«En gros, je vais de continuer à vous parler, mais je vais disparaître », m’a dit Katie Moussouris, chercheuse de longue date en sécurité, dans une salle privée du Clubhouse en février. Et puis son avatar a disparu. J’étais seule, ou du moins c’est comme ça que ça me semblait. « Ça y est, » dit-elle depuis l’au-delà numérique. « C’est le bug. Je suis un putain de fantôme. »
Cela fait plus d’un an que le réseau social audio Clubhouse a fait ses débuts. Au cours de cette période, sa croissance explosive s’est accompagnée d’une panoplie de problèmes de sécurité, de confidentialité et d’abus. Cela inclut une paire de vulnérabilités récemment révélées, découvertes par Moussouris et maintenant corrigées, qui auraient pu permettre à un attaquant de se cacher et d’écouter dans une salle du Clubhouse sans être détecté, ou de perturber verbalement une discussion hors du contrôle d’un modérateur.
La vulnérabilité pourrait également être exploitée sans pratiquement aucune connaissance technique. Tout ce dont vous aviez besoin était de deux iPhones sur lesquels Clubhouse était installé et d’un compte Clubhouse. (Clubhouse n’est toujours disponible que sur iOS.) Pour lancer l’attaque, vous devez d’abord vous connecter à votre compte Clubhouse sur le téléphone A, puis rejoindre ou démarrer une salle. Ensuite, vous vous connectez à votre compte Clubhouse sur le téléphone B – qui vous déconnecte automatiquement sur le téléphone A – et rejoignez la même salle. C’est là que les problèmes ont commencé. Le téléphone A afficherait un écran de connexion, mais ne vous déconnecterait pas complètement. Vous auriez toujours une connexion en direct avec la pièce dans laquelle vous vous trouviez. Une fois que vous avez «quitté» cette même pièce sur le téléphone B, vous disparaissiez, mais vous pourriez maintenir votre connexion fantôme sur le téléphone A.
Dans l’écran de droite, Moussouris était partie, mais son fantôme Clubhouse est resté.
Capture d’écran: Lily Newman via ClubhouseMoussouris a également constaté qu’un pirate informatique aurait pu lancer l’attaque, ou des variantes de celle-ci, en utilisant des mécanismes plus techniques. Mais le fait que cela puisse être fait si facilement souligne l’importance de la faille. Moussouris appelle l’attaque d’écoute «Stillergeist» et l’attaque d’interruption «Banshee Bombing».
Étant donné que la vulnérabilité existait pour n’importe quelle pièce, elle fait valoir que la faiblesse représentait le pire des cas pour Clubhouse, car la plate-forme travaille pour traiter les problèmes de confidentialité, le harcèlement, les discours de haine et autres abus. Ne pas savoir qui écoute une conversation ou devoir fermer une pièce parce que vous ne pouvez pas empêcher une personne invisible de dire ce qu’elle veut, sont des situations cauchemardesques pour une application de chat audio.
Après que Moussouris ait soumis ses conclusions à l’entreprise début mars, elle a déclaré que Clubhouse n’était pas immédiatement réactif et qu’il a fallu quelques semaines pour résoudre complètement le problème. En fin de compte, Clubhouse a expliqué à Moussouris qu’il avait corrigé deux bugs liés à la découverte. Un correctif a permis de s’assurer que tous les participants fantômes étaient toujours silencieux et ne pouvaient pas entendre une pièce même s’ils y planaient, les piégeant essentiellement dans le purgatoire du Clubhouse. Le deuxième correctif de bogue a résolu un problème d’affichage du cache, de sorte que les utilisateurs sont plus complètement déconnectés sur un ancien appareil s’ils se connectent à un autre. Moussouris dit qu’elle n’a pas entièrement validé les correctifs elle-même, mais que l’explication a du sens.
