Des vulnérabilités présentes sur l’application Tinder pourraient permettre aux hackers d’espionner vos swipes et de voir vos photos.
Des chercheurs ont constaté que Tinder, l’une des applications de rencontres les plus populaires au monde, n’est pas aussi privée qu’on pourrait s’y attendre. A cause du manque de cryptage de base pour les photos, une personne sur le même réseau Wi-Fi pouvait voir les mêmes images qu’un utilisateur et même ajouter ses propres images au fil.
Tel que rapporté par Wired, des chercheurs de Checkmarx, une firme spécialisée dans la sécurité des applications basée à Tel Aviv, ont montré qu’en n’utilisant pas le HTTPS pour les photos, les utilisateurs étaient vulnérables à l’espionnage. En outre, certaines parties de l’application qui utilisent ce type de chiffrement ont suffisamment d’informations pour permettre aux pirates de surveiller les actions d’une personne.
Pour démontrer comment ces vulnérabilités pourraient être exploitées, Checkmarx a mis au point un logiciel baptisé TinderDrift, qui permet d’intercepter les photos non-cryptées en HTTPS.
Les chercheurs pouvaient également reconnaître ce qu’une personne faisait dans l’application à travers des modèles d’octets, même lorsque ces actions étaient cryptées. Un balayage à gauche (un Swipe), par exemple, est de 278 octets, alors qu’un balayage à droite est de 374 octets. 581 octets représente une correspondance (Match).
La combinaison des deux vulnérabilités signifie que TinderDrift peut montrer quelles photos sont approuvées, rejetées ou mises en correspondance en temps réel.
« Nous pouvons simuler exactement ce que l’utilisateur voit sur son écran », a déclaré Erez Yalon, responsable de la recherche sur la sécurité des applications de Checkmarx: « Vous savez tout: ce qu’ils font, leurs préférences sexuelles, beaucoup d’informations. »
Même si le problème n’est peut-être pas aussi grave que d’autres vulnérabilités, cela pourrait mener à des stratagèmes de chantage contre les utilisateurs.
Tinder a confirmé qu’il ne crypte pas les images intégrées à l’application, mais qu’il travaille à la réalisation de cet objectif.
« Nous prenons la sécurité et la confidentialité de nos utilisateurs au sérieux. Nous employons un réseau d’outils et de systèmes pour protéger l’intégrité de notre plateforme. Cela dit, il est important de noter que Tinder est une plateforme mondiale gratuite, et les images que nous servons sont des images de profil, qui sont disponibles pour quiconque qui swipe sur l’application. Comme toutes les autres sociétés technologiques, nous améliorons constamment nos défenses dans la lutte contre les pirates informatiques malveillants. Par exemple, nos plateformes Web de bureau et mobile chiffrent déjà les images de profil et nous travaillons également au cryptage des images sur notre application. Cependant, nous n’entrons pas dans les détails sur les outils de sécurité spécifiques que nous utilisons ou sur les améliorations que nous pouvons mettre en œuvre pour éviter d’avertir les pirates potentiels. »
