Si vous utilisez l'application Bing sur mobile pour des recherches sensibles, il est temps de revoir vos habitudes. Une brèche majeure expose les historiques de recherche des utilisateurs à des pirates.
Cette vulnérabilité a été découverte par l'expert en cybersécurité WizCase, sous la direction du chercheur Ata Hakçil. Ils ont identifié un serveur Microsoft mal sécurisé contenant 6,5 To de données, en augmentation de 200 Go par jour.
Ce serveur abritait une base de logs de recherches effectuées via l'application mobile Bing (non via le site web). Protégé auparavant par un mot de passe, il en a été privé début septembre 2020. Des pirates l'avaient déjà repéré, lançant une attaque Meow (rançongiciel) les 10-12 septembre, menaçant de tout effacer.
L'attaque n'a pas tout supprimé : WizCase a trouvé plus de 100 millions d'enregistrements collectés par les assaillants le 12 septembre.
Les données exposées incluaient :
Termes de recherche en clair (hors mode privé).
Coordonnées GPS précises (précision < 500 m si localisation activée), permettant de localiser l'utilisateur via Google Maps.
Heure exacte de la recherche.
Type d'appareil et OS utilisés.
Microsoft a été alerté et a sécurisé le serveur rapidement après la découverte.
Ces informations riches offrent aux cybercriminels des leviers pour des attaques ciblées : usurpation d'identité via profils reconstitués (recherches + localisation + appareil), chantage sur des termes sensibles, phishing personnalisé, voire cambriolages en analysant les patterns (recherches à domicile et horaires).
Cette fuite de 2020 souligne les risques des apps de recherche. Privilégiez des alternatives respectueuses de la confidentialité comme DuckDuckGo ou StartPage, qui ne stockent pas vos données.
Crédit image : BEST-BACKGROUNDS/Shutterstock.com
