Inscrivez-vous gratuitement a laNewsletter Actualites
Fuites de donnees personnelles, attaques par geolocalisation, connexions peu securisees… Chercher l’ame s?ur concernant une appli mobile de rencontre n’est souvent pas sans risque.
Afin d’effectuer des rencontres au travers de le mobile, des utilisateurs n’ont que l’embarras du choix. Mais une telle recherche de l’ame s?ur ne s’fait que rarement en toute confidentialite, comme on pourrait le croire. Les chercheurs en securite de Kaspersky Lab ont inspecte le niveau de securite de neuf applications de rencontre, a savoir Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat et Paktor. Conclusion : aucune n’est au mieux securisee.
Fuites de informations personnelles
Certaines applications permettront d’ajouter des precisions qui vont au-dela de l’age ou du prenom/pseudo, ce qui n’est pas forcement une agreable idee. Sur Tinder, Happn et Bumble, on peut comme preciser le job et son niveau d’etudes. « Dans 60 % des cas, ces informations etaient suffisantes Afin de identifier des utilisateurs sur un reseau social tel Facebook ou LinkedIn, ainsi, d’obtenir l’integralite de leurs noms », explique les chercheurs. Une personne mal intentionnee pourrait donc commencer a harceler un individu, aussi si elle a ete bloquee sur l’application de rencontre.
Parfois, il n’est gui?re necessaire de recouper des informations. Si on consulte un profil via Happn, l’application recoit directement 1 06 d’identifiant que l’on peut intercepter et qui est lie au compte Facebook. Celui-ci pourra ensuite etre assez sans probli?me identifie. De le cote, l’application Paktor envoie carrement l’adresse email du profil consulte. Trop facile.
On va pouvoir localiser nos utilisateurs
Bon nombre de applications sont vulnerables a des attaques de geolocalisation. Dans les faits, les applications de rencontre indiquent la distance a laquelle les profils consultes se trouvent, sans environ precision. Mais il est possible d’envoyer de fausses coordonnees aux serveurs des applis, et ainsi de tourner autour d’une cible de maniere virtuelle et donc une localiser. D’apres nos chercheurs, ces attaques fonctionnent particulierement bien avec Tinder, Mamba, Zoosk, WeChat et Paktor.
En https://besthookupwebsites.org/fr/daddyhunt-review/ juillet 2016, des chercheurs de Synacktiv avaient fait la demonstration de cette nature d’attaque a l’occasion en Nuit du Hack. Ils ont meme reussi a deployer un reseau d’agents de surveillance virtuels qui permettait d’etre alerte des qu’une cible penetrait au sein d’ une zone donnee.
Des connexions pas toujours securisees
En general, les applis de rencontre communiquent avec leurs serveurs par HTTPS. Mais votre n’est pas forcement le cas, ouvrant Notre voie a l’interception de precisions, pourquoi pas lorsqu’on reste connecte via 1 hotpot public minimum securise. Ainsi Tinder, Paktor et Bumble envoient les photos en HTTP. Sur la version Android de Paktor, il est egalement possible d’intercepter le nom de l’utilisateur, sa date maternel et ses coordonnees GPS. Avec Mamba, c’est encore pire. J’ai version iOS envoie tout en HTTP. Un pirate aux alentours peut donc tout intercepter et modifier a la volee. Cela peut egalement obtenir des identifiants pour se loguer via le compte. Une faille similaire fut detectee dans l’application Zoosk, mais seulement lorsque l’appli telecharge des photos ou des videos.
Kaspersky – Resume des vulnerabilites (+/- veut dire possible/impossible)
Enfin, les chercheurs signalent que bon nombre de applications ne verifient jamais les certificats HTTPS recus. Elles paraissent donc vulnerables a des attaques d’interception et de dechiffrement des flux. Toutefois, ce type d’attaque est plus compliquee a monter. Le pirate devra non juste etre concernant le aussi reseau, puis faire en sorte que l’utilisateur installe son faux certificat. Sur iOS, c’est quasiment impossible a Realiser.
Au final, nos chercheurs recommandent d’utiliser les applications de rencontre avec precaution. Il va i?tre preferable de ne point renseigner trop d’informations, d’eviter des hotspots publics et d’activer un VPN.