Inscrivez-vous gratuitement a laNewsletter Actualites
Fuites de precisions personnelles, attaques par geolocalisation, connexions peu securisees… Chercher l’ame s?ur concernant une appli mobile de rencontre n’est pas forcement sans risque.
Pour faire des rencontres au travers de son mobile, nos utilisateurs n’ont que l’embarras du panel. Mais votre recherche de l’ame s?ur ne se fait pas toujours en toute confidentialite, comme on pourrait le croire. Mes chercheurs en securite de Kaspersky Lab ont inspecte le niveau de securite de neuf applications de rencontre, a savoir Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat et Paktor. Conclusion : aucune n’est clairement securisee.
Fuites de precisions personnelles
Quelques applications permettent d’ajouter des renseignements qui vont au-dela de l’age ou du prenom/pseudo, ce qui n’est pas toujours une agreable idee. Sur Tinder, Happn et Bumble, on peut pourquoi pas preciser le job et le niveau d’etudes. « Dans 60 % des cas, ces renseignements etaient suffisantes pour identifier les utilisateurs sur un reseau social comme Facebook ou LinkedIn, et d’obtenir l’integralite de leurs noms », explique des chercheurs. Une personne mal intentionnee pourrait donc commencer a harceler un individu, aussi si elle a ete bloquee via l’application de rencontre.
Parfois, il n’est nullement necessaire de recouper des precisions. Quand on consulte votre profil via Happn, l’application recoit automatiquement votre numero d’identifiant que l’on peut intercepter et qui est lie au compte Facebook. Celui-ci pourra ensuite etre assez facilement identifie. De son cote, l’application Paktor envoie carrement l’adresse email du profil consulte. Trop enfantin.
On peut localiser nos utilisateurs
La plupart des applications sont vulnerables a des attaques de geolocalisation. Par exemple, les applications de rencontre indiquent la distance a laquelle les profils consultes se trouvent, sans environ precision. Mais il est possible d’envoyer de fausses coordonnees a toutes les serveurs des applis, ainsi, ainsi de tourner autour d’une cible de maniere virtuelle et donc une localiser. D’apres des chercheurs, ces attaques fonctionnent particulierement beaucoup avec Tinder, Mamba, Zoosk, WeChat et Paktor.
En juillet 2016, des chercheurs de Synacktiv avaient fait la demonstration de ce genre d’attaque a l’occasion d’la Nuit du Hack. Ils ont meme reussi a deployer un reseau d’agents de surveillance virtuels qui permettait d’etre alerte des qu’une cible penetrait au sein d’ une zone donnee.
Plusieurs connexions pas forcement securisees
En general, les applis de rencontre communiquent avec leurs serveurs par HTTPS. Mais ce n’est pas toujours le cas, ouvrant la voie a l’interception de informations, par exemple lorsqu’on reste connecte via votre hotpot public minimum securise. Ainsi Tinder, Paktor huggle et Bumble envoient les photos en HTTP. Sur la version Android de Paktor, il va i?tre egalement possible d’intercepter le nom de l’utilisateur, sa date de naissance et ses coordonnees GPS. Avec Mamba, c’est encore pire. Notre version iOS envoie bien en HTTP. Un pirate aux alentours peut donc tout intercepter et modifier a la volee. Cela peut egalement obtenir des identifiants pour se loguer dans le compte. Une faille similaire fut detectee via l’application Zoosk, mais seulement lorsque l’appli telecharge des photos ou des videos.
Kaspersky – Resume des vulnerabilites (+/- veut penser possible/impossible)
Enfin, les chercheurs signalent que bon nombre de applications ne verifient pas des certificats HTTPS recus. Elles sont donc vulnerables a des attaques d’interception et de dechiffrement des flux. Toutefois, ce genre d’attaque est plus compliquee a monter. Le pirate devra non juste etre sur le meme reseau, puis faire en manii?re que l’utilisateur installe le faux certificat. Sur iOS, c’est quasiment impossible a faire.
Au final, les chercheurs recommandent d’utiliser les applications de rencontre avec precaution. Il est preferable de ne point renseigner trop d’informations, d’eviter nos hotspots publics et d’activer votre VPN.
Leave a Reply