Des utilisateurs affirment que leur inscription à Houseparty a entraîné le piratage de leurs comptes Spotify, Instagram ou PayPal. L'entreprise a nié cette rumeur, puis elle a contre-attaqué : elle offre une prime de un millions de dollars à qui prouvera qu'elle est victime d'une campagne de dénigrement commercial.

L’application Houseparty cartonne en ces temps de confinement, mais elle doit faire face à une mise en cause de la qualité de sa protection des données. Pour lutter contre les rumeurs, les dirigeants offrent une prime exceptionnelle de un million de dollars à qui prouvera que l’entreprise est la cible d’une campagne de dénigrement.

Houseparty est un service de visioconférence destiné à des groupes d’amis ou des groupes familiaux. Les membres d’une maison virtuelle peuvent jouer ensemble à des jeux comme Trivia ou Pictionnary. Lancée en 2016, l’application a été rachetée trois ans plus tard par Epic Games, le géant du jeu vidéo également propriétaire de Fortnite.

Ce n’est pas tous les jours que les entreprises proposent des primes d’un million de dollars. // Source : Commons.wikimedia.org

Houseparty pense être victime d’une campagne de dénigrement

Sur les réseaux sociaux, des internautes prétendent que des hackers profitent d’une vulnérabilité de Houseparty pour hacker leurs comptes Netflix, Instagram ou encore Spotify ainsi que leurs comptes PayPal et leurs comptes bancaires.

Ces messages partagés par des milliers d’individus sont accompagnés d’appels à désinstaller l’application. Les tabloïds britanniques The Sun, Mirror Online, et The Express ont relayé les accusations en citant exclusivement les messages publiés sur les réseaux sociaux.

Le mouvement de panique a pris une ampleur suffisante pour que Houseparty s’exprime publiquement sur Twitter. « Tous les comptes Houseparty sont sans danger — le service est sécurisé, n’a jamais été compromis et ne collecte pas les mots de passe d’autres sites  », affirmait l’entreprise dans un message posté le 30 mars en soirée.

Mais cela n’a pas suffi à faire désenfler la rumeur. Dix heures plus tard, l’application a donc publié une prise de position plus radicale. « Nous enquêtons sur une piste selon laquelle les récentes rumeurs de hacking feraient partie d’une campagne de dénigrement commercial, payée par un tiers afin de causer dommage à Houseparty. Nous offrons une prime de 1 000 000 de dollars au premier individu qui présentera les preuves d’une telle campagne à bounty@houseparty.com. »

Une prime exceptionnelle d’un million de dollars

Pour prouver son innocence, Houseparty n’a pas lésiné sur les moyens. En 2019, une poignée de chasseurs de prime sont parvenus à accumuler 1 million de dollars en repérant plusieurs vulnérabilités. En revanche, seul Apple propose une prime aussi élevée que Houseparty. Et pour la décrocher, il faut déceler une vulnérabilité très critique qui permettrait de prendre le contrôle des couches logicielles profondes de l’iPhone, le tout sans clic de la part de l’utilisateur. Autant dire qu’il est très peu probable de trouver une telle faille. Et dans ce cas, payer un million de dollars serait une option peu coûteuse pour l’entreprise californienne, vu la gravité d’une telle faille.

En proposant une telle somme, Houseparty envoie donc deux signaux : l’entreprise veut rapidement clore l’incident, et la rumeur lui cause suffisamment de dommages pour qu’elle dégage une importante enveloppe.

Trop peu de preuves pour accuser Houseparty

Pourtant, aucune preuve solide ne confirme pour l’instant les accusations contre l’application. À moins que les utilisateurs concernés utilisent les mêmes identifiants et mots de passe pour tous leurs comptes, une éventuelle fuite de Houseparty ne devrait pas permettre de compromettre immédiatement leurs comptes d’autres applications. En revanche, les données volées permettraient aux voleurs de lancer des campagnes de phishing, mais ce point ne fait pas partie des accusations.

Pour que les rumeurs s’avèrent exactes, il faudrait que des hackers aient découvert une vulnérabilité extrêmement critique, qui permettrait par exemple d’infecter le smartphone avec d’autres logiciels malveillants capables d’intercepter les mots de passe ou de lancer des programmes. Même dans ce scénario extrême, ce genre d’attaque passe difficilement inaperçu, se elles sont effectuées à grande échelle comme le suggère le nombre de messages.

Si la piste d’une campagne de dénigrement orchestré par un concurrent est finalement écartée, la situation actuelle pourrait tout simplement être liée à… une coïncidence. À la faveur du confinement, les pirates s’en prennent aux utilisateurs plus que jamais présents en ligne. En France par exemple, l’UFC Que Choisir a mis en garde contre une campagne de phishing qui utilise Netflix comme leurre pour voler des informations.

Crédit photo de la une : Houseparty

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux