Retrouve-moi si tu peux
L’étude de Kaspersky commence en douceur avec une pratique légale et répandue, quoique mésestimée : la fouille compulsive dans la vie numérique de son interlocuteur. Le stalking, donc.
Dans ce domaine, Tinder, Bumble et Happn sont de très mauvais élèves. Dans respectivement 60, 50 et 100 % des cas, les chercheurs ont réussi à retrouver leur interlocuteur sur Facebook ou LinkedIn en utilisant simplement un prénom associé au lieu de travail ou à la formation académique.
En revanche, l’opération stalking s’est révélée impossible sur Badoo et OK Cupid puisque aucune de ces informations sensibles n’apparaît sur le profil. Étrangement, les chercheurs précisent que la recherche inversée sur Google Images n’a pas été d’une très grande utilité. Il s’agit pourtant d’une pratique prisée des stalkeurs et qui a fait ses preuves.
À voir aussi sur Konbini
Attrape-moi si tu peux
La démonstration continue crescendo en s’attaquant à la géolocalisation. C’est une fonctionnalité que les utilisateurs de Tinder et Happn connaissent bien : selon des modalités variables, les deux appli indiquent à quelle distance se trouve l’interlocuteur. Fonctionnalité excitante s’il en est.
Les chercheurs affirment qu’en tâtonnant un peu, il est possible d’avoir une idée de l’endroit où se trouve la personne que l’on souhaite géolocaliser. Il existe pour cela une manière de faire, certes laborieuse mais à portée de chacun : “faker” ses coordonnées GPS (avec l’appli Fake GPS Location, par exemple). Commence alors le jeu du chaud-froid : en fakant, on voit si l’on se rapproche ou si l’on s’éloigne de sa target. Évidemment, ce n’est pas une technique au millimètre. Mais quand même.
Dans le même ordre d’idée, 01Net expliquait en juillet dernier comment deux chercheurs français en sécurité avaient codé, en deux jours à peine, un petit programme permettant de suivre des utilisateurs de Happn à la trace. Pour ce faire, ils avaient utilisé des “agents virtuels” qui utilisaient de fausses coordonnées GPS.
Pirates du cœur
Dans la deuxième partie du rapport, les chercheurs ont expérimenté des techniques plus avancées qui correspondent davantage à l’image que l’on se fait du vrai hacking.
Dans la partie “interceptions”, on apprend que certaines informations peuvent être interceptées sans trop de difficultés. Sur Tinder, par exemple, un pirate peut, à condition d’être sur le même réseau, observer les images qui s’échangent. Sur la version Android de Badoo, le pirate peut facilement accéder aux coordonnées GPS des utilisateurs.
Les applis de rencontre sont aussi des coffres-forts renfermant des archives parfois sensibles. Les trois chercheurs affirment que sur les versions Android de Tinder, Bumble, OK Cupid, Badoo et Happn, un bon hackeur peut avoir accès aux correspondances passées et, éventuellement, aux photos qui ont été échangées. Magnifique boulevard pour le blackmailing.
Les bonnes résolutions
L’équipe de Kaspersky donne quatre conseils en fin d’article pour éviter les mauvaises surprises :
- Éviter les spots de wifi public qui facilitent interceptions et piratages en tout genre.
- Utiliser un VPN pour sécuriser un peu plus les échanges.
- Installer un anti-malware (venant de la part d’une entreprise qui vend des logiciels de cybersécurité, c’est la moindre des choses).
- Et enfin : ne pas donner trop d’informations sur soi, lieu de travail et formation académique en premier lieu.
