BFM Business

Une faille permet de voir ce que vous faites sur Tinder

Le logiciel TinderDrift permet d'afficher les swipes d'un utilisateur

Le logiciel TinderDrift permet d'afficher les swipes d'un utilisateur - Capture d'écran

Un chercheur révèle qu’une faille Tinder permet à un hacker connecté au même réseau wifi que vous de voir vos swipes et vos matches.

Que diriez-vous si votre voisin de table pouvait espionner votre compte Tinder? Sachez qu'une faille de sécurité permet à un hacker de voir sur son propre écran si vous avez "swipé" à droite le profil d’une personne qui vous plaît, ou à gauche (pour le refuser). Il lui suffit d’être connecté au même réseau wifi que vous, a repéré 01net sur Wired.

Cette faille a été découverte par Erez Yalon, un expert en sécurité de la société israélienne Checkmarx. Dans une vidéo, il révèle comment son logiciel TinderDrift peut accéder à l’activité d’un internaute connecté sur un smartphone Android ou IOS. “On peut tout savoir: ce que la personne fait, quelles sont ses préférences sexuelles”, explique Erez Yalon, interrogé par le magazine américain Wired.

Deux vulnérabilités combinées 

Cet expert a repéré que les photos étaient transmises depuis et vers le téléphone sans chiffrement HTTPS (protocole de transfert hypertexte sécurisé), ce qui rend leur interception relativement simple. Le logiciel combine cette vulnérabilité avec une autre lacune en sécurité de l'application.

Tinder chiffre les swipes vers la droite, la gauche et les matches (quand deux profils se sont validés) toujours sous le même modèle, a repéré 01net . Le rejet d’un profil est codé sur 278 octets, le like sur 374 octets et le match sur 581 octets. Ils sont donc facilement identifiables. "C’est la combinaison de ces deux vulnérabilités simples qui crée un problème majeur de vie privée", affirme Erez Yalon.

"Comme toutes les autres sociétés technologiques, nous améliorons constamment nos défenses contre les hackers malveillants", précise un porte-parole de Tinder à Wired. Pourtant, Erez Yalon affirme qu’il a prévenu Tinder de cette faille en novembre 2017, mais que rien n’a pour l'instant été fait pour y remédier.

Pauline Dumonteil