Chercher sa destinée en ligne, que ce soit pour la relation d’une vie entière ou pour l’affaire d’une nuit, est devenu plutôt courant. Les applications de rencontres font maintenant partie de notre vie quotidienne. Pour trouver le partenaire idéal, les utilisateurs de ces applications sont prêts à révéler leur nom, leur métier, leur lieu de travail, où ils aiment sortir et bien plus. Les applications de rencontres sont souvent témoins de choses de nature plutôt intime, et même parfois de photos de nus. Avec quelles précautions ces applications traitent-elles ces données ? Kaspersky Lab a décidé d’étudier leur sécurité.
Nos experts ont étudié les applications de rencontres en ligne les plus populaires (Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat, Paktor), et identifié les principales menaces pour les utilisateurs. Nous avons informé les développeurs en avance de toutes les vulnérabilités détectées et à la date où ce texte est publié, certaines sont déjà corrigées et d’autres devraient l’être dans un futur proche. Cependant, tous les développeurs n’ont pas promis de remédier aux défauts.
Menace 1. Qui êtes-vous ?
Nos chercheurs ont découvert que quatre des neuf applications sur lesquelles ils ont fait des recherches permettent aux criminels de déterminer qui se cache derrière un pseudo sur la base des données fournies par les utilisateurs eux-mêmes. Tinder, Happn, et Bumble, par exemple, laissent tout le monde voir le lieu de travail ou d’études spécifié par un utilisateur. En utilisant ces informations, il est possible de trouver leurs comptes sur les réseaux sociaux et de découvrir leurs vrais noms. Happn, notamment, utilise les comptes Facebook pour les échanges de données avec le serveur. Avec très peu d’efforts, tout le monde peut trouver les noms et noms de famille des utilisateurs de Happn et d’autres infos depuis leurs profils Facebook.
Et si quelqu’un intercepte le trafic d’un dispositif personnel où Paktor est installé, il sera surpris d’apprendre qu’il peut voir les adresses e-mail des autres utilisateurs de l’application.
En fin de compte, il est possible d’identifier les utilisateurs de Paktor et Happn sur d’autres réseaux sociaux 100 % du temps (60 % pour Tinder et 50 % pour Bumble).
Menace 2. Où êtes-vous ?
Si quelqu’un veut savoir où vous êtes, six des neuf applications lui donneront un coup de main. Seuls OkCupid, Bumble et Badoo gardent sous clé les données sur la localisation des utilisateurs. Toutes les autres applications indiquent la distance entre vous et la personne qui vous intéresse. En vous déplaçant et en sauvegardant les données sur la distance entre vous, il est facile de déterminer la localisation exacte de la » proie « .
Happn montre non seulement combien de mètres vous séparent d’un autre utilisateur, mais aussi le nombre de fois où vos chemins se sont croisés ; il est donc encore plus facile de suivre quelqu’un. Bien que ce soit incroyable, c’est la principale fonctionnalité de l’application.
Menace 3. Transfert de données non protégé
La plupart des applications transfèrent des données à un serveur sur un canal chiffré SSL, mais il y a des exceptions.
Comme nos chercheurs l’ont remarqué, l’une des applications les moins sûres à ce sujet est Mamba. Le module d’analyse utilisé dans la version Android ne chiffre pas les données au sujet de l’appareil (modèle, numéro de série, etc.) et la version IOS se connecte au serveur par HTTP et transfère toutes les données non chiffrées (et donc non protégées) messages compris. Ces données peuvent non seulement être vues, mais aussi modifiées. Il est par exemple possible qu’une tierce partie change un » Comment ça va ? » en une demande d’argent.
Mamba n’est pas la seule application qui vous laisse gérer le compte de quelqu’un d’autre à cause d’une connexion non sécurisée. C’est aussi le cas de Zoosk. Cependant, nos chercheurs n’ont pu intercepter des données Zoosk que lors de la mise en ligne de nouvelles photos ou vidéos – et les développeurs ont rapidement résolu le problème peu après notre notification.
Tinder, Paktor, Bumble pour Android et Badoo pour iOS mettent également des photos en ligne par HTTP, ce qui permet à un attaquant de trouver quels profils leur victime potentielle consulte.
Lors de l’utilisation de versions Android de Paktor, Badoo et Zoosk, d’autres détails comme des données GPS et des informations sur l’appareil peuvent atterrir entre de mauvaises mains.
Menace 4. Attaque de l’homme du milieu (HDM)
Presque tous les serveurs d’applications de rencontres en ligne utilisent le protocole HTTP, ce qui signifie qu’en vérifiant l’authenticité du certificat, on peut se protéger contre les attaques HDM où le trafic des victimes passe par un serveur » voyou » avant d’arriver au serveur légitime. Les chercheurs ont installé un faux certificat pour voir si les applications vérifieraient son authenticité ; si ce n’était pas le cas, elles permettraient effectivement d’espionner d’autres personnes.
Il s’est avéré que la plupart des applications (cinq sur neuf) sont vulnérables aux attaques HDM car elles ne vérifient pas l’authenticité des certificats. Et presque toutes les applications fournissent des autorisations par Facebook ; l’absence de vérification du certificat peut mener au vol de la clé d’autorisation temporaire sous forme de jeton. Les jetons sont valides pendant 2 ou 3 semaines pendant lesquelles les criminels ont accès à certaines des données des comptes sur les réseaux sociaux de la victime en plus d’avoir un accès complet à leur profil sur l’application de rencontres.
Menace 5. Droits de super-utilisateurs.
Quel que soit le type exact de données que l’application stocke sur le dispositif, il est possible d’accéder à ces données grâce aux droits de super-utilisateurs. Cela concerne uniquement les dispositifs basés sur Android ; il est rare que les malwares réussissent à avoir un accès root dans iOS.
Le résultat de l’analyse n’est pas du tout encourageant. Huit des neuf applications pour Android sont prêtes à fournir trop d’informations aux cybercriminels avec des droits d’accès de super-utilisateurs. Les chercheurs ont été capables d’obtenir des jetons d’utilisation pour les réseaux sociaux de presque toutes les applications en question. Les identifiants étaient chiffrés, mais la clé de chiffrage était facile à extraire de l’application elle-même.
Tinder, Bumble, OkCupid, Badoo, Happn, et Paktor stockent tout l’historique des messages et les photos des utilisateurs avec leurs jetons. Ainsi, quelqu’un qui détient des privilèges d’accès peut facilement accéder aux informations confidentielles.
Conclusion
L’étude a montré que de nombreuses applications de chiffrage ne gèrent pas les données sensibles des utilisateurs suffisamment prudemment. Ce n’est pas une raison pour ne pas utiliser ces services : vous devez simplement comprendre les problèmes et minimiser les risques quand cela est possible.
À faire :
- Utiliser un VPN;
- Installer des solutions de sécurité sur tous vos appareils ;
- Ne partager avec des étrangers que les informations qu’ils ont besoin de savoir.
À ne pas faire :
- Ajouter vos comptes sur les réseaux sociaux à votre profil public d’une application de rencontre ; donner votre vrai nom, nom de famille et lieu de travail ;
- Révéler votre adresse e-mail personnelle ou professionnelle ;
- Utiliser des sites de rencontres sur des réseaux wi-fi non protégés.