Une application de partouze laisse fuiter les données personnelles et les photos de ses utilisateurs,
y compris ceux de la Maison-Blanche et de la Cour suprême
Les applications de rencontre sont devenues aujourd’hui très nombreuses, pour ne pas dire qu’elles ont proliféré ces dernières années. Mais selon Pen Test Partners, ces applications présentent un risque d’insécurité très élevé. Il a annoncé cette semaine avoir constaté une assez mauvaise sécurité dans les applications de rencontres au cours des dernières années, notamment, des violations de données personnelles, des fuites de données d'utilisateurs et plus encore. Il présente le cas particulier de 3Fun qui, selon lui, présente énormément de défauts et est probablement la pire sécurité pour toute application de rencontres qu’il ait jamais vue.
Comme présenté par ses développeurs au sein des différents magasins d’applications d’Apple et de Google, 3Fun est une application très populaire utilisée pour rencontrer des célibataires et des couples locaux ouverts d'esprit. Dans sa description, l’équipe de 3Fun a mis l’accent sur la protection de la vie et la confidentialité des données de ses utilisateurs. « Vie privée protégée : Vous pouvez simplement télécharger une photo dans votre album », a-t-elle écrit. Mais selon les analyses de Pen Test Partners, un cabinet de cybersécurité, aucune mesure de sécurité n’est garantie.
Selon les investigations de Pen Test Partners (PTP), 3Fun expose l'emplacement en temps réel de tout utilisateur qu’il soit au travail, à la maison, en déplacement, en bref partout. Il expose les dates de naissance, les préférences sexuelles et les données de discussion des utilisateurs. Il expose aussi les images privées des utilisateurs, même si la confidentialité est définie. D’après PTP, plusieurs applications de rencontres, y compris Grindr, ont déjà eu des problèmes de divulgation de la localisation de l'utilisateur, via ce que l'on appelle la « trilatération ». Cela offre de nombreuses possibilités de pistage de l’utilisateur.
Cette faille permet à un attaquant de profiter de la fonctionnalité « distance de moi » dans une application et de la tromper. En usurpant votre position GPS et en regardant les distances de l'utilisateur, l’on peut obtenir de façon exacte votre position. Mais, d’après Pen Test Partners, 3Fun est différent. Le cabinet de cybersécurité a déclaré que l’application ne fait que « divulguer » votre position via les requêtes qu'elle reçoit. C'est un ordre de grandeur moins sécurisé. Vous pouvez découvrir un exemple test de cette divulgation dans une démo présentée par Pen Test Partners sur son site Web.
Dans la façon dont 3Fun partage votre position en temps réel, la latitude et la longitude de l'utilisateur sont divulguées. Par conséquent, il n’y a pas besoin d’utiliser la trilatération. L’utilisateur peut toutefois essayer de limiter l’envoi de sa latitude et de sa longitude pour ne pas dévoiler sa position. Mais selon le cabinet, ces données ne sont filtrées que dans l’application mobile elle-même, mais pas sur le serveur. Il est simplement masqué dans l'interface de l'application mobile si l'indicateur de confidentialité est défini. Le filtrage étant du côté client, l'API peut toujours être interrogée pour les données de position.
Pen Test Partners a pu récupérer la position exacte de nombreuses personnes qui utilisent 3Fun au Royaume-Uni et Washington DC. Il en a même trouvé un qui travaille à la Maison-Blanche, un situé à Downing Street à Londres et plus précisément encore, il en a trouvé un dans les bureaux de la Cour Suprême des États-Unis. De plus, dans une portion de code partagée par Pen Test Partners, l’on note la divulgation de plusieurs types d’informations dont la date d’anniversaire d’un utilisateur. En gros, il s’agit de données qui peuvent permettre de connaître l’identité réelle d’un utilisateur de l'application 3Fun. Ces données peuvent être utilisées pour traquer les utilisateurs en temps réel, exposer leurs activités privées ou pire encore.
Ensuite, c'est devenu vraiment inquiétant. Les photos privées sont également exposées, même lorsque les paramètres de confidentialité sont en place. Les URI sont divulgués dans les réponses de l’API. Pen Test Partners a réussi à extraire l’image d’un utilisateur. Selon Pen Test Partners, il existe de nombreuses autres vulnérabilités, basées sur le code de l'application mobile et de l'API, mais le cabinet ne peut pas les vérifier.
Un effet secondaire était que le cabinet pouvait interroger le sexe de l'utilisateur et calculer le rapport (par exemple) entre hommes hétérosexuels et femmes hétérosexuelles. Sur le coup, Pen Test Partners a indiqué qu’il a contacté 3Fun au sujet des vulnérabilités le 1er juillet et leur a demandé de corriger ces failles de sécurité, car les données personnelles étaient exposées. Ainsi, 3Fun est intervenu assez rapidement et a résolu le problème, mais selon le cabinet, il est vraiment dommage que tant de données très personnelles aient été exposées pendant si longtemps.
« Les problèmes de trilatération et d'exposition des utilisateurs avec grindr et d'autres applications sont mauvais. C'est bien pire. Il est facile de suivre les utilisateurs en temps réel, en découvrant des informations et des photos très personnelles », a conclu Pen Test Partners. Notez que dans les démonstrations de Pen Test Partners, une simple requête GET non sécurisée renvoie des données sensibles et privées.
Source : Pen Test Partners
Et vous ?
Qu'en pensez-vous ?
Voir aussi
NY : un projet de loi veut obliger les entreprises à divulguer leur utilisation des données personnelles aux particuliers qui en font la demande
Confidentialité : l'API Grindr continue d'exposer l'emplacement de ses utilisateurs, ainsi que d'autres informations de profil y compris le statut VIH
Le NYT porte plainte contre la FCC, car elle refuse de divulguer des données, confirmant l'ingérence russe dans l'abrogation de la neutralité du Net
Partager