Mr. Robot. (© USA Network)

Pirater une appli de rencontre, mode d’emploi

Attention, ça va un peu effrayer les utilisateurs de Tinder et Happn.

Mr. Robot. (© USA Network)

Kaspersky est une société russe de cybersécurité que le grand public connaît bien pour son très populaire antivirus. Ce que le grand public sait moins, c’est que Kapersky publie régulièrement des rapports plus ou moins affolants sur l’état de la cybersécurité dans le monde.

Publicité

Mardi 24 octobre, trois chercheurs de l’entreprise ont publié un rapport sur les vulnérabilités des applis de rencontre. Toutes sortes de techniques ont été imaginées pour les faire parler. Certaines sont d’une consternante simplicité. D’autres, en revanche, requièrent un background solide en hacking.

Les expérimentations ont été effectuées sur neuf applications disponibles sur Android et iOS : Tinder, Bumble, OK Cupid, Badoo, Mamba, Zoosk, Happn, WeChat et Paktor. Dans cet article, nous relayerons uniquement les informations relatives à Tinder, Bumble, Happn, Badoo et OK Cupid – celles que les Français connaissent le mieux.

Retrouve-moi si tu peux

L’étude de Kaspersky commence en douceur avec une pratique légale et répandue, quoique mésestimée : la fouille compulsive dans la vie numérique de son interlocuteur. Le stalking, donc.

Publicité

Dans ce domaine, Tinder, Bumble et Happn sont de très mauvais élèves. Dans respectivement 60, 50 et 100 % des cas, les chercheurs ont réussi à retrouver leur interlocuteur sur Facebook ou LinkedIn en utilisant simplement un prénom associé au lieu de travail ou à la formation académique.

En revanche, l’opération stalking s’est révélée impossible sur Badoo et OK Cupid puisque aucune de ces informations sensibles n’apparaît sur le profil. Étrangement, les chercheurs précisent que la recherche inversée sur Google Images n’a pas été d’une très grande utilité. Il s’agit pourtant d’une pratique prisée des stalkeurs et qui a fait ses preuves.

Attrape-moi si tu peux

La démonstration continue crescendo en s’attaquant à la géolocalisation. C’est une fonctionnalité que les utilisateurs de Tinder et Happn connaissent bien : selon des modalités variables, les deux appli indiquent à quelle distance se trouve l’interlocuteur. Fonctionnalité excitante s’il en est.

Publicité

Les chercheurs affirment qu’en tâtonnant un peu, il est possible d’avoir une idée de l’endroit où se trouve la personne que l’on souhaite géolocaliser. Il existe pour cela une manière de faire, certes laborieuse mais à portée de chacun : "faker" ses coordonnées GPS (avec l’appli Fake GPS Location, par exemple). Commence alors le jeu du chaud-froid : en fakant, on voit si l’on se rapproche ou si l’on s’éloigne de sa target. Évidemment, ce n’est pas une technique au millimètre. Mais quand même.

Dans le même ordre d’idée, 01Net expliquait en juillet dernier comment deux chercheurs français en sécurité avaient codé, en deux jours à peine, un petit programme permettant de suivre des utilisateurs de Happn à la trace. Pour ce faire, ils avaient utilisé des "agents virtuels" qui utilisaient de fausses coordonnées GPS.

Pirates du cœur

Dans la deuxième partie du rapport, les chercheurs ont expérimenté des techniques plus avancées qui correspondent davantage à l’image que l’on se fait du vrai hacking.

Publicité

Dans la partie "interceptions", on apprend que certaines informations peuvent être interceptées sans trop de difficultés. Sur Tinder, par exemple, un pirate peut, à condition d’être sur le même réseau, observer les images qui s’échangent. Sur la version Android de Badoo, le pirate peut facilement accéder aux coordonnées GPS des utilisateurs.

Les applis de rencontre sont aussi des coffres-forts renfermant des archives parfois sensibles. Les trois chercheurs affirment que sur les versions Android de Tinder, Bumble, OK Cupid, Badoo et Happn, un bon hackeur peut avoir accès aux correspondances passées et, éventuellement, aux photos qui ont été échangées. Magnifique boulevard pour le blackmailing.

Les bonnes résolutions

L’équipe de Kaspersky donne quatre conseils en fin d’article pour éviter les mauvaises surprises :

  • Éviter les spots de wifi public qui facilitent interceptions et piratages en tout genre.
  • Utiliser un VPN pour sécuriser un peu plus les échanges.
  • Installer un anti-malware (venant de la part d’une entreprise qui vend des logiciels de cybersécurité, c’est la moindre des choses).
  • Et enfin : ne pas donner trop d’informations sur soi, lieu de travail et formation académique en premier lieu.

Par Pierre Schneidermann, publié le 27/10/2017

Pour vous :