pu lire datasecuritybreach.fr, Il est faux que les attaquants ont pu accéder à Facebook de nos utilisateurs, Twitter, ou autres mots de passe de médias sociaux.« 

L’entreprise américaine explique enquêter sur l’étendue de l’accès non autorisé dans ses bases de données. « Nous pensons qu’il est essentiel de faire connaître l’attaque, car il est important que nous gardions fidèle notre honnêteté et notre intégrité« .

Biométrie, Chiffrement, cryptage, Cybersécurité, Justice

Près de neuf français sur dix plébisciteraient la biométrie comme moyen de lutte contre la criminalité

Une étude de Steria, que datasecuritybreach.fr a pu consulter, menée auprès de 1 000 français (sur un total de 3 650 personnes interrogées en Europe), révèle que près de 9 français sur 10 (89 %) se disent favorables à l’utilisation de la biométrie pour identifier les criminels. La majorité est pour l’utilisation de la biométrie dans les cartes d’identité et les passeports (81 %), de même que pour contrôler les accès aux zones réglementées (77 %). En revanche, seuls 52 % acceptent que des solutions biométriques viennent remplacer les numéros PIN des cartes bancaires.

La plupart des français (89 %) se disent favorables à l’utilisation des technologies biométriques pour l’identification des criminels. Pourtant seuls 52 % accepteraient de voir la biométrie entrer dans leur vie quotidienne et remplacer les codes PIN des cartes bancaires par exemple. Une majorité de français (70 %) estime en effet que l’usage de la biométrie se limite à la protection contre l’usurpation d’identité, alors que de nombreux domaines de développement sont aujourd’hui envisagés : contrôles automatiques, simplification des procédures administratives, traçabilité des données, lutte contre la fraude ou encore réduction du crime.

Au niveau européen, les français sont plus favorables à l’adoption des technologies biométriques pour l’identification des criminels, que les britanniques (80 %), et les allemands (77 %). Près des trois-quarts (69 %) des sondés en Europe sont pour l’utilisation de la biométrie dans les cartes d’identité et les passeports, ainsi que pour contrôler l’accès aux zones réglementées.

Un marché à fort potentiel Selon de récentes estimations, le marché mondial de la biométrie représentera 8,5 milliards d’euros d’ici 2015. Cela traduit une formidable évolution des usages de la biométrie. Pour Florent Skrabacz, responsable des activités de Sécurité de Steria « les nouvelles applications de la biométrie, notamment pour la mobilité et les applications en ligne, sont une arme indispensable pour lutter contre les nouvelles fraudes à l’identité numérique ».

Ces propos sont renforcés par Ole Marius Steinkjer, expert des technologies biométriques chez Steria qui explique à DataSecurityBreach.fr : « Les applications de la technologie biométrique ne cessent de se diversifier : demandes d’asile, fluidité du trafic transfrontalier, authentification des criminels, contrôle d’accès aux sites militaires, aux dossiers médias, aux comptes bancaires, etc. Pourtant, en raison de préoccupations vis-à-vis de la protection de la vie privée, les citoyens hésitent toujours à adopter cette technologie au quotidien ».

Pour avoir déployé des solutions biométriques lors de projets dans 27 pays, notamment au Royaume-Uni, en Suisse, en France, en Allemagne, en Belgique et en Norvège, Steria jouit d’une grande expérience de la question. Cette année, Steria a notamment été sélectionné par la Police danoise pour un programme biométrique d’identification d’empreintes digitales et a annoncé, aux côtés de la Commission européenne, le déploiement de la seconde génération du système d’information Schengen (SIS II), qui prévoit de rationaliser les procédures de contrôle aux frontières de toute la zone et de faciliter la communication entre les Etats membres grâce aux données biométriques.

Android, Biométrie, BYOD, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Fuite de données, ios, Leak, Sécurité

Connection VPN, entre 2 clés USB, en 60 secondes

Dans la nouvelle émission de ZATAZWeb.tv, numéro estival, il est proposé plusieurs sujets qui devraient vous intéresser. En plus de découvrir un jouet chinois qui permet de hacker certaines cartes RFID, l’émission ZATAZ Web TV revient aussi sur les livres à emmener avec soit à la plage, dont le dernier du moment des Editions ENI, Malware.

