Oups, 3Fun, une application pour couples libertins, a fait fuiter les données de ses 1,5 million d’utilisateurs

3Fun est l’une des innombrables d’applications de rencontre que l’on trouve sur le marché. Histoire de se démarquer du lot, son éditeur a donc choisi de se focaliser sur les couples libertins, et plus précisément sur les couples adeptes de triolisme.

Or justement, si l’on en croit l’entreprise Pen Test Partners, une entreprise spécialisée dans tout ce qui a trait à la cybersécurité, alors l’outil en question aurait tendance à se montrer… peu sécurisé.

En cause, son système de géolocalisation, un système qui pouvait être facilement détourné et trompé.

3Fun : l’application n’était pas assez sécurisée

En effet, en analysant l’application, les chercheurs de Pen Test Partners ont réalisé qu’une personne mal intentionnée avait tout à fait la possibilité de falsifier son emplacement pour recueillir des informations au sujet des utilisateurs se trouvant dans une zone précise.

Le problème se situait du côté de la manière dont les informations de localisation étaient gérées par l’application.

Ces données étaient stockées localement, sur l’application, au lieu d’être envoyées vers un serveur distant. Une personne mal intentionnée avait donc la possibilité de modifier l’outil pour lui faire croire qu’elle se trouvait dans la zone de son choix. Ce qui lui permettait ensuite d’accéder aux informations de tous les utilisateurs situées dans les alentours. Des informations comme leur pseudo, leurs préférences sexuelles ou encore leurs photos intimes.

Durant leurs tests, les chercheurs de Pen Test Partners ont ainsi eu la possibilité d’obtenir la liste des utilisateurs situés aux alentours de la Maison-Blanche ou même dans tous les quartiers huppés de leur choix, et ce sans avoir besoin de se déplacer sur place.

Un problème de géolocalisation

Bien sûr, l’entreprise a immédiatement pris contact avec l’éditeur de 3Fun pour lui faire remonter l’information. Ce dernier a alors déployé une mise à jour afin de sécuriser son outil. Il a également fait savoir qu’il comptait poursuivre sur sa lancée en continuant à sécuriser son application.

Dans l’absolu, il n’est pas rare de trouver des failles, et ce même sur des logiciels très populaires. Le problème ici, c’est que le logiciel en question touche à un domaine particulièrement sensible : la sexualité. Et il n’est pas nécessaire d’aller chercher très loin pour savoir ce qui aurait pu se produire si ces précieuses données étaient tombées entre de mauvaises mains.

En 2015, le site de rencontres coquines AshleyMadison avait ainsi fait face à une importante fuite de données. Des hackers avaient en effet réussi à se procurer une copie des bases de données du site et ils avaient mis toutes les informations en ligne lorsque leur tentative d’extorsion avait échoué. Ce qui s’est soldé par plusieurs divorces… mais aussi quelques suicides.