En examinant de plus près les applications de rencontres en ligne les plus populaires (Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat, Paktor), on peut identifié les menaces que ces applications pourraient représenter pour les utilisateurs. Certaines des vulnérabilités ont déjà été corrigées, d'autres devraient l'être bientôt. Cet article a été rédigé pour vous exposer les risques de ces applications de rencontre.
Les applications de rencontre, la confidentialité
Les chercheurs ont découvert que 4 des 9 applications étudiées donnent aux criminels (sur la base de données fournies par les utilisateurs eux-mêmes) la permission de découvrir qui se cache réellement derrière un surnom. Tinder, Happn et Bumble, par exemple, donnent un aperçu complet du lieu de travail ou d'étude de l'utilisateur. Ces informations suffisent à elles seules pour rechercher les profils de la personne sur les médias sociaux et ainsi connaître son véritable nom. Dans le cas de Happn, les comptes Facebook sont même utilisés pour échanger des données avec le serveur. Avec un minimum d'effort, les intrus peuvent ainsi facilement trouver les noms, prénoms et autres informations fournies sur la page Facebook. Si, par exemple, on tente d'intercepter le trafic d'un appareil personnel sur lequel l'App Paktor est installée, la personne peut être surprise de découvrir que les adresses e-mail des autres utilisateurs de l'App sont également visibles.
Les applications de rencontre, où séjournez-vous ?
Si les criminels veulent connaître votre emplacement exact, 6 des 9 applications sont particulièrement utiles. Seuls OkCupid, Bumble et Badoo gardent l'emplacement des utilisateurs sous clé. Les autres applications vous montrent facilement la distance qui vous sépare de la personne qui vous intéresse. Happn va beaucoup plus loin. L'application ne vous indique pas seulement le nombre de mètres qui vous séparent d'un autre utilisateur, mais aussi la fréquence à laquelle leurs chemins se sont déjà croisés. À notre grand étonnement, c'est même l'une des principales caractéristiques de l'application. Pour le transfert de données, il n'est pas protégé. La plupart des applications transfèrent les données vers le serveur via un canal crypté SSL. Bien sûr, il y a des exceptions. Comme les chercheurs l'ont découvert, Mamba est l'une des applications les plus peu sûres à cet égard. Le module d'analyse utilisé dans la version Android ne chiffre pas les données telles que le modèle et le numéro de série de l'appareil. La version iOS se connecte au serveur via HTTP et envoie toutes les données en clair et donc sans protection ; les messages ne font pas exception. Les données de ce type peuvent non seulement être consultées, mais aussi modifiées. Un "Comment ça va ?" typique peut être converti en n'importe quel message. Mamba n'est pas la seule application qui vous permet d'accéder au compte d'une autre personne grâce à une connexion non sécurisée. Le Zoosk est similaire. Zoosk ne pouvait intercepter les données que lors du téléchargement de nouvelles photos et vidéos, mais les fabricants ont réglé le problème dès que nous l'avons signalé. Tinder, Paktor, Bumble pour Android et Badoo pour iOS téléchargent également des photos via HTTP. Cela permet aux attaquants de savoir sur quel profil voyage leur victime potentielle. Si les utilisateurs utilisent les versions Android des applications Paktor, Badoo et Zoosk, d'autres détails tels que les données GPS et les informations sur l'appareil peuvent également tomber entre de mauvaises mains.
Les applications de rencontre et l'attaque de l'homme au milieu (MITM)
Presque tous les serveurs d'applications de rencontres en ligne utilisent le protocole de communication HTTPS pour transférer les données de manière sécurisée. En vérifiant l'authenticité du certificat numérique, vous pouvez donc vous protéger contre les attaques du MITM. Dans de telles attaques, il est possible de contrôler complètement le trafic de données entre deux ou plusieurs participants au réseau. Nos chercheurs ont installé un faux certificat dans le cadre de l'enquête pour savoir si l'application en vérifierait effectivement l'authenticité ; si ce n'était pas le cas, l'application faciliterait l'espionnage du trafic de données d'autres personnes. Il s'est avéré que 5 des 9 applications sont vulnérables aux attaques du MITM ; l'authenticité des certificats n'est pas vérifiée pour ces applications. Comme un grand nombre d'applications configurent Facebook comme leur fournisseur d'authentification, l'absence ou le manque de vérification de l'authenticité des certificats peut entraîner le vol de la clé d'autorisation temporaire sous la forme d'un jeton. Les jetons ont une validité de 2 à 3 semaines. Pendant ce temps, les criminels ont un accès illimité non seulement au profil de l'application de rencontre, mais aussi aux comptes de médias sociaux de la victime.
Les applications de rencontre et les droits de super-utilisateur
Quelles que soient les données stockées sur l'appareil ; les droits de super-utilisateur permettent un accès illimité à celui-ci. Toutefois, cela ne concerne que les propriétaires d'appareils Android ; les logiciels malveillants qui obtiennent un accès root aux appareils iOS sont (actuellement) encore une rareté. Le résultat de notre analyse n'est pas très réjouissant : 8 applications Android sur 9 fournissent trop d'informations aux cybercriminels qui utilisent les droits de super-utilisateur. Ainsi, nos chercheurs ont pu obtenir des jetons d'autorisation pour les canaux de médias sociaux de presque toutes les applications. Bien que les informations d'identification aient été cryptées, la clé de décryptage pouvait facilement être volée dans l'application elle-même. Tinder, Bumble, OkCupid, Badoo, Happn et Paktor stockent l'historique des conversations et les photos des utilisateurs avec les jetons. Cela permet au propriétaire des droits d'accès du super-utilisateur d'accéder facilement aux informations confidentielles.