Inscrivez-vous gratuitement a laNewsletter Actualites

Fuites de precisions personnelles, attaques par geolocalisation, connexions peu securisees… Chercher l’ame s?ur via une appli mobile de rencontre n’est pas forcement sans risque.

Pour faire des rencontres au travers de son mobile, des utilisateurs n’ont que l’embarras du choix. Mais une telle recherche de l’ame s?ur ne s’fait pas toujours en toute confidentialite, comme on pourrait le croire. Mes chercheurs en securite de Kaspersky Lab ont inspecte le niveau de securite de neuf applications de rencontre, a savoir Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat et Paktor. Conclusion : aucune n’est tout i  fait securisee.

Fuites de precisions personnelles

Diverses applications permettront d’ajouter des informations qui vont au-dela de l’age ou du prenom/pseudo, cela n’est souvent pas une agreable idee. Sur Tinder, Happn et Bumble furfling, on va pouvoir entre autres preciser son job et son niveau d’etudes. « Dans 60 % des cas, ces informations etaient suffisantes pour identifier des utilisateurs sur un reseau social comme Facebook ou LinkedIn, ainsi, d’obtenir l’integralite de leurs noms », explique les chercheurs. Une personne mal intentionnee pourrait donc commencer a harceler une personne, meme si elle fut bloquee dans l’application de rencontre.

Parfois, il n’est nullement necessaire de recouper des renseignements. Lorsque l’on consulte 1 profil concernant Happn, l’application recoit automatiquement 1 06 d’identifiant que l’on peut intercepter et qui est lie au compte Facebook. Celui-ci pourra ensuite etre assez sans probli?me identifie. De son cote, l’application Paktor envoie carrement l’adresse email du profil consulte. Trop enfantin.

On peut localiser des utilisateurs

Bon nombre de applications sont vulnerables a des attaques de geolocalisation. Indeniablement, les applications de rencontre indiquent la distance a laquelle les profils consultes se trouvent, sans plus de exactitude. Mais il va i?tre possible d’envoyer de fausses coordonnees aux serveurs des applis, et ainsi de tourner autour d’une cible de maniere virtuelle et donc de la localiser. D’apres nos chercheurs, ces attaques fonctionnent particulierement beaucoup avec Tinder, Mamba, Zoosk, WeChat et Paktor.

En juillet 2016, des chercheurs de Synacktiv avaient fait la demonstration de ce type d’attaque a l’occasion d’la Nuit du Hack. Ils ont meme reussi a deployer 1 reseau d’agents de surveillance virtuels qui permettait d’etre alerte des qu’une cible penetrait au sein d’ une zone donnee.

Plusieurs connexions pas toujours securisees

Souvent, les applis de rencontre communiquent avec leurs serveurs par HTTPS. Mais ce n’est pas forcement le cas, ouvrant J’ai voie a l’interception de precisions, comme lorsqu’on est connecte concernant votre hotpot public peu securise. Ainsi Tinder, Paktor et Bumble envoient les photos en HTTP. Sur la version Android de Paktor, il va i?tre egalement possible d’intercepter le nom de l’utilisateur, sa date de naissance et ses coordonnees GPS. Avec Mamba, c’est encore pire. J’ai version iOS envoie tout en HTTP. Un pirate a toutes les alentours peut donc tout intercepter et modifier a la volee. Il peut egalement obtenir des identifiants Afin de se loguer via le compte. Une faille similaire fut detectee via l’application Zoosk, mais seulement si l’appli telecharge des photos ou des videos.

Kaspersky – Resume des vulnerabilites (+/- souhaite dire possible/impossible)

Enfin, les chercheurs signalent que la plupart des applications ne verifient jamais les certificats HTTPS recus. Elles seront donc vulnerables a des attaques d’interception ainsi que dechiffrement des flux. Toutefois, ce genre d’attaque reste plus compliquee a monter. Le pirate doit non seulement etre sur le aussi reseau, mais aussi faire en manii?re que l’utilisateur installe le faux certificat. Sur iOS, c’est quasiment impossible a faire.

Du coup, nos chercheurs recommandent d’utiliser les applications de rencontre avec precaution. C’est preferable de ne pas renseigner trop d’informations, d’eviter nos hotspots publics et d’activer 1 VPN.