MONASTUCE Le 1er blog ivoirien dédié à la sécurité informatique et à la cybersécurité
Si vous n’étiez pas assez nerveux à l’idée de rencontrer un inconnu après vous être connecté sur une application de rencontres en ligne, il y a autre chose à craindre.
Savez vous à quel point votre application conserve-t-elle vos informations personnelles et votre position ?
Le constat
Les chercheurs de Kaspersky se sont penchés sur un certain nombre d’applications de rencontres en ligne pour Android et iOS, et ont constaté que certaines d’entre elles font un piètre travail de sécurisation des détails des utilisateurs.
Premièrement, certaines applications encouragent les utilisateurs à entrer leur lieu de travail sur leur profil:
Tout d’abord, nous avons vérifié à quel point il était facile de suivre les utilisateurs avec les données disponibles dans l’application. Si l’application incluait une option pour montrer votre lieu de travail, il était assez facile de faire correspondre le nom d’un utilisateur et sa page sur un réseau social. Cela pourrait permettre aux criminels de recueillir beaucoup plus de données sur la victime, de suivre leurs mouvements, d’identifier leur cercle d’amis et de connaissances. Ces données peuvent ensuite être utilisées pour traquer la victime.
Plus spécifiquement, les utilisateurs de Tinder, Happn et Bumble peuvent ajouter des informations sur leur travail et leur éducation. En utilisant cette information, nous avons réussi dans 60% des cas à identifier les pages des utilisateurs sur différents médias sociaux, y compris Facebook et LinkedIn, ainsi que leurs noms et prénoms.
Ensuite, certaines applications de rencontres ont été trouvées pour suivre l’emplacement des utilisateurs; affichant la distance entre une partie malveillante et une cible. Si une cible restait à un endroit, un pirate informatique pourrait alimenter une application bidon de coordonnées et recevoir des informations sur sa distance relative pour retrouver l’emplacement de la personne qui l’intéressait.
Les chercheurs ont signalé que les utilisateurs des applications Tinder, Mamba, Zoosk, Happn, WeChat et Paktor étaient particulièrement susceptibles de voir leur localisation déterminée.
Pendant ce temps, certaines applications se sont rendues coupables d’échecs de sécurité élémentaires – en transmettant des informations sensibles dans un format non crypté, ouvrant ainsi la possibilité d’une attaque pour intercepter les données en transit:
La plupart des applications utilisent le protocole SSL lors de la communication avec un serveur, mais certaines choses restent non cryptées. Par exemple, Tinder, Paktor et Bumble pour Android et la version iOS de Badoo téléchargent des photos via HTTP, c’est-à-dire en format non crypté. Cela permet à un attaquant, par exemple, de voir les comptes que la victime est en train de voir.
Lire aussi: Comment sécuriser votre réseau informatique en 7 étapes
La solution au problème
La première règle doit toujours être de réfléchir soigneusement aux informations que vous partagez en ligne (y compris dans les applications de rencontres). Même si les informations que vous avez fournies à l’application ne suffisent pas à vous identifier, souvenez-vous qu’il y a de fortes chances que vous ayez laissé beaucoup d’autres informations vous concernant sur Internet (peut-être sur Facebook sur LinkedIn par exemple) permettant à quelqu’un de vous traquer.
Avec votre image, il peut être possible pour un attaquant de mener ce qu’on appelle des « recherches d’images inversées »; plutôt que de taper des mots dans un moteur de recherche pour chercher quelque chose, quelqu’un pourrait utiliser l’image que vous avez postée sur une application de rencontres afin de faire apparaître des images similaires ligne.
Je suppose que beaucoup de gens peuvent être très heureux d’utiliser le même cliché flatteur d’eux-mêmes dans une application de rencontres que sur un réseau social .
L’autre problème est que certaines de ces applications sont clairement mal écrites. Votre application de rencontres peut contenir des vulnérabilités qui pourraient vous conduire à divulguer involontairement vos informations personnelles, ou fournir des indices susceptibles d’amener quelqu’un à déterminer votre véritable identité ou localisation.
En fonction de la vulnérabilité, il peut y avoir des moyens de vous protéger, mais je vous recommande de toujours d’utiliser un VPN sécurisé pour protéger votre vie privée lorsque vous êtes connecté au réseau via Wi-Fi public (encore mieux utiliser la 3G ou la 4G si vous n’êtes pas sûr du Wi-Fi); et en règle générale, ne partagez que des informations qui ne vous gêneront pas en ligne ou en public.
Lire aussi: Sécuriser son compte #Google plus que jamais