Particulièrement intéressant, les clés USB iTwin. L’émission a testé la version professionnelle de ces clés USB qui permettent de créer un accès VPN, entre deux portables.  iTwin est composé de deux parties. La première clé est insérée dans l’ordinateur de bureau, et le second – à la maison, par exemple. La connexion, en quelques secondes, est automatiquement établie sous la forme d’une connexion VPN sécurisée entre les deux machines.

A noter que l’émission profite des beaux jours pour lancer le grand jeu de l’été. A gagner : deux Playstation 4 de Sony ; des tee-shirts Nuit du hack et ZATAZ.COM et des livres. Lancement de notre grand jeu de l’été, lundi 22 juillet. Les premiers indices se trouvent déjà dans l’émission.

Hacking

Qui espionne le plus : iOS ou Android ?

4 commentaires

Data Security Breach vient de finir de lire les résultats d’une analyse menée par BitDefender sur les comportements les plus intrusifs des applications Android et iOS. Après avoir analysé plusieurs centaines de milliers d’applications, l’étude révèle qu’elles sont tout aussi intrusives et indiscrètes sous iOS que sous Android. Alors que l’on pourrait penser l’un des deux systèmes d’exploitation plus intrusif que l’autre, il résulte que les données personnelles des utilisateurs d’appareils mobiles (contacts, adresses e-mail, localisation, etc.) sont aussi bien en danger sous Android que sous iOS. Le nombre d’applications analysées s’élève à 314 474 applications pour Android et 207 843 pour iOS.

Parmi ces comportements intrusifs et indiscrets, parfois intégrés par les développeurs d’applications eux-mêmes, DataSecurityBreach.fr a pu constater dans l’étude que 45,41 % des applications iOS intègrent des services de localisation contre 34,55 % sous Android. Avec une implantation et des formes d’utilisation similaires sur les deux plates-formes, ces ‘espions’ sont souvent demandés par les publicitaires et intégrés via des composants API (framework APIs) pour connaître les habitudes des utilisateurs. À ce stade de l’étude, seulement 7,69% des applications Android peuvent accéder à votre liste de contacts alors que les applications iOS se montrent davantage indiscrètes : 18,92 % sont techniquement capables de lire vos contacts. 14,58 % des applications Android peuvent divulguer l’identifiant de votre appareil et 5,73 % transmettre votre adresse e-mail. De nouveau, les applications iOS semblent recueillir plus de données personnelles que celles conçues pour Android.

Là aussi, ces informations sont très intéressantes pour les réseaux publicitaires et sont susceptibles d’être partagées ou revendues à des tiers pour, par exemple, l’envoi de publicités ciblées en fonction du comportement et du profil des utilisateurs. 8,82 % des applications Android analysées peuvent divulguer les numéros de téléphone d’un appareil à des publicitaires. Les applications intégrant Air Push et parfois LeaBolt permettent aux développeurs de recueillir, crypter et d’envoyer le numéro de téléphone à l’insu des utilisateurs.

Si la géolocalisation, l’accès aux contacts de l’appareil ou l’interaction avec les réseaux sociaux, peuvent être légitimes pour certaines fonctionnalités, ces comportements deviennent intrusifs lorsque les données personnelles de l’utilisateur ne sont pas indispensables au bon fonctionnement des applications mais collectées pour être monétisées par les développeurs. En d’autres termes, l’application ne devient gratuite qu’une fois ‘payée’ par l’utilisateur avec ses données personnelles. La situation est même pire, puisque payer l’application n’assure pas à l’utilisateur que ses données privées ne soient plus collectées ni même rendues à son propriétaire puisque déjà stockées dans des fichiers. De plus, la collecte de ces données est faite sans que l’utilisateur ait connaissance des autorisations accordées lors de l’installation de l’application. Que ce soit au moment de l’installation de l’application Android ou lors de son exécution pour une application iOS, l’utilisateur devrait lire attentivement les autorisations demandées.

