Tinder: regardez facilement un pirate espionner un flux de photos et balayez

Tinder a été violé. Selon un rapport publié mardi par la société de sécurité des applications Checkmarx, des vulnérabilités dans le cryptage de Tinder pourraient permettre aux pirates d’espionner les comptes actifs de Tinder.

En se connectant simplement au même réseau wifi, les espions Tinder peuvent puiser dans le flux de photos d’un utilisateur Tinder. Cela est possible car Tinder n’utilise pas le cryptage HTTPS lors du transfert de photos (contenues dans des «paquets» d’informations) vers l’application. À l’aide d’un programme appelé «renifleur de paquets», les pirates peuvent télécharger n’importe quel paquet envoyé sur le même réseau wifi et, s’ils ne sont pas chiffrés, en examiner le contenu.

Du fait que ces images sont déjà techniquement disponibles pour le visionnement public, les fouineurs ne glanent aucune information privée; Pourtant, c’est tout à fait effrayant ce qu’ils peuvent voir en termes d’interaction avec eux.

Bien que Tinder utilise le cryptage HTTPS pour effectuer des opérations telles que le balayage, les chercheurs de Checkmarx ont également trouvé une solution. Lorsque vous faites glisser votre doigt sur l'application, votre téléphone envoie des informations à votre réseau wifi qui correspondent à cette action, toujours dans un paquet. Les balayages étant cryptés, une personne qui examine ces informations ne devrait pas être en mesure de comprendre ce que cela signifie. Mais les balayages Tinder ne sont disponibles qu'en trois variétés: balayage gauche, balayage droit et super similaire. La manière dont le cryptage est configuré, chaque fois que vous glissez à gauche, le paquet aura la même taille. Chaque balayage étant associé à une taille de paquet distincte qui ne change pas, un observateur peut voir efficacement ce que vous faites en examinant la taille du paquet plutôt que les informations qu’il contient. Avec les bons outils, c’est comme si quelqu'un regardait votre écran.

Ce qui est vraiment alarmant, c’est que les pirates informatiques pourraient insérer leurs propres images dans le flux de photos d’un utilisateur en interceptant le trafic non chiffré, selon Checkmarx.

Il est facile d’imaginer les conséquences potentielles. Des photos de bite non sollicitées seraient la pointe de l'iceberg; les publicités, les menaces et les mèmes Tide Pod pourraient tous s'infiltrer dans votre application.

En plus d’être carrément embarrassant, Checkmarx affirme que cette vulnérabilité pourrait servir à faire chanter ou à exposer les habitudes des utilisateurs. Checkmarx dit qu'ils ont notifié la vulnérabilité à Tinder en novembre, mais qu'ils ne l'ont pas encore corrigée.

Dans une déclaration à Inverse, un porte-parole de Tinder a déclaré: «Nous travaillons également au cryptage des images sur notre expérience d’application. Cependant, nous n'entendons pas plus en détail les outils de sécurité spécifiques que nous utilisons, ni les améliorations que nous pourrions implémenter pour éviter de laisser tomber des informations seraient des pirates."

Jusqu'à ce que Tinder propose une solution, le moyen le plus simple de se défendre contre les spectateurs numériques est simple: ne faites pas glisser votre doigt en public.