La notification « 1 » du service Traçage du mobile, envoyée par erreur la semaine dernière, a effrayé de nombreux utilisateurs de smartphones Samsung. Partout dans le monde, les craintes liées à la sécurité ont rapidement été désamorcées. Sauf au Royaume-Uni, où l'envoi de la notification a coïncidé avec un bug du site web de la marque qui permettait d'accéder à des données personnelles.

Le 20 février 2020, de nombreux utilisateurs de smartphones Samsung recevaient une étrange notification : un « 1 » dans l’espace dédié au titre, un autre « 1 » dans l’espace dédié au texte, et c’est tout. Elle provenait du service Traçage du Mobile, une version francisée de l’option Find My Phone, qui permet notamment de géolocaliser et de bloquer son téléphone à distance. Dans la foulée, Samsung rassurait ses clients sur ses différents comptes nationaux.

Samsung s'excuse pour la gêne occasionnée et fait tout son possible pour éviter que cette situation ne se reproduise. 🙂 (2/2) — Samsung FR (@SamsungFR) February 20, 2020

D’après le constructeur coréen, l’erreur d’envoi de la notification est liée à un test en interne, au sujet duquel il n’a pas donné plus d’information. Dans la majorité des pays, l’histoire s’est donc arrêtée là, puisque l’erreur n’avait pas affecté le service Traçage du mobile.

Ils voulaient sécuriser leur compte, ils ont eu accès aux données d’autres personnes

Mais au Royaume-Uni, les craintes causées par la notification ne se sont pas immédiatement estompées, d’après Sammobile. Et pour cause : juste après la réception de la notification, certains utilisateurs ont eu le réflexe d’aller changer leurs mots de passe, au cas où leur compte se serait fait hacker. Sauf qu’une fois qu’ils se sont connectés sur leur compte Samsung Shop, les données d’autres utilisateurs s’affichaient dans les espaces où auraient dû se trouver les leurs. Ils avaient ainsi accès à un numéro de téléphone, une adresse email, l’historique des dernières commandes, l’adresse de livraisons et même les 4 derniers chiffres de la carte bancaire appartenant à une ou plusieurs autres personnes.

Pure coïncidence

Interrogé par The Register, Samsung a concédé qu’une « erreur technique » avait eu pour conséquence de donner à un petit nombre d’utilisateurs l’accès aux données d’autres utilisateurs. En somme, les données avaient été mélangées. Le constructeur explique qu’il a bloqué l’accès au Samsung Store, le temps de réparer le problème.

Mais un doute subsistait : cette fuite de données était-elle liée à la notification erronée ? Si la fuite provenait du service Traçage du mobile, les conséquences en termes de sécurité pouvaient être catastrophiques. Samsung a donc repris la parole, auprès de Sammobile, pour préciser : la fuite n’était pas liée à au bug de notification, car l’erreur provenait du site britannique de la marque.

Il s’agirait donc d’une pure coïncidence.

Le constructeur affirme également que moins de 150 clients ont été concernés par ce mélange de données involontaire, et qu’ils les contacteraient personnellement.

Crédit photo de la une : Ulrich Rozier pour Numerama À propos d'ExpressVPN ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché. Plus d’informations sur la solution VPN d'ExpressVPN