Tinder, Badoo, Happn. les applis de rencontre protegent mal toutes vos donnees personnelles

Inscrivez-vous gratuitement a laNewsletter Actualites

Fuites de donnees personnelles, attaques par geolocalisation, connexions peu securisees… Chercher l’ame s?ur via une appli mobile de rencontre n’est pas forcement sans risque.

Pour faire des rencontres au travers de le mobile, des utilisateurs n’ont que l’embarras du choix. Mais cette recherche de l’ame s?ur ne s’fait pas forcement en toute confidentialite, comme on pourrait le croire. Mes chercheurs en securite de Kaspersky Lab ont inspecte le niveau de securite de neuf applications de rencontre, a savoir Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat et Paktor. Conclusion : aucune n’est parfaitement securisee.

Fuites de precisions personnelles

Quelques applications peuvent permettre d’ajouter des informations qui vont au-dela de l’age ou du prenom/pseudo https://besthookupwebsites.org/fr/localhookup-review/, et cela n’est souvent pas une agreable idee. Sur Tinder, Happn et Bumble, on peut par exemple preciser le job et son niveau d’etudes. « Dans 60 % des cas, ces renseignements etaient suffisantes pour identifier nos utilisateurs sur un reseau social comme Facebook ou LinkedIn, ainsi, d’obtenir l’integralite de leurs noms », explique les chercheurs. Une personne en gali?re intentionnee pourrait donc commencer a harceler un individu, meme si elle a ete bloquee via l’application de rencontre.

Parfois, il n’est gui?re necessaire de recouper des precisions. Si on consulte un profil via Happn, l’application recoit automatiquement votre numero d’identifiant que l’on peut intercepter et qui est lie au compte Facebook. Celui-ci pourra ensuite etre assez rapidement identifie. De son cote, l’application Paktor envoie carrement l’adresse email du profil consulte. Trop facile.

On va pouvoir localiser des utilisateurs

Bon nombre de applications sont vulnerables a des attaques de geolocalisation. Effectivement, les applications de rencontre indiquent la distance a laquelle des profils consultes se trouvent, sans plus de exactitude. Mais c’est possible d’envoyer de fausses coordonnees aux serveurs des applis, et ainsi de tourner autour d’une cible de maniere virtuelle et donc d’la localiser. D’apres des chercheurs, ces attaques fonctionnent particulierement bien avec Tinder, Mamba, Zoosk, WeChat et Paktor.

En juillet 2016, des chercheurs de Synacktiv avaient fait la demonstration de ce genre d’attaque a l’occasion d’la Nuit du Hack. Ils ont meme reussi a deployer un reseau d’agents de surveillance virtuels qui permettait d’etre alerte des qu’une cible penetrait au sein d’ une zone donnee.

Plusieurs connexions pas toujours securisees

Souvent, les applis de rencontre communiquent avec leurs serveurs par HTTPS. Mais votre n’est pas toujours le cas, ouvrant la voie a l’interception de donnees, entre autres lorsqu’on reste connecte dans un hotpot public minimum securise. Ainsi Tinder, Paktor et Bumble envoient les photos en HTTP. Sur la version Android de Paktor, il va i?tre egalement possible d’intercepter le nom de l’utilisateur, sa date maternel et ses coordonnees GPS. Avec Mamba, c’est encore pire. La version iOS envoie tout en HTTP. Un pirate a toutes les alentours peut donc tout intercepter et modifier a Notre volee. Cela va egalement obtenir des identifiants Afin de se loguer sur le compte. Une faille similaire fut detectee sur l’application Zoosk, mais juste si l’appli telecharge des photos ou des videos.

Kaspersky – Resume des vulnerabilites (+/- souhaite dire possible/impossible)

Enfin, les chercheurs signalent que bon nombre de applications ne verifient nullement nos certificats HTTPS recus. Elles paraissent donc vulnerables a des attaques d’interception et de dechiffrement des flux. Toutefois, ce genre d’attaque est plus compliquee a monter. Le pirate doit non juste etre concernant le meme reseau, et faire en sorte que l’utilisateur installe le faux certificat. Sur iOS, c’est quasiment impossible a faire.

Au final, nos chercheurs recommandent d’utiliser les applications de rencontre avec precaution. Il est preferable de ne pas renseigner trop d’informations, d’eviter les hotspots publics et d’activer 1 VPN.