{"id":9711,"date":"2017-10-26T09:15:57","date_gmt":"2017-10-26T09:15:57","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=9711"},"modified":"2022-11-11T10:59:14","modified_gmt":"2022-11-11T08:59:14","slug":"dating-apps-threats","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/dating-apps-threats\/9711\/","title":{"rendered":"Est-ce que les applications de rencontres sont s\u00fbres ?"},"content":{"rendered":"

Chercher sa destin\u00e9e en ligne, que ce soit pour la relation d\u2019une vie enti\u00e8re ou pour l\u2019affaire d\u2019une nuit, est devenu plut\u00f4t courant. Les applications de rencontres font maintenant partie de notre vie quotidienne. Pour trouver le partenaire id\u00e9al, les utilisateurs de ces applications sont pr\u00eats \u00e0 r\u00e9v\u00e9ler<\/a> leur nom, leur m\u00e9tier, leur lieu de travail, o\u00f9 ils aiment sortir et bien plus. Les applications de rencontres sont souvent t\u00e9moins de choses de nature plut\u00f4t intime, et m\u00eame parfois de photos de nus. Avec quelles pr\u00e9cautions ces applications traitent-elles ces donn\u00e9es ? Kaspersky Lab a d\u00e9cid\u00e9 d\u2019\u00e9tudier leur s\u00e9curit\u00e9.<\/p>\n

Nos experts ont \u00e9tudi\u00e9 les applications de rencontres en ligne les plus populaires<\/a> (Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat, Paktor), et identifi\u00e9 les principales menaces pour les utilisateurs. Nous avons inform\u00e9 les d\u00e9veloppeurs en avance de toutes les vuln\u00e9rabilit\u00e9s d\u00e9tect\u00e9es et \u00e0 la date o\u00f9 ce texte est publi\u00e9, certaines sont d\u00e9j\u00e0 corrig\u00e9es et d\u2019autres devraient l\u2019\u00eatre dans un futur proche. Cependant, tous les d\u00e9veloppeurs n\u2019ont pas promis de rem\u00e9dier aux d\u00e9fauts.<\/p>\n

Menace 1. Qui \u00eates-vous ?<\/strong><\/p>\n

Nos chercheurs ont d\u00e9couvert que quatre des neuf applications sur lesquelles ils ont fait des recherches permettent aux criminels de d\u00e9terminer qui se cache derri\u00e8re un pseudo sur la base des donn\u00e9es fournies par les utilisateurs eux-m\u00eames. Tinder, Happn, et Bumble, par exemple, laissent tout le monde voir le lieu de travail ou d\u2019\u00e9tudes sp\u00e9cifi\u00e9 par un utilisateur. En utilisant ces informations, il est possible de trouver leurs comptes sur les r\u00e9seaux sociaux et de d\u00e9couvrir leurs vrais noms. Happn, notamment, utilise les comptes Facebook pour les \u00e9changes de donn\u00e9es avec le serveur. Avec tr\u00e8s peu d\u2019efforts, tout le monde peut trouver les noms et noms de famille des utilisateurs de Happn et d\u2019autres infos depuis leurs profils Facebook.<\/p>\n

Et si quelqu\u2019un intercepte le trafic d\u2019un dispositif personnel o\u00f9 Paktor est install\u00e9, il sera surpris d\u2019apprendre qu\u2019il peut voir les adresses e-mail des autres utilisateurs de l\u2019application.<\/p>\n

En fin de compte, il est possible d\u2019identifier les utilisateurs de Paktor et Happn sur d\u2019autres r\u00e9seaux sociaux 100\u00a0% du temps (60 % pour Tinder et 50 % pour Bumble).<\/p>\n

Menace 2. O\u00f9 \u00eates-vous ?<\/strong><\/p>\n

Si quelqu\u2019un veut savoir o\u00f9 vous \u00eates, six des neuf applications lui donneront un coup de main. Seuls OkCupid, Bumble et Badoo gardent sous cl\u00e9 les donn\u00e9es sur la localisation des utilisateurs. Toutes les autres applications indiquent la distance entre vous et la personne qui vous int\u00e9resse. En vous d\u00e9pla\u00e7ant et en sauvegardant les donn\u00e9es sur la distance entre vous, il est facile de d\u00e9terminer la localisation exacte de la \u00a0\u00bb\u00a0proie\u00a0\u00ab\u00a0.<\/p>\n

Happn montre non seulement combien de m\u00e8tres vous s\u00e9parent d\u2019un autre utilisateur, mais aussi le nombre de fois o\u00f9 vos chemins se sont crois\u00e9s ; il est donc encore plus facile de suivre quelqu\u2019un. Bien que ce soit incroyable, c\u2019est la principale fonctionnalit\u00e9 de l\u2019application.<\/p>\n

Menace 3.<\/strong> Transfert de donn\u00e9es non prot\u00e9g\u00e9<\/strong><\/p>\n

La plupart des applications transf\u00e8rent des donn\u00e9es \u00e0 un serveur sur un canal chiffr\u00e9 SSL, mais il y a des exceptions.<\/p>\n

