Wi-Fi Finder : 2 millions de mots de passe de réseaux Wi-Fi exposés

Une application Android très populaire permettant de trouver des hot-spot Wi-Fi contenait pas moins de deux millions de passwords de réseaux privés. Une base de données entièrement alimentée par ses utilisateurs.

Le magazine TechCrunch dévoilait hier la découverte de Sanyam Jain, chercheur en sécurité, qui s’est intéressé à l’application Wi-Fi Finder.

Des millions de mots de passe en clair

En déplacement, il est logique de vouloir se connecter à des points d’accès Wi-Fi ouverts et gratuits, et des applications permettant de les indexer existent. C’est le cas de Wi-Fi Finder, une application Android téléchargée plus de 100 000 fois sur le Play Store et relativement bien notée. L’application permettait cependant aussi de soumettre son réseau Wi-Fi personnel, avec sa géolocalisation précise, le BSSID et le mot de passe.

Au total, Sanyam Jain a relevé que ce n’était pas moins de 2 millions de mots de passe qui avaient ainsi été accumulés au sein de l’application. Ces données auraient pu être utilisées par des personnes malveillantes pour attaquer des réseaux et des ordinateurs connectés à celui-ci. Le chercheur a découvert que la base de données était stockée en clair sur Internet et a alerté TechCrunch. Les journalistes ont tentés pendant deux semaine de rentrer en contact avec le développeur (selon toute vraisemblance, un ressortissant chinois) sans succès, avant d’attaquer le problème à la racine en prenant contact avec DigitalOcean, hébergeur des données, qui a supprimé celles-ci.