Localiser les utilisateurs et intercepter leurs messages et photos est possible et parfois assez simple sur les applications testées par les chercheurs en sécurité du Kaspersky Lab.

C'est une expérimentation qui invite à moins se livrer sur les applications de rencontre. Des chercheurs en sécurité de Kaspersky Lab ont éprouvé les failles de neuf services à succès, dont Tinder, Bumble, Happn et OKCupid. Ils indiquent avoir pu avoir accès aux données personnelles d'utilisateurs, dont leur localisation, leur identité ou encore le contenu de leurs messages et des images échangés.

Une photo utilisée pour identifier une utilisatrice. SecureList

Les applications dans lequel les utilisateurs renseignent leur profession ou leur niveau d'études facilitent grandement leur identification. Tel est le cas de Tinder, d'Happn ou de Bumble. «Dans 60 % des cas, ces informations étaient suffisantes pour identifier les utilisateurs sur un réseau social comme Facebook ou LinkedIn, et obtenir l'intégralité de leurs noms», constatent les chercheurs. De quoi permettre aux personnes mal intentionnées de disposer de précieux renseignements pour harceler une personne sur d'autres réseaux que l'application de départ. Les chercheurs notent néanmoins que les informations de base, telles que les photos, l'âge et le prénom ne permettent à elles seules d'identifier aucun utilisateur sur les autres applications. Contacté par le Figaro, Tinder indique n'avoir aucun commentaire à formuler sur le sujet.

En poussant encore davantage, l'équipe est parvenue à intercepter de nombreuses données sur certaines applications. La version Android de Paktor permet par exemple d'intercepter le nom de l'utilisateur, sa date de naissance et ses coordonnées GPS. L'interception de messages est plus complexe à réaliser. Le pirate doit se trouver sur le même réseau et inciter l'utilisateur à installer un faux certificat donnant l'accès au compte.

La géolocalisation en ligne de mire

Les applications de rencontre ont pour principe de permettre d'échanger avec des interlocuteurs alentour, dans un périmètre à déterminer. Pour assurer leur sécurité, elles restent néanmoins floues sur leur localisation précise. La seule distance entre deux interlocuteurs ne suffit pas pour déterminer leur position exacte. Il est néanmoins possible de localiser avec précision une personne immobile en mesurant la distance de séparation avec cette cible à plusieurs reprises, physiquement ou virtuellement, par l'envoi de fausses coordonnées GPS aux serveurs de l'application. Six des neuf applications étudiées sont vulnérables à ce stratagème: Tinder, Happn, Zoosk, WeChat, Zoosk et Paktor.

De telles failles ont été signalées par le passé aux applications concernées. En 2014, un chercheur de la société Include Security avait révélé que la transmission de la donnée de distance n'était «probablement pas assez sécurisée» sur Tinder. Un an plus tard, suite à une enquête, le Figaro indiquait qu'il était possible de déduire la position précise d'un utilisateur d'Happn. L'application française récupère en permanence la localisation de ses membres grâce au GPS de leur smartphone pour discuter avec des célibataires croisés au cours de la journée, et fait apparaître la distance à laquelle ils se trouvent. Mesurer cette distance depuis trois endroits différents était alors suffisant pour avoir une idée précise du lieu où rencontrer la personne visée. Alertée par Le Figaro, la start-up avait reconnu une «erreur» de programmation et modifié son code informatique en une journée.



Pour éviter les mauvaises surprises, les chercheurs de Kaspersky formulent plusieurs recommandations: limiter le nombre d'informations partagées, éviter les points d'accès Wi-Fi publics et utiliser, dans la mesure du possible, un VPN, ou réseau privé virtuel, pour simuler une géolocalisation.