Tinder compte pas mal d’utilisateurs à travers le monde et cela veut donc dire que vous risquez d’être nombreux à grincer des dents à la lecture de ces quelques lignes. Et pour cause, car un expert en sécurité a détecté de nouvelles failles critiques dans l’application.
Mise en lumière par Erez Yalon, un expert travaillant pour le compte de la société Checkmarx, cette faille ne fera sans doute pas rire grand monde.
Exploitée, cette dernière peut en effet potentiellement permettre à une tierce personne d’accéder à tous vos swipes et vos photos privées.
Tinder et la sécurisation des données, ce n’est pas trop ça
Tinder a beau avoir de nombreuses qualités, l’application ne brille effectivement pas par son niveau de sécurisation et le chercheur a ainsi eu la surprise de découvrir que l’outil n’utilisait pas le protocole HTTPS pour chiffrer les données transitant entre le terminal de l’utilisateur et les serveurs de la compagnie.
Pour ne rien arranger, Erez s’est également rendu compte que chaque action était associée à un nombre d’octets définis. Chaque swipe effectué vers la droite est ainsi codé sur 581 octets, contre 728 octets pour les gestes effectués dans l’autre sens et 581 octets pour les matches.
En combinant les deux failles, il est donc possible pour une personne connectée au même réseau de retracer les gestes effectués par l’utilisateur et de récupérer une partie des données transitant entre son téléphone et les serveurs de l’entreprise.
Tinder a été prévenu
Histoire de monter l’ampleur des dégâts, Erez a pris l’initiative de réaliser une vidéo en s’appuyant sur son propre profil et sur un logiciel capable de surveiller le trafic transitant par un routeur WiFi.
Grâce à un script de son cru, l’homme a réussi à récupérer les photos des profils connectés, certes, mais également l’action effectuées par ses soins.
Le chercheur a bien entendu fait remonter ses découvertes à l’éditeur de la solution, mais Tinder n’a pas encore corrigé le problème. En revanche, un porte-parole de l’entreprise a déclaré à Wired que la sécurité de ses utilisateurs faisait – inévitablement – partie des priorités de la compagnie.
Là, c’est sûr, on est rassuré.