Des applications qui peuvent aider à se sécuriser, Data Security Breach vous propose plusieurs solutions gratuites, pour Android et iOS, qui permettent d’être informés sur les risques d’atteinte à sa vie privée et ainsi se prémunir contre d’éventuels usages non désirés de ses informations personnelles. Des applications qui peuvent servir à protéger contre la collecte et l’utilisation de données personnelles par les autres application déjà présente sur le smartphone. D’abord, débutons par l’application de Bitdefender baptisée Clueful. Elle permet d’apprécier les données que pillent les applications. Possibilité d’effacer les plus dangereuses. Attention, Clueful collecte aussi des données personnelles, c’est du moins ce qu’indiquent les  conditions générales. Autre solution, celle proposée par AVG. Même principe, avec possibilité de détruire les applications malveillantes.

DataSecurityBreach.fr terminera avec Androick, un outil pour linux permettant d’aider les utilisateurs à analyser des applications Android. Il permet de récupérer le fichier apk, toutes les données (stockées sur le téléphone et carte SD), les bibliothèques et les bases de données (au format SQLite3 et CSV). C’est un projet récent, jeune et dynamique. L’auteur,  Florian Pradines, chercheur pour la société Phonesec,  a expliqué à Data Security Breach et zataz.com des ajouts de fonctionnalités d’ici un ou deux mois, notamment celle permettant de décompiler une application qui possède le flag « isEncrypted ».

Android, Cyber-attaque, Espionnae, Leak, Sécurité, Smartphone

Attaque sur Android via un WhatsApp malveillant

Un utilisateur d’Android aurait reçu un fichier de contact WhatsApp malveillant. Document qui aurait été capable de changer le nom des personnes inscrites dans votre carnet d’adresse. Shivam, un blogueur indien, explique qu’il a reçu un fichier de contacts. Après avoir ajouté les informations dans son smartphone, le code malveillant aurait réussi à remplacer les noms par « Priyanka. »

Le malware nécessite que l’utilisateur accepte le contact. Bref, évitez d’ajouter n’importe quoi dans vos téléphones. En cas d’attaque, coupez la connexion web, wifi et Bluetooth de votre téléphone. Accédé à vos contacts, et recherchez le nom « bizarre » à supprimer. Allez ensuite dans « Réglages » de votre téléphone. Sélectionnez les applications (App Manager) puis sélectionnez WhatsApp dans la liste. Il ne vous reste plus qu’à effacer les données.

Android, Logiciels, Sécurité, Smartphone

AVG Uninstaller for Android

3 commentaires

AVG Uninstaller for Android La nouvelle application d’AVG permet de libérer de l’espace et d’améliorer la performance, notamment en supprimant les apps non utilisées.

AVG Technologies N.V., fournisseur de solutions de sécurité mobile et internet, d’optimisation de protection des données pour plus de 150 millions d’utilisateurs actifs, a annoncé à Data Security Breach le lancement de son application AVG Uninstaller. Une application disponible gratuitement pour les smartphones et les tablettes Android.

Conçue pour aider les utilisateurs à mieux gérer les applications téléchargées sur leur smartphone et leur tablette Android™, AVG Uninstaller permet de mieux contrôler les apps en fonction de la taille de celles-ci, la fréquence de leur utilisation, la consommation de batterie ou l’utilisation de données mobiles pour ensuite juger, sur la base des informations collectées, celles qui peuvent être désinstallées. Avec des notifications régulières et proactives pour recommander la désinstallation de certaines applications, AVG Uninstaller permet de libérer rapidement et facilement de la place pour de nouvelles apps tout en assurant une meilleure performance de l’appareil – le tout sans avoir à effectuer de multiples tâches Android OS pour supprimer chaque app individuellement.

