Plusieurs applications de rencontres affichées sur un smartphone © Tada Images / Shutterstock
Plusieurs applications de rencontres affichées sur un smartphone © Tada Images / Shutterstock

Quelques-unes des plus grandes applications de rencontres comme Hinge ou Bumble souffrent d'une vulnérabilité inquiétante. Cette dernière pourrait permettre à des pirates de localiser les utilisateurs.

Les applications de rencontre sont devenues un moyen extrêmement populaire pour les personnes d'effectuer des rencontres. Et pour ce faire, les utilisateurs ont tendance à ouvrir à l'application l'accès à de nombreuses données personnelles, et notamment la géolocalisation, afin de se voir présenter des personnes vivant dans les alentours. Malheureusement, cette fonctionnalité a aussi des faiblesses, comme le montre une nouvelle étude.

Une vulnérabilité dans le système de localisation

Le papier que des chercheurs de l'université belge KU Leuven viennent de publier est intéressant. Ces chercheurs ont en effet analysé 15 applications de rencontre, parmi lesquelles Bumble, Hinge, Happn, Grindr et Badoo, et découvert qu'il était possible pour des personnes malveillantes d'utiliser une vulnérabilité présente sur ces applications pour localiser « à deux mètres » un utilisateur.

Les chercheurs ont utilisé une technique baptisée « triangulation de l'oracle. » La première étape de cette technique est « d'estimer grossièrement la position de la victime », grâce notamment aux indications de l'application. Ensuite, il est nécessaire de se déplacer par incréments, « jusqu'à ce que l'oracle indique que la victime n'est plus à proximité, et ce, pour trois directions différentes. L'attaquant dispose maintenant de trois positions dont la distance exacte est connue, c'est-à-dire la distance de proximité présélectionnée, et peut trilatéraliser la victime » expliquent les chercheurs.

Plusieurs applications ont déjà réagi

Bumble, Badoo et Hinge affichaient une vulnérabilité à cette technique. De son côté, Grindr s'est montré « susceptible de faire l'objet d'une trilatération à distance exacte », quand la « trilatération à distance arrondie » pouvait être utilisée sur Happn.

La plupart des sociétés ont depuis été contactées. Bumble (à qui appartient aussi Badoo), dit avoir « rapidement résolu les problèmes évoqués. » Happn de son côté a expliqué à TechCrunch avoir discuté avec l'équipe de chercheurs belges et indiqué que la recherche n'aurait pas pris en compte une couche supplémentaire de sécurité. La direction de Grindr a elle simplement rappelé qu'indiquer ou non la localisation d'un compte restait à la pleine discrétion de l'utilisateur. Enfin, Hinge n'a pas fait de commentaire à ce stade.

Quelles sont les meilleures applications de rencontre ? Comparatif 2024
A découvrir
Quelles sont les meilleures applications de rencontre ? Comparatif 2024

22 juillet 2024 à 17h20

Comparatifs services

Source : Engadget