Chercheur en cybersécurité connu et reconnu, Baptiste Robert a décelé une faille informatique au sein du chapelet connecté du Vatican, eRosary. Seulement quinze minutes lui ont suffi pour accéder au compte utilisateur de sa cible.

Il est né le divin hacker. Baptiste Robert, aussi connu sous le pseudo Twitter Elliot Alderson – en référence au personnage fictif de Mr. Robot incarné par le génialissime Rami Malek – a fait de la recherche de brèches informatiques son véritable fer de lance. En publiant ses trouvailles sur le réseau social à l’oiseau bleu, l’intéressé s’est forgé une solide réputation, récompensée par une importante communauté de 131 000 abonnés.

L’un de ses derniers faits d’armes mis au jour courant octobre a rapidement reçu un fort écho médiatique : le chercheur en cybersécurité a en effet révélé une importante faille dénichée dans le chapelet connecté du Vatican, eRosary. Plus surprenant encore, il ne lui a fallu que quinze petites minutes pour s’infiltrer dans le rosaire de sa victime, comme le rapporte CNET.

Veni, vidi, vici

Commercialisé au prix de 99 euros, eRosary s’appareille à une application iOS ou Android elle aussi développée par le Vatican, intitulée Click To Pray eRosary. Ce binôme connecté accompagne ainsi un utilisateur au gré de ses prières par le biais de guides audio et des contenus personnalisés. Le chapelet enregistre même toute une série de données, tels que le nombre de pas effectués dans une journée et la fréquence des prières.

À l’image de Jules César après sa victoire éclair en -47 face au roi Pharnace II, près de Zéla (Asie Mineure), Baptiste Robert est venu, a vu et a vaincu le chapelet connecté du Vatican en un très court laps de temps. // Crédit photo : 139904 via Pixabay.

À savoir désormais comment un pirate informatique est capable de prendre le contrôle d’un compte ciblé : en connaissant son adresse email, tout simplement. Comme l’explique Baptiste Robert dans un rapport public, un utilisateur reçoit sur son adresse email indiquée un code pin à quatre chiffres, et ce à chaque nouvelle connexion. Ce qui, en somme, s’éloigne des standards habituels.

Manque de professionnalisme

La faille se situe alors dans le processus suivant : le code reçu par l’internaute est aussi envoyé à l’application dans une réponse HTTP, non chiffrée. Conséquences : il suffit à un hacker d’analyser le trafic réseau pour intercepter le code pin qu’il utilisera dans la foulée pour se connecter. Une erreur pour le moins naïve de la part du Vatican.

Libre au pirate informatique de récolter l’ensemble des données liées à sa victime : numéro de téléphone, email, nom, genre, date de naissance, taille, poids, avatar ou encore biographie. Supprimer le compte fait même partie de son champ d’action. Contactée par Baptiste Robert, la ville-État située au cœur de Rome a depuis corrigé cette anomalie.

Partager sur les réseaux sociaux