Des milliers de données de parents et d’enfants compromises sur l’application HopHop

Une faille de sécurité détectée dans l’application HopHop, utilisée par de nombreux parents pour coordonner la sortie de leurs enfants du service de garde, a permis d’accéder à des données personnelles critiques. À la suite de cette découverte, l’entreprise a suspendu ses activités mardi pour corriger la vulnérabilité.

• À lire aussi: Discord confirme un piratage: des photos et messages d’utilisateurs compromis

• À lire aussi: Données bancaires de Mark Carney compromises: un ex-employé de la Banque Royale du Canada accusé de fraude et de vol d’identité

HopHop est une application conçue pour aider les services de garde à synchroniser la préparation des enfants avec l’heure d’arrivée des parents, calculée grâce à la géolocalisation de leur téléphone intelligent.

Patrick Mathieu, expert en cybersécurité et cofondateur du Hackfest, a démontré qu’une des fonctionnalités de l’application permettait d’accéder aux profils d’autres parents afin de confirmer si quelqu’un d’autre devait venir chercher un enfant.

Une option conçue pour faciliter la vie des utilisateurs, mais qui s’est révélée plutôt préoccupante sur le plan de la sécurité.

«Mais là, t’as la photo du parent. Tu ne sais peut-être pas c’est de quelle école, mais je veux dire Facebook, ça existe là, ce n’est pas trop compliqué. Ça fait que là, on se ramasse avec toutes les données de tous les parents qui étaient accessibles facilement avec les noms des enfants associés aux parents, les téléphones, les courriels, etc.» a expliqué M. Mathieu au micro de Richard Martineau sur les ondes de QUB radio et télé, diffusée simultanément au 99,5 FM Montréal.

Cela représente également un danger pour les enfants.

«Ça met encore une fois à risque des enfants qui n’ont, pour la majorité, même pas de téléphones puis d’internet encore. Leurs données peuvent être compromises», a-t-il révélé.

L’expert en cybersécurité déplore la facilité avec laquelle il a pu accéder à toutes ces informations.

«Ce n’est pas un hack, c’est une fonctionnalité qui est donnée dans l’application, il n’y a pas de magie, là. N’importe qui qui nous écoute est capable de faire la même chose. [...] Puis pour être franc, quand j’ai vu ça apparaître, je n’étais pas content là. Je l’utilise, cette application-là», a mentionné M. Mathieu.

Patrick Mathieu ne pointe personne du doigt et dénonce plutôt qu’il n’y ait pas de guide officiel qui force à avoir un cadre de sécurité entourant la conception d’une application mobile.

«Ça n’existe pas, a-t-il déploré. Ça fait que là, on se retrouve avec des applications qui sont développées par 2-3 personnes. Ce n’est pas de leur faute, ce n’est pas leur job, d’[assurer] la sécurité. [...] Mais ça reste que le gouvernement, lui, il n’a pas de processus qui valide qu’ils ont bien fait ça.»

Activités sur pause

À la lumière de ces informations, HopHop a suspendu temporairement l’accès à ses serveurs et à son application, mardi.

«Un article de Radio-Canada paru le mardi 7 octobre mentionne qu’un expert en sécurité informatique a réussi à accéder à des informations contenues dans notre base de données», a-t-on précisé sur son site internet.

HopHop précise être en contact avec le ministère de la Cybersécurité et du Numérique pour collaborer afin de corriger la vulnérabilité détectée.

Voyez l’entrevue complète dans la vidéo ci-dessus.