« Les études récentes démontrent que les consommateurs consacrent jusqu’à 82 % de leur temps aux apps[i]. Nous adorons tous télécharger ces programmes, mais il y a toujours des apps que nous oublions dès la première utilisation. Ce n’est pas forcément un problème immédiat, mais le fait d’avoir ces apps non utilisées qui continuent de fonctionner en arrière-plan peut affaiblir les appareils en affectant  la capacité de stockage, mais aussi la batterie et les données mobiles – autant d’éléments qui risquent, à terme, de nuire à la performance globale, déclare à datasecuritybreach.fr Yuval Ben-Itzhak, Directeur technologique chez AVG Technologies. En particulier, ceux  qui utilisent souvent leurs apps ou qui disposent de peu de mémoire dans leurs appareils risquent de se retrouver vite à court d’espace ou frustrés devant un smartphone ou une tablette qui rame de plus en plus. AVG Uninstaller for Android™ résout ce problème en permettant de désencombrer facilement l’appareil et de faire de la place pour de nouvelles apps plus utiles ».

Il n’existe pas de version française, pour le moment, de cette application.

BYOD, Espionnae, Particuliers, Sécurité

IP-tracking: une député Européenne saisit le nouveau Commissaire croate

En guise de bienvenue, l’eurodéputée Françoise Castex a enjoint le nouveau Commissaire à la protection des consommateurs, Neven Mimica, de se saisir du dossier IP-tracking. Alors que la CNIL a confirmé sur son site, vendredi 28 juin, le lancement d’une enquête conjointe avec la DGCCRF sur le développement, sur certains sites de vente de billets de transport en ligne, d’une pratique dénommée « IP Tracking », Françoise Castex a saisi l’occasion de la prise de fonction du Commissaire croate Neven Mimica pour le sensibiliser à cette pratique qui « contrevient d’une part aux dispositions européennes relatives à la protection des données personnelles, dont l’adresse IP fait partie, et d’autre part, génère une concurrence déloyale, avec un prix à la tête du client« .

Dans une lettre adressée au nouveau Commissaire croate, l’eurodéputée socialiste invite la Commission européenne à « enquêter sur la fréquence de cette pratique et protéger les consommateurs en conséquence. » Pour la Vice-présidente de la Commission des Affaires juridiques: « la création de ce nouveau portefeuille dédié à la protection des consommateurs doit amener la Commission européenne à se saisir enfin du dossier!« , estime à zataz.com et Data Security Breach, Françoise Castex.

Avant de conclure: « Alors que les vacances commencent, et que 53% des Européens réservent leurs vacances en ligne, il existe une forte attente des citoyens en la matière. La Commission enverrait un signal fort en ouvrant dès maintenant une enquête à l’échelle européenne« .

BYOD, Cloud, Entreprise, Fuite de données, Sauvegarde, Sécurité

Mon terminal mobile sur le lieu de travail

Un commentaire

Les salariés qui utilisent leur propre terminal mobile au bureau sont inquiets à l’idée que leur employeur puisse accéder à leurs informations personnelles. C’est ce qu’a pu constater Data Security Breach dans le rapport reçu d’Aruba Networks, leader de l’accès réseau pour l’entreprise mobile. En France, cette méfiance se traduit en faits concrets. DataSecurityBreach.fr a pu constater que 24% des salariés français déclarent que leur employeur ne sait pas qu’ils utilisent un terminal personnel au travail ; 57% d’entre eux ne déclareraient pas à leur employeur le nouveau terminal qu’ils envisagent d’utiliser au travail ; 65% déclarent que leur employeur n’installe pas de logiciel de sécurité supplémentaire sur leur terminal ; 48%  ne signaleraient pas immédiatement une fuite de données professionnelles.

Le rapport de l’étude « Employees tell the truth about your company’s data », menée auprès de plus de 3 000 salariés dans le monde, révèle que près de la moitié des salariés européens (45 %) redoutent la perte de données personnelles, une crainte que partagent 40 % des personnes interrogées au Moyen-Orient et 66 % aux Etats-Unis. Par ailleurs, ils sont 34 % en Europe, 35 % au Moyen-Orient et 51 % aux Etats-Unis à déclarer que leur service informatique ne prend aucune mesure pour assurer la protection des dossiers et applications professionnels se trouvant sur leurs terminaux personnels.

