Alerte sécurité – Vos photos et données personnelles en danger sur Tinder

0
120

Un chercheur a pointé du doigt une importante faille de sécurité au sein de l’application de rencontre Tinder permettant à un attaquant de compromettre les photos et les données privées des utilisateurs.

C’est Erez Yalon, un expert en sécurité de la société israélienne Checkmarx qui est à l’origine de cette découverte. Il a démontré comment il parvenait à intercepter les photos et les matches d’un profil utilisateur connecté au même réseau que lui, le tout, via son logiciel sur-mesure baptisé TinderDrift.

l démontre clairement que les photos et les données privées liées au profil utilisateur étaient transmises depuis et vers le smartphone sans aucun chiffrement HTTPS, le tout en clair. Cela affecte tout le monde, que ce soit sur un smartphone Android ou iOS.

Du coup, un attaquant connecté au même réseau que l’utilisateur peut facilement accéder à l’ensemble des données privées reçues et envoyées à distance (par exemple lors d’une utilisation sur un réseau Wi-Fi public non sécurisé et ouvert).

Le chercheur a développé son logiciel en analysant en détail les communications réseau liées à l’application. Même si les swipes gauche / droite sont chiffrés, il lui a été possible de les deviner grâce à leurs empreintes qui ne change jamais : chaîne de 278 octets pour un swipe gauche de rejet, 374 octets pour un swipe droit d’acceptation / like, et 581 octets pour un match sur le profil.

Le programme TinderDrift est capable de recréer la session complète d’une application mais les messages privés échangés restent hors d’atteinte selon le chercheur en cybersécurité. Tinder a été averti en novembre 2017 mais aucune correction n’a eu lieu…

Quoi qu’il en soit, utilisateur ou non de Tinder, gardez en tête qu’utiliser un réseau Wi-Fi public ouvert et non sécurisé représente un immense risque pour l’ensemble de vos données personnelles et identifiants critiques. Aussi, pensez à utiliser systématiquement un VPN si vous avez besoin de vous connecté à un tel point d’accès public !