Inscrivez-vous gratuitement a laNewsletter Actualites
Fuites de precisions personnelles, attaques par geolocalisation, connexions peu securisees… Chercher l’ame s?ur via une appli mobile de rencontre n’est pas toujours sans risque.
Afin d’effectuer des rencontres au travers de son mobile, des utilisateurs n’ont que l’embarras du parti pris. Mais une telle recherche de l’ame s?ur ne s’fait souvent pas en toute confidentialite, tel on pourrait le croire. Mes chercheurs en securite de Kaspersky Lab ont inspecte le niveau de securite de neuf applications de rencontre, a savoir Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat et Paktor. Conclusion : aucune n’est tout i fait securisee.
Fuites de donnees personnelles
La plupart applications peuvent permettre d’ajouter des informations qui vont au-dela de l’age ou du prenom/pseudo, et cela n’est pas toujours une agreable idee. Sur Tinder, Happn et Bumble, on va pouvoir notamment preciser son job et son niveau d’etudes. « Dans 60 % des cas, ces precisions etaient suffisantes pour identifier les utilisateurs sur un reseau social tel Facebook ou LinkedIn, et d’obtenir l’integralite de leurs noms », explique des chercheurs. Un individu mal intentionnee pourrait donc commencer a harceler une personne, aussi si elle a ete bloquee concernant l’application de rencontre.
Parfois, il n’est pas necessaire de recouper des informations. Quand on consulte votre profil dans Happn, l’application recoit directement 1 06 d’identifiant que l’on peut intercepter et qui est lie au compte Facebook. Celui-ci pourra ensuite etre assez facilement identifie. De son cote, l’application Paktor envoie carrement l’adresse email du profil consulte. Trop enfantin.
On peut localiser nos utilisateurs
Bon nombre de applications sont vulnerables a des attaques de geolocalisation. Effectivement, les applications de rencontre indiquent la distance a laquelle des profils consultes se trouvent, sans environ precision. Mais Il semble possible d’envoyer de fausses coordonnees a toutes les serveurs des applis, ainsi, ainsi de tourner autour d’une cible de maniere virtuelle et donc de la localiser. D’apres nos chercheurs, ces attaques fonctionnent particulierement beaucoup avec Tinder, Mamba, Zoosk, WeChat et Paktor.
En juillet 2016, des chercheurs de Synacktiv avaient fait la demonstration de ce genre d’attaque a l’occasion d’une Nuit du Hack. Ils ont meme reussi a deployer votre reseau d’agents de surveillance virtuels qui permettait d’etre alerte des qu’une cible penetrait dans une zone donnee.
Plusieurs connexions pas forcement securisees
En general, les applis de rencontre communiquent avec leurs serveurs par HTTPS. Mais votre n’est pas forcement l’eventualite, ouvrant Notre voie a l’interception de donnees, Prenons un exemple lorsqu’on reste connecte concernant 1 hotpot public minimum securise. Ainsi Tinder, Paktor et Bumble envoient les photos en HTTP. Sur la version Android de Paktor, Cela reste egalement possible d’intercepter le nom de l’utilisateur, sa date maternel et ses coordonnees GPS. Avec Mamba, c’est i nouveau pire. J’ai version iOS envoie bien en HTTP. Un pirate aux alentours peut donc tout intercepter et modifier a J’ai volee. Il pourra egalement obtenir des identifiants pour se loguer sur le compte. Une faille similaire a ete detectee via l’application Zoosk, mais juste lorsque l’appli telecharge des photos ou des videos.
Kaspersky – Resume des vulnerabilites (+/- veut dire possible/impossible)
Enfin, les chercheurs signalent que bon nombre de applications ne verifient gui?re des certificats HTTPS recus. Elles seront donc vulnerables a des attaques d’interception ainsi que dechiffrement des flux. Toutefois, ce genre d’attaque est plus compliquee a monter. Le pirate doit non seulement etre via le aussi reseau, puis faire en sorte que l’utilisateur installe le faux certificat. Sur iOS, c’est quasiment impossible a Realiser.
Au final, les chercheurs recommandent d’utiliser les applications de rencontre avec precaution. Il est preferable de ne pas renseigner trop d’informations, d’eviter des hotspots publics et d’activer 1 VPN.