Tinder : une faille de sécurité donne accès à vos photos et vos matchs

 
L’application de Tinder est mise à mal à cause d’une combinaison de failles de sécurité permettant d’avoir accès à vos swipes et vos photos.

Selon Erez Yalon, expert en sécurité issu de la société Checkmarx, l’application de rencontre Tinder permet à une personne tierce d’avoir accès à vos photos, vos swipes et vos matchs si elle utilise le même réseau que vous. De plus, l’utilisateur malveillant pourra même savoir de quel coté de votre écran vous avez swipé. Si aucune des données personnelles visibles ne relèvent directement d’informations bancaires, une telle faille donne tout de même accès à vos préférences très privées.

Un pied dans votre vie privée

L’un des premiers problèmes est le fait que l’app n’utilise pas de chiffrement HTTPS. Protocole standard, ce dernier est chargé de rendre illisible les informations qui transitent entre deux points. Utilisé par la majorité des sites web, il ne protège bien sûr aucunement de toutes les cyberattaques, mais se présente comme une protection de base. Couplé à une deuxième faille, cela  ouvre les portes de vos données Tinder à tout ceux qui voudraient y avoir accès. Erez Yalon explique que le nombre d’octets est toujours similaire en fonction de l’action effectuée. Un swipe vers la gauche, qui équivaut à un nope, sera toujours codé sur 728 octets tandis que le nombre sera de 374 octets pour un swipe à droite. Pour un match, le nombre s’élève à 581. Peu importe donc de savoir quelle information se cache derrière un nombre d’octets puisque celle-ci équivaut toujours au même nombre.

C’est la combinaison de ces deux vulnérabilités simples qui crée un problème majeur de vie privée

Yalon a ensuite réalisé une vidéo dans laquelle il montre le potentiel de TinderDrift, un logiciel chargé d’espionner le trafic d’un routeur Wi-Fi. De cette façon, TinderDrift peut intercepter les informations issues de l’application. Les appareils équipés d’iOS et Android sont vulnérables de la même façon.

Si le porte-parole de Tinder s’est exprimé en arguant du fait que l’entreprise s’améliorait constamment suite à ce genre de situation, Erez Yalon précise qu’il a signalé cette faille à la société en novembre 2017.

//www.frandroid.com/android/applications/securite-applications/467489_tinder-happn-okcupid-la-securite-des-applis-de-rencontre-mise-a-mal


Rejoignez-nous de 17 à 19h, un jeudi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !

Les derniers articles