Ces inquiétudes font que de nombreux salariés rechignent à mettre leur terminal personnel entre les mains du service informatique, mettant ainsi en danger les données de leur entreprise. Près d’un salarié européen sur six (soit 15 %) déclare n’avoir même pas prévenu son employeur qu’il utilise un terminal personnel au travail. Ils sont 17 % dans ce cas au Moyen-Orient et en Amérique.

Encore plus inquiétant pour les entreprises : 13 % des salariés européens, 26 % au Moyen-Orient et 11 % aux Etats-Unis avouent qu’ils n’informeraient pas leur employeur si leur terminal était corrompu, même si cela entraînait une fuite de données professionnelles. Ils sont par ailleurs 40 % en Europe, 41 % au Moyen-Orient et 36 % en Asie à affirmer qu’ils ne signaleraient pas immédiatement une fuite de données.

Cette réticence s’explique par la perception négative que les salariés ont du service informatique de leur entreprise. Ils s’inquiètent plus particulièrement de ce que le personnel informatique pourrait faire de leur terminal et des données qu’il contient. 25 % des salariés européens interrogés, 31 % au Moyen-Orient et 45 % aux Etats-Unis sont inquiets à l’idée que le personnel informatique accède à leurs données personnelles, et ils sont 18 % en Europe et 26 % au Moyen-Orient à craindre que leur service informatique ne fouille dans leurs données privées s’ils lui confiaient leur terminal.

Lorsqu’on leur demande comment elles réagiraient si le personnel informatique de l’entreprise accédait à leurs données personnelles, près de la moitié des personnes interrogées en Europe et au Moyen-Orient répondent qu’elles seraient en colère, tandis qu’elles seraient 41 % en Europe, 47 % au Moyen-Orient et 46 % aux Etats-Unis à percevoir cela comme une violation.

Ben Gibson, directeur marketing chez Aruba Networks, a déclaré à datasecuritybreach.fr : « L’étude menée des deux côtés de l’Atlantique montre que les employés et les services informatiques jouent avec la sécurité des données, mais cela n’est pas uniquement le fait du hasard. Pour résumer : autant les salariés acceptent mal le pouvoir que les employeurs exercent aujourd’hui sur leurs données personnelles, autant ils sont indifférents à la sécurité des données de l’entreprise. »

« L’utilisation de terminaux électroniques personnels pour un usage professionnel (BYOD) est devenue aujourd’hui une réalité face à laquelle les entreprises doivent adopter des solutions pour, d’un côté, garantir le caractère privé des données des employés et, de l’autre, exercer un contrôle plus étroit sur le réseau afin de s’assurer qu’aucune information sensible ne puisse être divulguée, le tout sans perturber l’expérience de l’utilisateur », a-t-il conclu à Data Security Breach.

Il existe clairement un fossé entre ce que les employés veulent et ce dont les services informatiques des entreprises ont besoin. Créer une véritable séparation entre données personnelles et données de l’entreprise contribuerait fortement à résoudre ces problèmes et à tranquilliser les salariés.

A noter que l’éditeur de solutions de sécurité informatique AVG a mis en ligne, dans le Google Play, un outil qui permet de désinstaller, efficacement, toutes les applications que l’on souhaite détruire.

Android, Sécurité, Smartphone

Les abus de permissions des applications mobiles

Les utilisateurs octroient sans le savoir un accès aux fraudeurs en échange d’applications gratuites. Comme avez pu vous le montrer Data Security Breach et zataz.com lors du Forum International de la Cyber Sécurité 2013 (Fic20133 à Lille), les applications mobiles, surtout sous Android, peuvent cacher de véritable piège. McAfee a fait parvenir à la rédaction de datasecuritybreach.fr les résultats de son étude « Mobile Security: McAfee Consumer Trends Report – June 2013 ».

