Small nick 01

Jérôme BENBIHI

Applis de rencontre : un rapport inquiétant sur la protection des données personnelles

 applis

Les applications des sites de rencontres représentent des risques pour les données personnelles : tel est le constat des chercheurs de Kaspersky Lab après avoir inspecté le niveau de sécurité de neuf applications de rencontre. Tinder, Bumble, Zoosk, OK Cupid, Badoo, Mamba, Happn, WeChat et Paktor : aucune application ne répond aux standards de sécurisation. Votre identité, géolocalisation ou les messages privés peuvent être intercepté par un pirate informatique.

Aucun utilisateur n’est anonyme, même sous pseudo. C’est ce que relève le rapport publié il y a quelques jours. Certains sites incitent à afficher des informations telles que l’emploi ou le niveau d'étude. Ces informations, visibles par tout le monde, peuvent être recroisées avec les éléments publiés sur les réseaux sociaux comme Facebook ou LinkedIn et ainsi découvrir le vrai nom de la personne. Les résultats indiquent qu’il est possible d’identifier tous les utilisateurs de Paktor et Happn sur d’autres réseaux sociaux, 60 % des utilisateurs de Tinder et 50 % des utilisateurs de Bumble.

De plus, certaines applications sont vulnérables à des attaques de géolocalisation. WeChat, Paktor, Mamba, Zoosk et Tinder indiquent la distance à laquelle les profils consultés se trouvent. Des pirates informatiques peuvent renvoyer de fausses données aux serveurs des applications (avec les GPS spoofer sur émulateur par exemple) pour tourner autour d'une cible et la géolocaliser avec plus de précision.

Les connexions des applis ne sont pas toujours sécurisées. En général, elles communiquent avec leurs serveurs par HTTPS, mais ce n’est pas le cas lorsqu’on est connecté sur un hot spot public peu sécurisé, ou sur un réseau contrôlé par un snooper. Un pirate informatique peut voir et même modifier toutes les données que l'application échange avec les serveurs, notamment des informations personnelles, et donc prendre le contrôle du compte en envoyant, par exemple, des messages à la place de l'utilisateur. Les experts estiment que l’appli Mamba est parmi les moins sûres : « Le module d’analyse utilisé dans la version Android ne chiffre pas les données au sujet de l’appareil (modèle, numéro de série, etc.) et la version IOS se connecte au serveur par HTTP et transfère toutes les données non chiffrées (et donc non protégées) messages compris. Ces données peuvent non seulement être vues, mais aussi modifiées. Il est par exemple possible qu’une tierce partie change un Comment ça va ? en une demande d’argent. »

La version Android de Tinder, Paktor et Bumble, et la version iOS de Badoo envoient des photos en HTTP non sécurisé, ce qui permet à un attaquant de trouver l'intégralité des données, de voler des identifiants et de se connecter à un compte utilisateur.

Avant la publication du rapport, Kaspersky a informé les développeurs des applis de toutes les vulnérabilités détectées. Certaines sont déjà corrigées et d’autres devraient l’être bientôt. Cependant, tous les développeurs n’ont pas promis de remédier aux défauts, écrivent les chercheurs en sécurité. Au final, pour ne pas décourager les gens d'utiliser des applications de rencontres, ils ont donné quelques recommandations sur la façon de les utiliser de manière plus sûre.

Ils déconseillent de :

  • Ajouter vos comptes sur les réseaux sociaux à votre profil public d’une application de rencontre ; donner votre vrai nom, nom de famille et lieu de travail ;
  • Révéler votre adresse e-mail personnelle ou professionnelle ;
  • Utiliser des sites de rencontres sur des réseaux Wi-Fi non protégés.

Ils conseillent de :

  • Utiliser un VPN pour chiffrer vos données lorsque vous vous connectez à Internet.
  • Installer des solutions de sécurité sur tous vos appareils ;
  • Ne partager avec des étrangers que les informations qu’ils ont besoin de savoir.

Laissez un commentaire