Tinder, Badoo, Happn. les applis de rencontre protegent en gali?re vos precisions personnelles

Tinder, Badoo, Happn. les applis de rencontre protegent en gali?re vos precisions personnelles

Inscrivez-vous gratuitement a laNewsletter Actualites

Fuites de precisions personnelles, attaques par geolocalisation, connexions peu securisees… Chercher l’ame s?ur concernant une appli mobile de rencontre n’est que rarement sans risque.

Pour faire des rencontres au travers de son mobile, nos utilisateurs n’ont que l’embarras du parti pris. Mais une telle recherche de l’ame s?ur ne s’fait que rarement en toute confidentialite, tel on pourrait le croire. Mes chercheurs en securite de Kaspersky Lab ont inspecte le niveau de securite de neuf applications de rencontre, a savoir Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat et Paktor. Conclusion : aucune n’est tout a fait securisee.

Fuites de precisions personnelles

Diverses applications permettent d’ajouter des precisions qui vont au-dela de l’age ou du prenom/pseudo, cela n’est souvent pas une bonne idee. Sur Tinder, Happn et Bumble, on peut notamment preciser le job et le niveau d’etudes. « Dans 60 % des cas, ces precisions etaient suffisantes Afin de identifier des utilisateurs sur un reseau social tel Facebook ou LinkedIn, ainsi, d’obtenir l’integralite de leurs noms », explique des chercheurs. Un individu en gali?re intentionnee pourrait donc commencer a harceler un individu, meme si elle fut bloquee concernant l’application de rencontre.

Parfois, il n’est pas necessaire de recouper des precisions. Lorsque l’on consulte un profil via Happn, l’application recoit automatiquement 1 06 d’identifiant que l’on peut intercepter et qui est lie au compte Facebook. Celui-ci pourra ensuite etre assez facilement identifie. De son cote, l’application Paktor envoie carrement l’adresse email du profil consulte. Trop facile.

On va pouvoir localiser nos utilisateurs

Bon nombre de applications sont vulnerables a des attaques de geolocalisation. En effet, les applications de rencontre indiquent la distance a laquelle nos profils consultes se trouvent, sans environ precision. Mais il est possible d’envoyer de fausses coordonnees a toutes les serveurs des applis, et ainsi de tourner autour d’une cible de maniere virtuelle et donc d’la localiser. D’apres des chercheurs, ces attaques fonctionnent particulierement bien avec Tinder, Mamba, Zoosk, WeChat et Paktor.

En juillet 2016, des chercheurs de Synacktiv avaient fait la demonstration de ce type d’attaque a l’occasion d’une Nuit du Hack. Ils ont meme reussi a deployer 1 reseau d’agents de surveillance virtuels qui permettait d’etre alerte des qu’une cible penetrait dans une zone donnee.

Des connexions pas toujours securisees

Generalement, les applis de rencontre communiquent avec leurs serveurs par HTTPS. Mais ce n’est pas forcement la situation, ouvrant la voie a l’interception de informations, notamment lorsqu’on reste connecte dans 1 hotpot public minimum securise. Ainsi Tinder, Paktor et Bumble envoient les photos en HTTP. Sur la version Android de Paktor, c’est egalement possible d’intercepter le nom de l’utilisateur, sa date maternel et ses coordonnees GPS. Avec Mamba, c’est bien pire. J’ai version iOS envoie tout en HTTP. Un pirate aux alentours peut donc tout intercepter et modifier a la volee. Il est en mesure de egalement obtenir des identifiants pour www.besthookupwebsites.org/fr/habbo-review/ se loguer dans le compte. Une faille similaire a ete detectee concernant l’application Zoosk, mais juste lorsque l’appli telecharge des photos ou des videos.

Kaspersky – Resume des vulnerabilites (+/- veut penser possible/impossible)

Enfin, les chercheurs signalent que bon nombre de applications ne verifient gui?re nos certificats HTTPS recus. Elles paraissent donc vulnerables a des attaques d’interception ainsi que dechiffrement des flux. Toutefois, ce type d’attaque reste plus compliquee a monter. Notre pirate devra non seulement etre sur le meme reseau, et faire en fai§on que l’utilisateur installe son faux certificat. Sur iOS, c’est quasiment impossible a faire.

Au final, nos chercheurs recommandent d’utiliser les applications de rencontre avec precaution. Il semble preferable de ne point renseigner trop d’informations, d’eviter les hotspots publics et d’activer 1 VPN.

Leave a comment

Your email address will not be published.