Kaspersky reste une societe russe de cybersecurite que le grand public connait beaucoup pour son reellement populaire antivirus. Ce que le grand public sait moins, c’est que Kapersky publie regulierement des rapports plus ou moins affolants sur l’etat en cybersecurite au monde.
Mardi 24 octobre, trois chercheurs de l’entreprise ont publie un rapport i propos des vulnerabilites des applis de rencontre. Toutes sortes de techniques ont ete imaginees pour les faire parler. Certaines sont d’une consternante simplicite. D’autres, en revanche, requierent un background solide en hacking.
Mes experimentations ont ete effectuees sur neuf applications proposees sur Android et iOS : Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat et Paktor. Dans cet article, nous relayerons uniquement nos precisions relatives a Tinder, Bumble, Happn, Badoo et OK Cupid – celles que nos Francais connaissent l’ideal.
Retrouve-moi si tu peux
L’etude de Kaspersky commence en douceur avec une pratique legale et repandue, quoique mesestimee : la fouille compulsive dans notre vie numerique de le interlocuteur. Le stalking, donc.
Dans ce domaine, Tinder, Bumble et Happn sont de reellement mauvais eleves. Dans respectivement 60, 50 et 100 % des cas, nos chercheurs ont reussi a retrouver leur interlocuteur via Facebook ou LinkedIn avec seulement 1 prenom associe i la place de travail ou a Notre formation academique.
En revanche, l’operation stalking s’est revelee impossible sur Badoo et OK Cupid puisque aucune des informations sensibles n’apparait sur le profil. Etrangement, nos chercheurs precisent que la recherche inversee dans Google Images n’a nullement ete d’une tres grosse utilite. Cela s’agit pourtant d’une commode prisee des stalkeurs et qui a fait ses preuves.
Attrape-moi si tu peux
La demonstration continue crescendo en s’attaquant a la geolocalisation. C’est une fonctionnalite que les utilisateurs de Tinder et Happn connaissent bien : en fonction de des modalites variables, les 2 appli indiquent a quelle distance se degote l’interlocuteur. Fonctionnalite excitante s’il en est.
Les chercheurs affirment qu’en tatonnant un tantinet, il va i?tre possible d’avoir une idee de l’endroit ou se trouve la personne que l’on souhaite geolocaliser. Il y a pour i§a une maniere de faire, certes laborieuse mais a portee de chacun : “faker” ses coordonnees GPS chatib application rencontre (avec l’appli Fake GPS Location, Prenons un exemple). Commence alors le jeu du chaud-froid : en fakant, on voit si l’on se rapproche ou si l’on s’eloigne de sa target. Evidemment, votre n’est pas une technique au millimetre. Mais Di?s Que meme.
Au aussi ordre d’idee, 01Net expliquait en juillet dernier De quelle fai§on deux chercheurs francais en securite avaient code, en deux jours tout juste, un petit programme permettant de suivre des utilisateurs de Happn a la trace. Pour ce faire, ils avaient utilise des “agents virtuels” qui utilisaient de fausses coordonnees GPS.
Pirates du c?ur
Dans la deuxieme part du rapport, les chercheurs ont experimente des techniques plus avancees qui correspondent davantage a l’image que l’on s’fait du bon hacking.
Dans la part “interceptions”, on apprend que certaines renseignements peuvent etre interceptees sans trop de difficultes. Sur Tinder, par exemple, votre pirate peut, a condition d’etre dans le aussi reseau, observer nos images qui s’echangent. Sur la version Android de Badoo, le pirate est en mesure de sans probli?me acceder aux coordonnees GPS des utilisateurs.
Les applis de rencontre seront aussi des coffres-forts renfermant des archives parfois sensibles. Mes trois chercheurs affirment que sur les versions Android de Tinder, Bumble, OK Cupid, Badoo et Happn, un bon hackeur va avoir acces aux correspondances passees et, eventuellement, aux photos qui ont ete echangees. Magnifique boulevard pour le blackmailing.
Les bonnes resolutions
L’equipe de Kaspersky donne quatre conseils en fin d’article Afin de eviter les mauvaises surprises :