Si elles offrent une proximité séduisant, les applications de rencontrent cachent de sérieux risques pour la vie privée. Un concept qui peut presque relever de l'illusion.
La relation démarre peut-être à distance, mais dans l'univers des rencontres en ligne, la proximité géographique est devenue un critère de plus en plus important. Les utilisateurs peuvent, grâce aux données de localisation, identifier de potentiels partenaires à quelques kilomètres ou centaines de mètres de chez eux. Mais, et c'est un peu le revers de la médaille, la fonctionnalité présente des risques pour la vie privée mais aussi pour la sécurité des membres des applications de rencontres.
Même si des mesures de protection existent, les utilisateurs d'applis de rencontres restent sujets à la trilatération
Pour mettre en relation les utilisateurs, les applications de rencontres reposent sur la géolocalisation. La pratique expose les utilisateurs à des risques de sécurité, citons par exemple la trilatération. Cette technique permet de déterminer la position exacte d'une personne en analysant les données de localisation de différentes sources. Autrement dit, on se base sur les coordonnées de plusieurs points et sur la distance qui les sépare.
Des individus malintentionnés peuvent exploiter ces informations pour tracer les utilisateurs et suivre leurs déplacements. Les membres inscrits sont alors sous la menace, que ce soit en ce qui concerne leur vie privée ou leur intégrité physique. Il faut tout de même que les individus en question disposent de certaines compétences techniques, comme la trilatération.
Les développeurs d'applications de ce type ont bien pris des mesures pour protéger les données de géolocalisation des utilisateurs. On peut évoquer l'approximation des coordonnées géographiques, la modification aléatoire des distances affichées, ainsi que la possibilité pour les utilisateurs de masquer leur positon exacte. Mais toutes ces précautions ne suffisent pas à colmater les brèches.
11 février 2024 à 10h18
Calculer la distance entre différents utilisateurs est possible
Une analyse de deux applications de rencontres populaires révèle des pratiques assez divergentes en matière de sécurité de la géolocalisation. La première utilise un système de codage (sous la forme d'un geohash à 12 chiffres) pour réduire la précision de la localisation en arrondissant les coordonnées géographiques à la troisième décimale.
La seconde, Hornet, envoie des coordonnées précises au serveur. Elle s'en défend en expliquant protéger les positions des utilisateurs grâce au caractère aléatoire de la distance affichée dans l'application. Selon l'application, cela empêche de déterminer l'emplacement exact. Il est néanmoins possible de désactiver la fonction de localisation depuis son profil. Notons que c'est en grande partie grâce aux experts cyber de Check Point Research que l'application a ajouté cette fonctionnalité.
Check Point montre que sur l'appli Hornet, si deux utilisateurs bien positionnés dans les résultats de recherche de l'appli acceptent de partager leur localisation, et que l'utilisateur cible se situe entre eux dans ces résultats, on peut carrément faire une estimation de la distance par rapport à l'utilisateur cible, en calculant la moyenne des deux distances connues. Il n'est néanmoins pas nécessaire d'avoir d'autres membres à proximité. Créer un compte supplémentaire dont on peut contrôler la localisation peut suffire.
Après avoir suivi la traditionnelle procédure de divulgation responsable, l'équipe de recherche a tenté de contacter Hornet pour partager les résultats de son étude. Elle n'a pas reçu de réponse. Cependant, juste avant la publication des conclusions, une réévaluation de l'application a montré que des mesures avaient été prises pour réduire la précision des coordonnées des utilisateurs, sans réponse plus détaillée toutefois de l'équipe de développement.
22 juillet 2024 à 17h20
Faire attention aux autorisations accordées aux applications de rencontres : le conseil de base
L'examen détaillé de l'application Hornet a révélé plusieurs particularités dans la gestion des données de localisation. Par exemple, les développeurs de l'application modifient de manière aléatoire la distance affichée entre les profils d'utilisateurs au niveau du serveur, ce qui limite la précision de la localisation.
Ajoutons à cela qu'une méthode de trilatération a été employée pour déterminer les distances avec une précision supérieure. Cette méthode consiste, rappelons-le, à utiliser plusieurs points de référence pour estimer la position d'un utilisateur, ce qui pourrait être utilisé pour contourner les mesures de sécurité mises en place par l'application.
Ces découvertes montrent bien en tout cas les enjeux liés à la protection de la vie privée dans les applications de rencontres. Tout cela met en évidence l'importance pour les utilisateurs de comprendre les risques associés à la géolocalisation. C'est d'ailleurs pour cela que Check Point Reseach recommande aux utilisateurs d'examiner attentivement les autorisations accordées aux applications, et de prendre des mesures pour protéger leur vie privée, en désactivant notamment les services de localisation dès que possible.