Les applications de rencontres dotées de filtres de proximité peuvent être utilisées pour localiser de façon précise les utilisateurs, ce qui peut parfois déboucher sur des cas de cyber-harcèlement ou menacer l’intégrité physique des utilisateurs.
Des applications de rencontre dangereuses pour les utilisateurs
Les principales applications de rencontres, dont Bumble et Hinge, peuvent être exploitées pour révéler des données sensibles, comme l’emplacement exact d’un utilisateur, selon une étude.
Le groupe de chercheurs, à l’origine de cette découverte, affirme qu’elle représente une menace sérieuse pour l’intégrité physique des utilisateurs, avec un risque non négligeable pour les utilisateurs d’être victimes d’une agression physique ou de cyber harcèlement.
L’information a été révélée par un article universitaire publié par des chercheurs de la KU Leuven, en Belgique. L’article se base sur une évaluation de 15 applications de rencontres les plus populaires au monde, dont notamment les deux plus populaires sur le marché (Bumble et Hinge), mais également d’autres applications réputées comme : Tinder, OkCupid, Grindr, Badoo, Plenty of Fish et Happn. La plupart de ces applications permettent de suivre et de localiser les utilisateurs sans avoir recours à des techniques de piratage.
Mais chose encore plus grave, les politiques de confidentialité de ces applications ne mettraient pas en garde les utilisateurs sur les risques de harcèlement.
Toutes ces applications de rencontres ont besoin de localiser un téléphone pour connaître la position exacte de l’utilisateur pour les aider à trouver des partenaires potentiels à proximité ou à filtrer les profils en fonction du paramètre de proximité. Bien que la plupart de ces applications, à l’exception de Tantan, ne communiquent pas la position exacte aux personnes qui se rencontrent, l’absence de mesures de protection peut permettre à une personne de déterminer la position géographique exacte d’une autre personne.
On peut connaître la position d’un utilisateur sans utiliser des méthodes complexes
Même si elles ne révèlent pas la position exacte d’un utilisateur, la plupart des applications indiquent la distance entre deux utilisateurs. Cette distance peut être exploitée pour déterminer l’emplacement précis d’une autre personne à l’aide d’une technique de géolocalisation appelée « trilatération ».
En utilisant la distance qui sépare un utilisateur d’un autre, une personne mal intentionnée peut définir un emplacement provisoire à l’intérieur d’un cercle sur la carte. L’intersection d’au moins trois de ces cercles permet de déterminer l’emplacement exact d’un utilisateur.
Les chercheurs ont également mis le doigt sur une technique plus sophistiquée appelée « trilatération par oracle ». Cette technique permet à des pirates informatiques d’estimer l’emplacement de leur victime, d’usurper le leur et d’utiliser les filtres de proximité pour identifier l’emplacement exact de la cible avec des essais persistants. Tinder et Lovoo sont les seules applications qui empêchent la localisation précise en utilisant une technique appelée « grid snapping », qui utilise de grandes grilles de zones géographiques et n’affiche que la distance approximative entre deux utilisateurs.
Les chercheurs soulignent que les informations de localisation divulguées peuvent également être utilisées pour identifier les lieux fréquemment visités, tels que le lieu de travail ou le domicile.
Ces informations très sensibles peuvent être exploitées pour nuire à tout utilisateur par le biais de la traque, du harcèlement ou de l’atteinte à la réputation.
En outre, elles peuvent exploiter les minorités qui souhaiteraient garder leurs données démographiques confidentielles, comme la communauté LGBTQ+, dans des lieux où leur sécurité est socialement menacée.
D’autres données sensibles sont vulnérables
D’autres données sensibles peuvent également être exposées sur certaines applications. Des personnes malveillantes pourraient être incitées à utiliser ces techniques sur un téléphone espionné pour recueillir des informations supplémentaires sur leur victime. La plupart des applications de rencontre testées par le groupe universitaire demandent par exemple aux utilisateurs d’indiquer leur nom et leurs préférences par rapport à la relation qu’ils recherchent.
Plus de la moitié des 15 applications permettent aux utilisateurs de consulter le profil complet d’un autre utilisateur – ou d’enregistrer un lien direct – qui peut être utilisé pour recueillir d’autres informations.
L’étude universitaire révèle également que des portes dérobées, présentes dans les applications, permettraient également à des utilisateurs disposant d’une expertise technique approfondie en programmation, d’utiliser des points d’accès d’API vulnérables pour effectuer un profilage à grande échelle des utilisateurs.
Des failles de sécurité liées à l’API peuvent être exploitées pour déterminer, par exemple, les mentions « J’aime » d’autres utilisateurs, y compris l’heure exacte des mentions « J’aime », ou même pour fouiller dans leur activité récente.
Les chercheurs ont déjà contacté les équipes techniques chargées de la sécurité informatique des applications pour leur communiquer le résultat de leur recherche. La publication de cette étude dans la presse ne devrait pas rester lettre morte. Sur les quinze applications incriminées, les équipes techniques de 12 applications ont déjà répondu à l’équipe de chercheurs et neuf d’entre elles ont entamé des discussions approfondies avec le groupe de recherche afin de combler les lacunes identifiées.