Accueil Cybersécurité L’application du spectacle du Cirque du Soleil, Toruk, avait une faille…

L’application du spectacle du Cirque du Soleil, Toruk, avait une faille…

Le vacances d’été sont en cours, et vous allez peut-être télécharger une application dédiée à un événement particulier… Mais sera-t-elle bien sécurisée ? C’est la question que s’est posée un chercheur en sécurité de l’éditeur Eset alors qu’il assistait au spectacle Toruk du Cirque du Soleil.

L’application « TORUK – The First Flight » téléchargeable dans le cadre du spectacle du Cirque du Soleil, Toruk, et dont la dernière représentation a eu lieu le 30 juin à Londres,  permet de participer au show via des effets audiovisuels synchronisés sur le mobile. L’application compte 100 000 installations sur Google Play.

« J’ai assisté au spectacle avec l’option d’utiliser l’application, je me suis donc immédiatement posé la question de la gestion d’une application pour une audience si massive et tous ces smartphones » explique à Solutions Numériques Lukáš Štefanko, le chercheur en sécurité d’Eset. « Le lendemain, j’ai analysé l’application par simple curiosité ». Et Lukáš Štefanko découvre la faille. 

Elle permet à quiconque “connecté au réseau pendant le spectacle” d’avoir “les mêmes possibilités d’administration que les opérateurs du Cirque du Soleil », explique le chercheur. Lorsque cette application est en cours d’exécution sur un mobile, elle ouvre un port local afin qu’il soit possible de modifier à distance les paramètres de volume, de découvrir les périphériques Bluetooth proches si Bluetooth est activé, d’afficher des animations, de définir la position du bouton « J’aime » de Facebook sur l’appareil, et de lire ou écrire dans les préférences partagées accessibles par l’application. « Le problème est que l’application n’a pas de protocole d’authentification en place. Un adversaire peut donc analyser le réseau et obtenir les adresses IP des périphériques dont le port en question est ouvert — il s’agit du port 6161 — et envoyer des commandes à tous les périphériques l’exécutant », poursuit Lukáš Štefanko. 

Selon le chercheur, rendre cette application résistante à ce type d’attaque n’était pourtant pas compliqué. « Si l’application générait un jeton unique pour chaque appareil, il serait impossible d’accéder à tous les appareils à la fois sans aucune authentification ».
« Ceux qui ont installé cette application devraient la désinstaller immédiatement. D’ailleurs, nous recommandons fortement de le faire avec toutes les applications à usage unique, liées par exemple à un événement particulier », recommande Lukáš Štefanko.

Après avoir informé le développeur de l’application en mars 2019, puis de nouveau en mai, n’ayant pas reçu de réponse, Eset a décidé de divulgué l’information alors que le show se terminait. Avec la fin de la tournée, l’application n’est plus commercialisée, et les responsables du Cirque du Soleil ont déclaré qu’il la retirerait des magasins d’applications officiels Android et Apple.