Inscrivez-vous gratuitement a laNewsletter Actualites
Fuites de donnees personnelles, attaques par geolocalisation, connexions peu securisees… Chercher l’ame s?ur dans une appli mobile de rencontre n’est souvent pas sans risque.
Pour faire des rencontres au travers de son mobile, nos utilisateurs n’ont que l’embarras du parti pris. Mais une telle recherche de l’ame s?ur ne s’fait souvent pas en toute confidentialite, tel on pourrait le croire. Mes chercheurs en securite de Kaspersky Lab ont inspecte le niveau de securite de neuf applications de rencontre, a savoir Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat et Paktor. Conclusion : aucune n’est tout i fait securisee.
Fuites de donnees personnelles
Certaines applications permettent d’ajouter des precisions qui vont au-dela de l’age ou du prenom/pseudo, et cela n’est pas forcement une agreable idee. Sur Tinder, Happn et Bumble, on va pouvoir notamment preciser son job et 
le niveau d’etudes. « Dans 60 % des cas, ces informations etaient suffisantes Afin de identifier nos utilisateurs sur un reseau social tel Facebook ou LinkedIn, et d’obtenir l’integralite de leurs noms », explique des chercheurs. Une personne mal intentionnee pourrait donc commencer a harceler un individu, meme si elle a ete bloquee concernant l’application de rencontre.
Parfois, il n’est nullement necessaire de recouper des renseignements. Si l’on consulte 1 profil concernant Happn, l’application recoit directement 1 numero d’identifiant que l’on peut intercepter et qui est lie au compte Facebook. Celui-ci pourra ensuite etre assez sans probli?me identifie. De le cote, l’application Paktor envoie carrement l’adresse email du profil consulte. Trop facile.
On va pouvoir localiser des utilisateurs
La plupart des applications sont vulnerables a des attaques de geolocalisation. Dans les faits, les applications de rencontre indiquent la distance a laquelle les profils consultes se trouvent, sans environ precision. Mais il est possible d’envoyer de fausses coordonnees aux serveurs des applis, et ainsi de tourner autour d’une cible de maniere virtuelle et donc en localiser. D’apres des chercheurs, ces attaques fonctionnent particulierement beaucoup avec Tinder, Mamba, Zoosk, WeChat et Paktor.
En juillet 2016, des chercheurs de Synacktiv avaient fait la demonstration de cette nature d’attaque a l’occasion d’une Nuit du Hack. Ils ont meme reussi a deployer votre reseau d’agents de surveillance virtuels qui permettait d’etre alerte des qu’une cible penetrait dans une zone donnee.
Plusieurs connexions pas forcement securisees
Generalement, les applis de rencontre communiquent avec leurs serveurs par HTTPS. Mais ce n’est pas forcement l’eventualite, ouvrant J’ai voie a l’interception de donnees, notamment lorsqu’on est connecte sur un hotpot public minimum securise. Ainsi Tinder, Paktor et Bumble envoient les photos en HTTP. Sur la version Android de Paktor, c’est egalement possible d’intercepter le nom de l’utilisateur, sa date maternel et ses coordonnees GPS. Avec Mamba, c’est bien pire. J’ai version iOS envoie tout en HTTP. Un pirate aux alentours peut donc tout intercepter et modifier a Notre volee. Cela peut egalement obtenir des identifiants pour se loguer via le compte. Une faille similaire fut detectee sur l’application Zoosk, mais juste Quand l’appli telecharge des photos ou des videos.
Kaspersky – Resume des vulnerabilites (+/- veut penser possible/impossible)
Enfin, les chercheurs signalent que bon nombre de applications ne verifient pas des certificats HTTPS recus. Elles seront donc vulnerables a des attaques d’interception et de dechiffrement des flux. Toutefois, ce genre d’attaque reste plus compliquee a monter. Notre pirate doit non juste etre via le aussi reseau, mais aussi faire en fai§on que l’utilisateur installe le faux certificat. Sur iOS, c’est quasiment impossible a faire.
Au final, nos chercheurs recommandent d’utiliser les applications de rencontre avec precaution. Il est preferable de ne pas renseigner trop d’informations, d’eviter des hotspots publics et d’activer votre VPN.
