Tinder, Happn, OkCupid… la sécurité des applis de rencontre mise à mal

 

Les applications de rencontre, très populaires, souffrent de plusieurs failles de sécurité d’après des chercheurs de Kaspersky.

On connait tous quelqu’un qui a connu son ou sa conjoint.e sur une application de rencontre. D’autres utilisent ces plateformes uniquement pour des rencontres d’un soir. Ces services se sont grandement développés au cours des dernières années. Personnellement, je vois au moins six publicités invitant à en télécharger sur mon trajet de 20 minutes en métro tous les matins.

Le jeu de la séduction implique forcément d’échanger des informations et, partant de ce postulat, on peut être certains qu’un très grand nombre de données personnelles transitent sur ses applications. D’où l’importance de bien les protéger contre toutes tentatives de piratage.

Malheureusement, d’après des experts de Kaspersky Lab, ces services souffrent de diverses failles de sécurité permettant de voler facilement plusieurs informations. Les chercheurs ont en effet testé neuf applications différentes disponibles sur Android et iOS :

Stalking

Tout d’abord, les spécialistes de la sécurité informatique ont observé à quel point il était aisé de traquer une personne et d’en apprendre beaucoup sur sa vie privée. Par exemple, sur Tinder, Happn et Bumble, il est possible d’indiquer son emploi et sa formation. En partant de ces informations, les chercheurs ont pu, dans 60 % des cas, identifier des personnes sur d’autres réseaux sociaux comme Facebook et LinkedIn et, par conséquent, avoir accès à leur nom complet.

Les équipes de Kaspersky soulignent le fait que sur les applications de rencontre, les utilisateurs sont soumis à des restrictions pour lancer une conversation (les deux personnes doivent « matcher », parfois seules les femmes peuvent entamer la discussion…). Mais si l’on a accès au profil Facebook de la personne que l’on convoite, il est plus facile de lui envoyer un message. Les chercheurs mettent ainsi en garde contre les risques de harcèlement et de stalking.

Or, ils indiquent n’avoir rencontré aucune difficulté à accéder aux données récoltées par Happn en provenance de Facebook.

Sur les versions Android et iOS de Happn, les chercheurs ont exploité le paramètre fb_id pour accéder aux informations Facebook des utilisateurs.

Géolocalisation

Les options de géolocalisation des applications de rencontre sont également pointées du doigt. Ces services proposent en effet d’échanger avec des personnes relativement proches de soi. Mais pour éviter les attaques, elles indiquent seulement qui séparent les deux utilisateurs et non leurs positions exactes. Toutefois, les chercheurs se sont rendu compte qu’il était possible de découvrir précisément la position d’une personne immobile.

Pour cela, il faut mesurer à plusieurs reprises la distance qui nous sépare d’elle. Une méthode laborieuse qui peut être simplifiée en envoyant de fausses informations de géolocalisation aux serveurs pour leur faire croire que l’on est en mouvement. Ainsi, le hacker n’a pas besoin de bouger et peut déterminer le lieu où se trouve la personne qu’il attaque.

Cette technique fonctionne particulièrement bien sur Tinder, Mamba, Zoosk, Happn, WeChat et Paktor.

 

Données non protégées

Même si les applications utilisent un protocole de sécurisation SSL quand elles échangent avec un serveur, quelques données restent non chiffrées. Ainsi, Tinder, Paktor, Bumble et la version iOS de Badoo téléversent les photos via un protocole HTTP non sécurisé. De là, un pirate peut savoir quel compte sa victime est en train de consulter.

Les requêtes HTTP de Tinder.

En fonction des applications et des versions Android ou iOS, les experts ont découvert qu’un bon nombre de données n’étaient pas correctement chiffrées. Dans le cas de Zoosk sur Android, par exemple, ils ont pu intercepter des requêtes du module publicitaire grâce auxquelles ils ont accédé aux coordonnées, à l’âge, au sexe et au modèle de smartphone des utilisateurs. Si le hacker contrôle un point d’accès Wi-Fi, il pourra même afficher des publicités malveillantes.

D’autres failles en tout genre sont décrites dans le papier. Le document se termine par quelques mises en garde : évitez de vous connecter à des réseaux Wi-Fi publics, installez des solutions de sécurité pour détecter les malwares, utilisez des VPN…