Celle-ci révèle les nouveaux moyens que les cybercriminels utilisent pour leurs méfaits et, notamment, comment ils détournent les permissions accordées aux applications mobiles pour commettre des fraudes et installer des logiciels malveillants. Le rapport de McAfee montre également que les jeux sont la forme la plus courante d’applications infectées par des malwares.

Datasecuritybreach.fr a constaté que, sous le camouflage d’applications « libres », les criminels sont en mesure d’amener les consommateurs à accepter des autorisations invasives qui permettent aux fraudeurs de déployer des logiciels malveillants. Les autorisations des applications gratuites, financées par les adwares, diffusent les informations personnelles des utilisateurs qui, par la suite sont utilisées par les réseaux publicitaires en vue de diffuser des annonces ciblées. Toutefois, McAfee a constaté que 26 % des applications sont probablement plus qu’un simple publiciel. Les arnaques par SMS et les exploits de rooting ont été parmi les types de menaces les plus populaires recensés à travers une variété d’applications.

Les escroqueries aux SMS surtaxés : un problème coûteux Le rapport a examiné Fake Installer, un morceau de malware SMS dissimulé dans une application gratuite qui peut envoyer jusqu’à sept messages. Avec un prix significatif de 4 $ US par message, cette application « libre » peut coûter jusqu’à 28 $ US lorsque le malware demande au mobile du consommateur d’envoyer ou de recevoir des messages à partir d’un numéro de SMS surtaxé.

Les fausses notes des applications : lire entre les étoiles Le logiciel malveillant Fake Installer a trompé les utilisateurs des Etats-Unis, d’Inde et de 64 autres pays, dont la France, en obtenant la note de 5 étoiles sur Google Play. A partir du moment où un développeur d’application est hautement noté, les autres applications qu’il publiera seront approuvées, créant ainsi beaucoup plus d’opportunités pour les criminels de publier et de diffuser des applications porteuses de logiciels malveillants.

Des applications malveillantes par catégorie : les jeux en tête de liste Le rapport de McAfee a également identifié les applications les plus populaires contenant des logiciels malveillants. Sur les 20 premiers téléchargements d’applications de programmes malveillants, les jeux ont remporté le concours de popularité, suivis par les applications de personnalisation. Viennent ensuite, à égalité, les outils applicatifs, les applications musicales, de style de vie (une catégorie de couverture pour les contenus pour adultes) et de télévision.

L’éditeur AVG a publié, début juillet, un outil qui permet de suivre les données diffusées par les applications, et éradiquer des mobiles les intrus.

Chiffrement, cryptage, Cyber-attaque, Espionnae, Logiciels, Sécurité

CryptoCat mal sécurisé durant 1 an

L’outil de chiffrement de conversation en temps réel, CryptoCat, fonctionne sous Firefox. Une application que nous vous présentions, il y a peu, sur DataSecurtyBreach.fr. Depuis quelques jours, l’outil est « enfin » sécurisé de manière efficace. Il faut dire aussi que depuis le 17 octobre 2011, l’outil d’anonymisation des conversations avaient des problèmes dans ses clés de chiffrement.

L’information vient de Steve Thomas. Le codeur a découvert comment Cryptocat sécurisait mal les conversations, laissant des potentialités d’interceptions non négligeables. Jusqu’au 15 juin dernier, ou les sécurités et clés de chiffrement ont été renforcées de manière efficace, il était possible, avec plus ou moins de moyen, de cracker les conversations. « Le bug aura duré 347 jours, a pu lire dataSecuritybreach.fr de la main de Steve Thomas. Cela a rendu les clés privées ECC ridiculement petites. Le système de clé publique de Cryptocat est maintenant sécurisé… après avoir été mauvais depuis quasiment le début. » L’auteur de l’analyse suggère tout de même de ne pas utiliser Cryptocat « On ne sait pas combien de temps le système de chiffrement va résister« . Dommage que Steve Thomas n’ait pas apporté son savoir pour aider ce projet open source et gratuit.