Inscrivez-vous gratuitement a laNewsletter Actualites
Fuites de informations personnelles, attaques par geolocalisation, connexions peu securisees… Chercher l’ame s?ur dans une appli mobile de rencontre n’est que rarement sans risque.
Pour faire des rencontres au travers de son mobile, les utilisateurs n’ont que l’embarras du conseil. Mais cette recherche de l’ame s?ur ne s’fait que rarement en toute confidentialite, tel on pourrait le croire. Les chercheurs en securite de Kaspersky Lab ont inspecte le niveau de securite de neuf applications de rencontre, a savoir Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat et Paktor. Conclusion : aucune n’est tout a fait securisee.
Fuites de precisions personnelles
La plupart applications peuvent permettre d’ajouter des precisions qui vont au-dela de l’age ou du prenom/pseudo, ce qui n’est que rarement une agreable idee. Sur Tinder, Happn et Bumble, on va pouvoir comme preciser son job et son niveau d’etudes. « Dans 60 % des cas, ces informations etaient suffisantes pour identifier les utilisateurs sur un reseau social comme Facebook ou LinkedIn, et d’obtenir l’integralite de leurs noms », explique des chercheurs. Une personne mal intentionnee pourrait donc commencer a harceler un individu, aussi si elle fut bloquee sur l’application de rencontre.
Parfois, il n’est jamais necessaire de recouper des precisions. Si l’on consulte votre profil dans Happn, l’application recoit directement 1 06 d’identifiant que comment fonctionne datemyage l’on peut intercepter et qui est lie au compte Facebook. Celui-ci pourra ensuite etre assez facilement identifie. De son cote, l’application Paktor envoie carrement l’adresse email du profil consulte. Trop enfantin.
On peut localiser des utilisateurs
Bon nombre de applications sont vulnerables a des attaques de geolocalisation. Effectivement, les applications de rencontre indiquent la distance a laquelle des profils consultes se trouvent, sans environ precision. Mais il est possible d’envoyer de fausses coordonnees aux serveurs des applis, ainsi, ainsi de tourner autour d’une cible de maniere virtuelle et donc de la localiser. D’apres les chercheurs, ces attaques fonctionnent particulierement beaucoup avec Tinder, Mamba, Zoosk, WeChat et Paktor.
En juillet 2016, des chercheurs de Synacktiv avaient fait la demonstration de cette nature d’attaque a l’occasion une Nuit du Hack. Ils ont meme reussi a deployer 1 reseau d’agents de surveillance virtuels qui permettait d’etre alerte des qu’une cible penetrait dans une zone donnee.
Des connexions pas forcement securisees
Souvent, les applis de rencontre communiquent avec leurs serveurs par HTTPS. Mais votre n’est pas forcement le cas, ouvrant J’ai voie a l’interception de informations, comme lorsqu’on reste connecte via un hotpot public minimum securise. Ainsi Tinder, Paktor et Bumble envoient les photos en HTTP. Sur la version Android de Paktor, il va i?tre egalement possible d’intercepter le nom de l’utilisateur, sa date de naissance et ses coordonnees GPS. Avec Mamba, c’est i nouveau pire. J’ai version iOS envoie bien en HTTP. Un pirate a toutes les alentours peut donc tout intercepter et modifier a J’ai volee. Il est en mesure de egalement obtenir des identifiants Afin de se loguer sur le compte. Une faille similaire fut detectee via l’application Zoosk, mais juste lorsque l’appli telecharge des photos ou des videos.
Kaspersky – Resume des vulnerabilites (+/- souhaite dire possible/impossible)
Enfin, les chercheurs signalent que la plupart des applications ne verifient nullement des certificats HTTPS recus. Elles sont donc vulnerables a des attaques d’interception ainsi que dechiffrement des flux. Toutefois, ce genre d’attaque reste plus compliquee a monter. Le pirate doit non seulement etre via le aussi reseau, puis faire en sorte que l’utilisateur installe le faux certificat. Sur iOS, c’est quasiment impossible a faire.
Au final, nos chercheurs recommandent d’utiliser les applications de rencontre avec precaution. Il va i?tre preferable de ne point renseigner trop d’informations, d’eviter nos hotspots publics et d’activer 1 VPN.