Tinder, le service de rencontre en ligne, enregistre une masse d’informations confidentielles sur les utilisateurs et leurs conversations. C’est un fait, s’il y a un compte à tenir loin des hackers, c’est bien Tinder. Or, une équipe de chercheurs a découvert une faille de sécurité compromettante dans l’application. Celle-ci pouvait permettre à une personne de mauvaise foi d’avoir accès au compte d’un abonné.
La faille se situait dans le processus de connexion. Pour accéder à la plateforme, l’utilisateur a deux alternatives. L’une est d’utiliser son compte Facebook et l’autre consiste à entrer son numéro de téléphone. C’est cette seconde option qui était défaillante. Heureusement, la faille a depuis été corrigée.
L’équipe de chercheurs a publié les détails sur cette erreur dans un article publié dans Appsecure.
Un numéro de téléphone aurait suffi
Ainsi, la personne malintentionnée n’avait besoin que du numéro de téléphone de l’utilisateur pour accéder au compte.
Le fait est que lorsque l’utilisateur de Tinder entre son numéro, celui-ci est redirigé vers Accountkit.com, le système d’authentification de Facebook. Afin de vérifier l’identité de la personne qui souhaite accéder au compte, Accountkit.com requiert un token d’identification.
Le problème est que Tinder ne cherche pas à trouver l’origine de la clé. En d’autres termes, le service de vérification valide n’importe quel token qu’on lui soumet sans vérifier si l’identifiant correspond bien à la demande.
D’après les chercheurs, il aurait été possible pour un hacker d’utiliser des cookies pour capter un token et accéder facilement au compte de sa victime.
« Nous améliorons constamment nos défenses »
Tinder et Facebook ont été informées de la faille. Les deux entreprises ont alors collaboré pour la corriger immédiatement. Les chercheurs ont reçu une récompense de 5000 dollars de la part du numéro un des réseaux sociaux et 1250 dollars venant de l’application de rencontre.
Il s’agit de la seconde faille importante découverte dans l’application depuis quelques mois. La première permettait aux personnes malveillantes d’accéder à des données personnelles à cause de l’absence de chiffrement sur l’envoi et la réception de photos.
« Comme toutes les autres sociétés technologiques, nous améliorons constamment nos défenses contre les hackers malveillants », a néanmoins assuré un porte-parole de l’entreprise.