Le but des applications de rencontre c’est de connaître des gens et de s’amuser et non de communiquer ses données personnelles à droite à gauche. Malheureusement, en ce qui concerne les services de rencontre, la sécurité et la vie privée posent problème. Lors du MWC21, Tatyana Shishkova, une chercheuse en sécurité chez Kasperky a présenté un rapport sur la sécurité des applications de rencontre en ligne. Nous parlerons dans cet article de ce qu’elle a appris à propos de la vie privée et de la sécurité des services de rencontre en ligne les plus utilisés et de ce que les utilisateurs peuvent faire pour protéger leurs données.
Comment la sécurité des applications de rencontre a évolué ces quatre dernières années
Nos experts ont déjà mené une étude similaire il y a quelques années. Après avoir fait des recherches sur les neuf services de rencontre les plus populaires en 2017, ils en ont conclu que les applications de rencontre n’étaient pas très sécurisées en ce qui concerne le transfert des données utilisateur, leur stockage et la facilité avec laquelle d’autres utilisateurs peuvent y accéder. Voici les menaces principales que notre rapport de 2017 a mis en évidence :
- Sur les neuf applications examinées, six d’entre elles ne dissimulaient pas la localisation de l’utilisateur.
- Pour quatre d’entre elles, nous avons pu trouver le vrai nom de l’utilisateur ainsi que ses autres comptes de réseaux sociaux.
- Quatre autres permettaient aux inconnus d’intercepter les données transmises par l’application ; des données qui pouvaient contenir des informations confidentielles.
Nous avons donc décidé de voir ce qui a changé en 2021. L’étude s’est focalisée sur les neuf applications de rencontre les plus populaires : Tinder, OKCupid, Badoo, Bumble, Mamba, Pure, Feeld, Happn et Her. Elles ne sont pas exactement pareilles que celles de 2017 puisque le secteur des rencontres en ligne a quelque peu changé. Ceci dit, la liste des applications les plus utilisées est la même que celle d’il y a quatre ans.
La sécurité du transfert et du stockage de données
Le transfert de données entre l’application et le serveur s’est beaucoup amélioré ces quatre dernières années. Premièrement, les neuf applications examinées dans cette édition ont recours au chiffrement. Deuxièmement, elles possèdent toutes un mécanisme pour lutter contre les attaques de type spoofing : si l’application détecte un faux certificat, cette dernière arrête tout simplement la transmission des données. Mamba possède une fonctionnalité supplémentaire : elle affiche un avertissement disant que la connexion n’est pas sécurisée.
Quant aux données stockées sur le dispositif de l’utilisateur, un pirate informatique peut y avoir accès s’il obtient des droits d’accès d’utilisateur root. Cependant, ceci est peu probable. De plus, si une mauvaise personne possède les droits d’accès root, cela laisse le service pratiquement sans défense, ce qui fait que le vol des données d’une application de rencontre est le moindre des problèmes.
Mot de passe envoyé par message en texte clair
Deux applications sur les neuf que nous avons analysées – Mamba et Badoo – envoient le mot de passe des utilisateurs venant de s’inscrire par e-mail sous forme de texte en clair. Comme la plupart des gens ne changent pas le mot de passe immédiatement après l’inscription (si jamais ils le font) et qu’ils sont légèrement négligents en ce qui concerne la sécurité de leur messagerie en général, ce n’est pas la meilleure chose à faire. Juste en piratant l’e-mail de l’utilisateur ou en interceptant le message, un pirate informatique peut voir le mot de passe envoyé et s’en servir pour se connecter au compte (à moins que l’application vous permette de paramétrer une authentification à deux facteurs).
Photo de profil obligatoire
L’un des problèmes avec les services de rencontre, c’est que les captures d’écran des profils ou des conversations des utilisateurs peuvent être utilisées à mauvais escient comme pour le doxing, l’humiliation, etc. Malheureusement, Pure est la seule application sur les neuf qui permet de créer un compte sans être obligé de mettre une photo (ce qui fait que le compte vous est difficilement attribuable). C’est aussi la seule qui permet de facilement désactiver les captures d’écran. Quant à Mamba, cette application offre la possibilité de pouvoir flouter votre photo de profil et de ne la montrer qu’aux personnes que vous avez choisies. Certaines des applications de la liste offrent également cette possibilité, mais pas gratuitement.
