Des hackers peuvent infiltrer les comptes Tinder avec un simple numéro de téléphone

Votre vie sentimentale n’a peut-être tenu qu’à la bonne volonté d’un hacker pendant un moment. Un informaticien a dévoilé une faille importante sur Tinder. Elle a depuis été corrigée.

Tinder et Vanity Fair : le couple qui ne colle pas ?

Si on vous demandait le type d’applications que vous n’avez pas forcément envie de voir tomber entre les mains d’un pirate, les sites de rencontres et les banques figureraient en bonne position. Si les secondes sont en général très sécurisées, il semblerait que les premières aient un peu plus de mal. On se souvient des nombreuses difficultés rencontrées par des pages comme Ashley Madison ou Adult Friend Finder. Cette fois, c’est Tinder qui refait parler de lui dans ce domaine.

Un problème dans l’authentification par Facebook

Tout commence avec un article publié par le site AppSecure. Le hacker indien, Anand Prakash, spécialiste des primes pour les signalements de bugs, y dévoile une faille plutôt importante. En effet, le processus de connexion était loin d’être 100% sécurisé. Lorsque vous ouvrez l’application, vous pouvez y accéder via Facebook ou votre numéro de téléphone. Une fois ce dernier indiqué, Tinder faisait alors appel à « l’Account Kit » de Facebook pour faire le lien entre les deux.

C’est à ce niveau là qu’apparaissait le problème. Le site « Accountkit.com » demande un token d’identification pour vérifier votre identité. Le soucis, c’était que Tinder acceptait n’importe quel token, sans vérifier qu’il correspondait à la demande ! De quoi permettre potentiellement à n’importe qui de se connecter très facilement. Dans l’article, les chercheurs illustrent la faille avec un problème qui fait froid dans le dos. A travers des cookies, il aurait été possible de capter un token et de se connecter ensuite à distance au compte Tinder d’un tiers.

Face à la menace, Tinder et Facebook ont heureusement su réagir rapidement et le problème a déjà été réglé. Le chercheur a été récompensé par deux chèques. 5.000 dollars de la part de Facebook et 1.2500 dollars de la part de Tinder. Vous pouvez de nouveau swiper sans risque…


Un commentaire

Commenter

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.