Les applications de rencontre, très populaires, souffrent de plusieurs failles de sécurité d’après des chercheurs de Kaspersky.

On connait tous quelqu’un qui a connu son ou sa conjoint.e sur une application de rencontre. D’autres utilisent ces plateformes uniquement pour des rencontres d’un soir. Ces services se sont grandement développés au cours des dernières années. Personnellement, je vois au moins six publicités invitant à en télécharger sur mon trajet de 20 minutes en métro tous les matins.

Le jeu de la séduction implique forcément d’échanger des informations et, partant de ce postulat, on peut être certains qu’un très grand nombre de données personnelles transitent sur ses applications. D’où l’importance de bien les protéger contre toutes tentatives de piratage.

Malheureusement, d’après des experts de Kaspersky Lab, ces services souffrent de diverses failles de sécurité permettant de voler facilement plusieurs informations. Les chercheurs ont en effet testé neuf applications différentes disponibles sur Android et iOS :

  • Tinder

    Tinder est l’application qui plus que tout autres à démocratisé les rencontres sur smartphone. Naviguez parmi des milliers de profils d'hommes...

    3 raisons de télécharger cette application

    • L'application de rencontre leader sur smartphone
    • Un concept original et ludique
    • Des profils complets liés à Instagram et Spotify
  • Bumble 

    Bumble est une application de rencontre où le respect entre les comportements respectueux entre les internautes sont érigés en règle d'or. La...

    3 raisons de télécharger cette application

    • Bon travail de modération
    • La femme envoie le premier message pour les rencontres hétérosexuelles
    • Interface très soignée
  • OK Cupid 

    Pour vous éviter les « salut ça va ? », ou de déprimer face à des profils désespérément vides ou seules deux photos vous permettent de...

    3 raisons de télécharger cette application

    • Répondez à des centaines de questions pour créer votre profil
    • Utilisez le pourcentage de compatibilité pour trouver qui vous ressemble
    • Une application avec une approche différente pour des rencontres intéressantes
  • Badoo 
  • Mamba 
  • Zoosk 
  • Happn 

    Vous marchez dans la rue et soudain vous croisez le crush de votre vie, c’est le coup de foudre. Vous n’osez pas l’aborder, mais heureusement...

    3 raisons de télécharger cette application

    • Retrouvez les profils que vous avez croisé
    • Ne recevez des messages que des personnes que vous likez
    • Rencontrez des profils proche de vous
  • WeChat 

    WeChat est une application d'appel et de messagerie instantanée gratuite. Elle est très populaire en Chine ce qui lui a permis d'être l'une des...

    3 raisons de télécharger cette application

    • Le service de paiement WeChat Pay (en Asie)
    • Appels et messages gratuits en Wi-Fi
    • Partager facilement fichiers, images et emplacement GPS
  • Paktor

Stalking

Tout d’abord, les spécialistes de la sécurité informatique ont observé à quel point il était aisé de traquer une personne et d’en apprendre beaucoup sur sa vie privée. Par exemple, sur Tinder, Happn et Bumble, il est possible d’indiquer son emploi et sa formation. En partant de ces informations, les chercheurs ont pu, dans 60 % des cas, identifier des personnes sur d’autres réseaux sociaux comme Facebook et LinkedIn et, par conséquent, avoir accès à leur nom complet.

Les équipes de Kaspersky soulignent le fait que sur les applications de rencontre, les utilisateurs sont soumis à des restrictions pour lancer une conversation (les deux personnes doivent « matcher », parfois seules les femmes peuvent entamer la discussion…). Mais si l’on a accès au profil Facebook de la personne que l’on convoite, il est plus facile de lui envoyer un message. Les chercheurs mettent ainsi en garde contre les risques de harcèlement et de stalking.

Or, ils indiquent n’avoir rencontré aucune difficulté à accéder aux données récoltées par Happn en provenance de Facebook.

Sur les versions Android et iOS de Happn, les chercheurs ont exploité le paramètre fb_id pour accéder aux informations Facebook des utilisateurs.

Géolocalisation

Les options de géolocalisation des applications de rencontre sont également pointées du doigt. Ces services proposent en effet d’échanger avec des personnes relativement proches de soi. Mais pour éviter les attaques, elles indiquent seulement qui séparent les deux utilisateurs et non leurs positions exactes. Toutefois, les chercheurs se sont rendu compte qu’il était possible de découvrir précisément la position d’une personne immobile.

Pour cela, il faut mesurer à plusieurs reprises la distance qui nous sépare d’elle. Une méthode laborieuse qui peut être simplifiée en envoyant de fausses informations de géolocalisation aux serveurs pour leur faire croire que l’on est en mouvement. Ainsi, le hacker n’a pas besoin de bouger et peut déterminer le lieu où se trouve la personne qu’il attaque.

Cette technique fonctionne particulièrement bien sur Tinder, Mamba, Zoosk, Happn, WeChat et Paktor.

 

Données non protégées

Même si les applications utilisent un protocole de sécurisation SSL quand elles échangent avec un serveur, quelques données restent non chiffrées. Ainsi, Tinder, Paktor, Bumble et la version iOS de Badoo téléversent les photos via un protocole HTTP non sécurisé. De là, un pirate peut savoir quel compte sa victime est en train de consulter.

Les requêtes HTTP de Tinder.

En fonction des applications et des versions Android ou iOS, les experts ont découvert qu’un bon nombre de données n’étaient pas correctement chiffrées. Dans le cas de Zoosk sur Android, par exemple, ils ont pu intercepter des requêtes du module publicitaire grâce auxquelles ils ont accédé aux coordonnées, à l’âge, au sexe et au modèle de smartphone des utilisateurs. Si le hacker contrôle un point d’accès Wi-Fi, il pourra même afficher des publicités malveillantes.

D’autres failles en tout genre sont décrites dans le papier. Le document se termine par quelques mises en garde : évitez de vous connecter à des réseaux Wi-Fi publics, installez des solutions de sécurité pour détecter les malwares, utilisez des VPN…