Une faille sur Tinder permet de checker vos swipes et vos photos

Le spécialiste en sécurité informatique Erez Yalon de la société Checkmarx révèle une double faille de sécurité sur le site de rencontres géolocalisées Tinder. Transmises sans aucun chiffrement adapté, photos et actions sont facilement piratables.

Tinder interdit au moins de 18 ans

Après s’être penché sur le degré de sécurité de l’application de rencontre Tinder, le spécialiste israélien en cybersécurité Erez Yalon conclut: « Nous pouvons simuler exactement ce que les utilisateurs voient sur leurs écrans ». Par simple intrusion sur votre réseau Wi-Fi, votre profil et vos choix sur Tinder deviennent donc visibles pour un pirate.

Faille sécurité sur Tinder : toutes vos photos et actions sont faciles à pirater

« Vous pouvez tout savoir, ce qu’ils font, quelles sont leurs préférences sexuelles et de nombreuses informations », précise Erez Yalon. Selon le spécialiste, l’unique condition sinequanone pour parvenir à ce résultat est de s’introduire sur le réseau Wi-Fi des utilisateurs ciblés. Après quoi, un logiciel mis au point spécialement dans ce but permet une totale visibilité, par un déchiffrage des données informatiques.

Conçu par la société israélienne Checkmarx, ce logiciel nommé TinderDrift étudie les chiffrements provoqués par chaque action des utilisateurs et reconstitue de nombreuses données pourtant réputées confidentielles par Tinder.

La cause de la faille sécurité sur Tinder : le manque de chiffrement des données

D’ordinaire, la sécurité des données personnelles est assurée par un chiffrement élaboré. Dans le cas de Tinder, c’est précisément cette absence de codage que vient de soulever le spécialiste en sécurité Erez Yalon, qui s’est aperçu que la transmission des photos se faisait sans le moindre chiffrement en HTTPS.

Pour étoffer sa démonstration, il a d’ailleurs diffusé une vidéo montrant avec quelle facilité le logiciel TinderDrift exploite les photos affichées et les « matches » entre deux profils. Le procédé fonctionne aussi bien sur iOS que Android, se basant également sur le fait qu’un like est toujours codé à 374 octets, un rejet 278 octets, et un match en 581 octets.

Absence de chiffrement et codage trop simple et systématisé font donc mauvais ménage en terme de sécurité. Aussi Erez Yalon précise « C’est la combinaison de ces deux vulnérabilités simples qui crée un problème majeur de vie privée ».

 


Commenter