Applications de rencontre et réseaux sociaux
Toutes les applications en question (à l’exception de Pure) offrent la possibilité aux utilisateurs de se connecter via un compte de réseau social qui est généralement Facebook. C’est en réalité la seule option pour ceux qui ne veulent pas partager leur numéro de téléphone avec l’application. Cependant, si votre compte Facebook n’est pas assez « notoire » (si vous venez de vous inscrire ou que vous avez peu d’amis par exemple), il est possible que vous deviez tout de même fournir votre numéro de téléphone.
Le problème c’est que la plupart des applications prennent automatiquement la photo de profil de Facebook pour l’utiliser sur le nouveau compte. Et juste avec une simple photo, on peut facilement relier votre compte sur l’application de rencontre à celui sur le réseau social.
De plus, de nombreuses applications permettent, voire même recommandent de relier leur compte à ceux des réseaux sociaux et d’autres services en ligne comme c’est le cas par exemple d’Instagram et de Spotify pour que les nouvelles photos et les chansons préférées soient automatiquement ajoutées au profil. Bien qu’il ne soit pas sûr à 100 % qu’on puisse identifier un compte dans un autre service, les informations présentes sur les profils d’applications de rencontre peuvent très certainement permettre de trouver quelqu’un sur d’autres sites Web.
Localisation, localisation, localisation
La caractéristique la plus controversée des applications de rencontre est le besoin (dans la plupart des cas) de partager votre localisation. Sur les neuf applications que nous avons analysées, quatre d’entre elles – Tinder, Bumble, Happn et Her – exigent un accès obligatoire à la géolocalisation. Mais seulement trois de ces quatre-là offrent la possibilité de changer manuellement les coordonnées précises de votre localisation pour une localisation régionale, mais uniquement dans la version payante. Happn n’a pas cette fonctionnalité, mais la version payante vous permet de cacher la distance qui vous sépare des autres utilisateurs.
Mamba, Badoo, OkCupid, Pure et Feeld n’exigent pas un accès obligatoire à la géolocalisation et vous permettent d’indiquer manuellement votre localisation même dans la version gratuite. Mais elles offrent aussi la possibilité de détecter votre position automatiquement. Nous vous recommandons de ne pas autoriser l’accès à vos données de géolocalisation, en particulier sur Mamba car la plateforme peut déterminer votre distance par rapport aux autres avec une précision effrayante : à un mètre près.
De façon générale, si l’utilisateur autorise l’application à montrer sa proximité, il n’est généralement pas difficile de calculer sa position par triangulation ou grâce à des programmes d’usurpation GPS. Sur les quatre applications qui exigent l’accès à la géolocalisation pour fonctionner, seulement deux d’entre elles – Tinder et Bumble – neutralisent ce genre de programmes.
Points à retenir
D’un point de vue purement technique, la sécurité des applications de rencontre s’est largement améliorée ces quatre dernières années : toutes celles que nous avons analysées ont recours au chiffrement et résistent à une attaque de l’homme du milieu. La plupart de ces applications possèdent des programmes bug bounty (chasse aux bugs) qui participent à l’élaboration des correctifs des vulnérabilités les plus dangereuses se trouvant dans leurs produits.
Mais en ce qui concerne la vie privée, les choses se gâtent : les applications ne cherchent pas vraiment à empêcher les utilisateurs de partager trop d’informations personnelles. De nombreuses personnes partagent beaucoup trop de données sensibles les concernant et en oublient (ou ignorent) les conséquences : elles peuvent être victimes de doxing, d’harcèlement, de fuites de données, etc.
Bien évidemment, le fait de partager trop d’informations n’est pas propre qu’aux applications de rencontre, les réseaux sociaux ne sont pas des saints non plus. De par la nature particulière des applications de rencontre, ces dernières encouragent les utilisateurs à partager des informations qu’ils n’auraient pas partagées ailleurs. De plus, ce genre de services possèdent généralement peu de contrôle sur l’identité des personnes avec lesquelles les utilisateurs partagent ces données.
Par conséquent, nous recommandons aux utilisateurs des applications de rencontre (et autres) de bien faire attention à ce qu’ils partagent.