Kaspersky est une societe russe de cybersecurite que le grand public connait bien pour son fort populaire antivirus. Ce que le grand public sait moins, c’est que Kapersky publie regulierement des rapports plus ou moins affolants sur l’etat d’la cybersecurite dans le monde.
Mardi 24 octobre, trois chercheurs de l’entreprise ont publie un ratio i propos des vulnerabilites des applis de rencontre. Toutes sortes de techniques ont ete imaginees pour les faire parler. Quelques seront d’une consternante simplicite. D’autres, chatrandom algorithme en revanche, requierent votre background solide en hacking.
Les experimentations ont ete effectuees sur neuf applications proposees sur Android et iOS : Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat et Paktor. Dans ce post, nous relayerons uniquement des precisions relatives a Tinder, Bumble, Happn, Badoo et OK Cupid – celles que des Francais connaissent le mieux.
Retrouve-moi si tu peux
L’etude de Kaspersky commence en douceur avec une pratique legale et repandue, quoique mesestimee : la fouille compulsive dans la vie numerique de le interlocuteur. Notre stalking, donc.
Dans ce domaine, Tinder, Bumble et Happn sont de fort mauvais eleves. Dans respectivement 60, 50 et 100 % des cas, nos chercheurs ont reussi a retrouver un interlocuteur via Facebook ou LinkedIn avec simplement votre prenom associe au lieu d’embauche ou a Notre formation academique.
En revanche, l’operation stalking s’est revelee impossible sur Badoo et OK Cupid puisque aucune des renseignements sensibles n’apparait sur le profil. Etrangement, nos chercheurs precisent que la recherche inversee concernant Google Images n’a jamais ete d’une tres grande utilite. Il s’agit pourtant d’une pratique prisee des stalkeurs et qui a fait ses preuves.
Attrape-moi si tu peux
Notre demonstration continue crescendo en s’attaquant a la geolocalisation. C’est une fonctionnalite que les utilisateurs de Tinder et Happn connaissent bien : d’apri?s des modalites variables, les deux appli indiquent a quelle distance se deniche l’interlocuteur. Fonctionnalite excitante s’il en reste.
Mes chercheurs affirment qu’en tatonnant legerement, c’est possible d’avoir une idee de l’endroit ou se trouve la personne que l’on souhaite geolocaliser. Il y a Afin de cela une maniere d’effectuer, certes laborieuse mais a portee de chacun : “faker” ses coordonnees GPS (avec l’appli Fake GPS Location, Prenons un exemple). Commence alors le jeu du chaud-froid : en fakant, on voit si l’on se rapproche ou si l’on s’eloigne de sa target. Evidemment, ce n’est pas une technique au millimetre. Mais au moment oi? aussi.
Au meme ordre d’idee, 01Net expliquait en juillet dernier De quelle fai§on 2 chercheurs francais en securite avaient code, en 1 semaine tout juste, un petit programme permettant de lire des utilisateurs de Happn a la trace. Pour ce Realiser, ils avaient utilise des “agents virtuels” qui utilisaient de fausses coordonnees GPS.
Pirates du c?ur
Dans la deuxieme partie du rapport, les chercheurs ont experimente des techniques plus avancees qui correspondent davantage a l’image que l’on s’fait du grand hacking.
Dans la part “interceptions”, on apprend que diverses renseignements ont la possibilite de etre interceptees sans trop de difficultes. Sur Tinder, notamment, 1 pirate pourra, a condition d’etre concernant le meme reseau, observer des images qui s’echangent. Sur la version Android de Badoo, le pirate peut facilement avoir acci?s aux coordonnees GPS des utilisateurs.
Les applis de rencontre paraissent aussi des coffres-forts renfermant des archives desfois sensibles. Mes trois chercheurs affirment que sur les versions Android de Tinder, Bumble, OK Cupid, Badoo et Happn, un delicieux hackeur pourra avoir acces a toutes les correspondances passees et, eventuellement, a toutes les photos ayant ete echangees. Magnifique boulevard pour le blackmailing.
Mes bonnes resolutions
L’equipe de Kaspersky donne quatre astuces en fin d’article Afin de eviter les mauvaises surprises :