Ça vous dirait qu’un hacker puisse avoir accès à votre profil Tinder ? Il pourrait voir les photos affichées sur votre écran et même savoir si vous avez swipé à droite ou à gauche pour accepter ou refuser l’un des profils qui vous est proposé. Eh bien c’est exactement ce qu’il est possible de faire si le hacker en question se trouve sur le même réseau Wi-Fi que vous.
Cette découverte a été faite par Erez Yalon, un expert en sécurité de la société israélienne Checkmarx. Il a découvert que les photos étaient transmises depuis et vers le smartphone sans aucun chiffrement HTTPS. Dans une vidéo, il montre comment son logiciel TinderDrift peut voir exactement les photos affichées sur un smartphone Android ou iOS, mais aussi les matches avec un profil.
Même nombre d’octets pour chaque action
Pour y parvenir, le logiciel combine l’interception de ces photos avec une autre lacune en sécurité de l’application. Tinder chiffre bel et bien les swipes vers la droite, la gauche et les matches, mais chacune de ces informations présente toujours le même modèle.
Un swipe vers la gauche représentant un rejet est toujours codé sur 278 octets, un like grâce à un swipe vers la droite sur 374 octets et un match sur 581 octets. Si l’on ne sait pas à première vue ce qui se trouve dans ces paquets d’informations, leur taille ne laisse donc jamais de doutes.
Une faille toujours pas corrigée depuis novembre
« C’est la combinaison de ces deux vulnérabilités simples qui crée un problème majeur de vie privée », explique Erez Yalon à Wired. En observant les données reçues par un utilisateur et les choix qu’il fait, on peut effectivement rapidement déterminer ses préférences sexuelles.
« Comme toutes les autres sociétés technologiques, nous améliorons constamment nos défenses contre les hackers malveillants », précise un porte-parole de Tinder à Wired. Pourtant, le chercheur explique qu’il a notifié Tinder de cette faille en novembre 2017, mais que rien n’a été fait de la part de la société pour y remédier.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.