Nous ne savons pas tres bien comment le decrire, mais l’entreprise elle-meme propose la description officielle “A Propos de Tinder” suivante:
Les individus que l’on rencontre vont pouvoir nous changer la vie. Une amitie, un rendez-vous, une histoire d’amour ou aussi une retrouve via hasard peuvent changer notre vie de quelqu’un pour forcement. Tinder offre a ses utilisateurs dans le monde entier, la chance de creer des liens qui n’auraient peut-etre pas decouvert le jour autrement. Nous developpons des produits qui rapprochent les mecs.
C’est a minimum pres aussi pertinent que de l’eau trouble, donc pour faire simple, nous allons decrire Tinder comme une application de rencontre ainsi que mise en relation qui vous aide a trouver des personnes avec qui faire la fete dans votre voisinage proche.
Une fois que vous vous etes inscrit, que vous avez gratuit a Tinder l’acces a votre localisation et a aux renseignements sur ce ton de life, il effectue 1 call-home par ses serveurs et recupere des images d’autres utilisateurs Tinder dans ce region (vous pouvez choisir le perimetre au sein d’ lequel il devra chercher, la tranche d’age, et ainsi de suite).
Mes images apparaissent l’une apres l’autre et vous les balayez vers la gauche si elles ne vous plaisent jamais, vers la droite si elles vous conviennent.
Les gens que vous avez selectionnes en des balayant par la droite recoivent alors un message mentionnant que vous les aimez, ainsi, l’application Tinder te prend en charge nos messages a partir de votre moment-la.
Un flux de precisions enorme
On va pouvoir voir une telle revendication comme ringarde, mais Tinder pretend traiter 1.600.000.000 de balayages (swipes) par jour et permettre 1.000.000 de rendez-vous (dates) via semaine.
Avec plus de 11 000 “swipes” avec “dates”, la moult donnees echangee entre vous et Tinder est enorme pendant que vous cherchez la bonne personne.
Vous vous attendez donc a ce que Tinder prenne les precautions basiques habituelles Afin de garder toutes ces images en securite, a J’ai fois lorsque les images d’autres personnes vous sont envoyees, ainsi, inversement Quand les votres seront envoyees a d’autres.
Par securite, bien sur, nous parlons en transmission des images de maniere confidentielle, mais nous sous-entendons egalement qu’elles arrivent intactes, assurant ainsi a la fois la confidentialite et l’integrite.
Sinon, n’importe quelle personne malveillante dans votre bar prefere pourrait facilement voir ce que vous etes en train https://hookupdates.net/fr/celibataires-locaux/ de faire, et modifier par la meme occasion les images en transit.
Meme un objectif est seulement de vous faire peur, vous vous attendez tout ainsi a ce que Tinder empeche de telles actions soient possibles, en envoyant bien son trafic via une connexion HTTPS, a savoir une connexion HTTP S ecurisee.
Eh beaucoup, des chercheurs de Checkmarx ont decide de verifier ce que Tinder avait veritablement enfile en place, et ils ont constate que Quand vous accedez a Tinder depuis la navigateur internet, la securite est assuree.
Mais via votre appareil mobile, ils ont constate que Tinder avait pris des raccourcis en matiere de securite.
Nous avons mis les declarations de Checkmarx a l’epreuve, et nos resultats ont corrobore des leurs.
Selon nos observations, bien le trafic Tinder utilise une connexion HTTPS Quand vous utilisez votre navigateur, avec bon nombre de images telechargees par lots a partir du port 443 (HTTPS) dans images-ssl.gotinder.com .
Le nom de domaine images-ssl aboutit enfin dans le Cloud d’Amazon, mais les serveurs qui procurent des images ne fonctionnent que via le protocole TLS, vous ne pouvez bien simplement pas vous connecter au bon vieux http://images-ssl.gotinder.com car le serveur ne prendra gui?re en charge la solide vieille connexion HTTP.
En passant sur l’application mobile, neanmoins, des telechargements d’images seront effectues via des URL qui commencent par , donc elles sont telechargees de maniere non securisee, a savoir que chacune des images que vous visionnez pourront etre recuperees ou modifiees en cours de route.
Ironiquement, images.gotinder.com gere les requetes HTTPS via le port 443, mais vous obtiendrez une erreur de certificat, puisqu’il n’existe pas de certificat emis par Tinder pour se rendre sur leur serveur:
Mes chercheurs de Checkmarx seront alles i nouveau plus loin, ainsi, pretendent que meme si chaque swipe est renvoye a Tinder via 1 paquet chiffre, ils vont pouvoir tout de meme dire si vous avez effectue un swipe a gauche ou a droite parce que des longueurs de paquet seront plusieurs.
J’ai differenciation des swipes a gauche/droite ne devrait gui?re etre possible a tout moment, mais il s’agit d’un probleme bon nombre plus serieux de fuite de donnees lorsque nos images que vous avez selectionnees par swipe ont deja ete revelees a votre voisin curieux et minimum scrupuleux.
Quoi Realiser ?
Nous n’arrivons jamais a saisir pourquoi Tinder a programme differemment son site web classique et le application mobile, mais nous nous sommes habitues aux applications mobiles qui avaient ete negligees vis a vis de leurs homologues de bureau en matiere de cybersecurite.
- Pour nos utilisateurs Tinder: si vous avez des inquietudes concernant de potentiels curieux dans le coin d’un sirop, qui pourraient vous espionner au moyen de ce connexion Wi-Fi, arretez d’utiliser l’application Tinder et contentez-vous de leur blog simple.
- Pour nos programmeurs Tinder: vous avez deja l’integralite des images concernant des serveurs securises, aussi arretez de prendre certains raccourcis en matiere de securite (nous supposons que vous avez estime que cela accelererait un tantinet plus l’application mobile si les images n’etaient pas chiffrees). Modifiez votre application mobile afin qu’elle puisse prendre en charge la connexion HTTPS du debut a Notre fin.
- Pour les ingenieurs logiciels du monde entier: ne laissez pas les chefs d’article de vos applications mobiles prendre des raccourcis en matiere de securite. Si vous sous-traitez la developpement mobile, ne laissez gui?re l’equipe design vous convaincre de laisser la forme prendre le dessus dans la fonction.