Comme nos chercheurs l\u2019ont remarqu\u00e9, l\u2019une des applications les moins s\u00fbres \u00e0 ce sujet est Mamba. Le module d\u2019analyse utilis\u00e9 dans la version Android ne chiffre pas les donn\u00e9es au sujet de l\u2019appareil (mod\u00e8le, num\u00e9ro de s\u00e9rie, etc.) et la version IOS se connecte au serveur par HTTP et transf\u00e8re toutes les donn\u00e9es non chiffr\u00e9es (et donc non prot\u00e9g\u00e9es) messages compris. Ces donn\u00e9es peuvent non seulement \u00eatre vues, mais aussi modifi\u00e9es. Il est par exemple possible qu\u2019une tierce partie change un \u00a0\u00bb\u00a0Comment \u00e7a va\u00a0? \u00a0\u00bb en une demande d\u2019argent.<\/p>\n

Mamba n\u2019est pas la seule application qui vous laisse g\u00e9rer le compte de quelqu\u2019un d\u2019autre \u00e0 cause d\u2019une connexion non s\u00e9curis\u00e9e. C\u2019est aussi le cas de Zoosk. Cependant, nos chercheurs n\u2019ont pu intercepter des donn\u00e9es Zoosk que lors de la mise en ligne de nouvelles photos ou vid\u00e9os \u2013 et les d\u00e9veloppeurs ont rapidement r\u00e9solu le probl\u00e8me peu apr\u00e8s notre notification.<\/p>\n

Tinder, Paktor, Bumble pour Android et Badoo pour iOS mettent \u00e9galement des photos en ligne par HTTP, ce qui permet \u00e0 un attaquant de trouver quels profils leur victime potentielle consulte.<\/p>\n

Lors de l\u2019utilisation de versions Android de Paktor, Badoo et Zoosk, d\u2019autres d\u00e9tails comme des donn\u00e9es GPS et des informations sur l\u2019appareil peuvent atterrir entre de mauvaises mains.<\/p>\n

Menace 4. Attaque de l\u2019homme du milieu (HDM)<\/strong><\/p>\n

Presque tous les serveurs d\u2019applications de rencontres en ligne utilisent le protocole HTTP, ce qui signifie qu\u2019en v\u00e9rifiant l\u2019authenticit\u00e9 du certificat, on peut se prot\u00e9ger contre les attaques HDM<\/a> o\u00f9 le trafic des victimes passe par un serveur \u00a0\u00bb\u00a0voyou\u00a0\u00a0\u00bb avant d\u2019arriver au serveur l\u00e9gitime. Les chercheurs ont install\u00e9 un faux certificat pour voir si les applications v\u00e9rifieraient son authenticit\u00e9 ; si ce n\u2019\u00e9tait pas le cas, elles permettraient effectivement d\u2019espionner d\u2019autres personnes.<\/p>\n

Il s\u2019est av\u00e9r\u00e9 que la plupart des applications (cinq sur neuf) sont vuln\u00e9rables aux attaques HDM car elles ne v\u00e9rifient pas l\u2019authenticit\u00e9 des certificats. Et presque toutes les applications fournissent des autorisations par Facebook ; l\u2019absence de v\u00e9rification du certificat peut mener au vol de la cl\u00e9 d\u2019autorisation temporaire sous forme de jeton. Les jetons sont valides pendant 2 ou 3 semaines pendant lesquelles les criminels ont acc\u00e8s \u00e0 certaines des donn\u00e9es des comptes sur les r\u00e9seaux sociaux de la victime en plus d\u2019avoir un acc\u00e8s complet \u00e0 leur profil sur l\u2019application de rencontres.<\/p>\n

Menace 5. Droits de super-utilisateurs.<\/strong><\/p>\n

Quel que soit le type exact de donn\u00e9es que l\u2019application stocke sur le dispositif, il est possible d\u2019acc\u00e9der \u00e0 ces donn\u00e9es gr\u00e2ce aux droits de super-utilisateurs. Cela concerne uniquement les dispositifs bas\u00e9s sur Android ; il est rare que les malwares r\u00e9ussissent \u00e0 avoir un acc\u00e8s root dans iOS.<\/p>\n

Le r\u00e9sultat de l\u2019analyse n\u2019est pas du tout encourageant. Huit des neuf applications pour Android sont pr\u00eates \u00e0 fournir trop d\u2019informations aux cybercriminels avec des droits d\u2019acc\u00e8s de super-utilisateurs. Les chercheurs ont \u00e9t\u00e9 capables d\u2019obtenir des jetons d\u2019utilisation pour les r\u00e9seaux sociaux de presque toutes les applications en question. Les identifiants \u00e9taient chiffr\u00e9s, mais la cl\u00e9 de chiffrage \u00e9tait facile \u00e0 extraire de l\u2019application elle-m\u00eame.<\/p>\n

Tinder, Bumble, OkCupid, Badoo, Happn, et Paktor stockent tout l\u2019historique des messages et les photos des utilisateurs avec leurs jetons. Ainsi, quelqu\u2019un qui d\u00e9tient des privil\u00e8ges d\u2019acc\u00e8s peut facilement acc\u00e9der aux informations confidentielles.<\/p>\n

Conclusion<\/strong><\/p>\n

L\u2019\u00e9tude a montr\u00e9 que de nombreuses applications de chiffrage ne g\u00e8rent pas les donn\u00e9es sensibles des utilisateurs suffisamment prudemment. Ce n\u2019est pas une raison pour ne pas utiliser ces services : vous devez simplement comprendre les probl\u00e8mes et minimiser les risques quand cela est possible.<\/p>\n

\u00c0 faire :<\/strong><\/p>\n