1,5 million de photos explicites d'applications de rencontre ont été accessibles à tous

Partager ses photos les plus intimes sur des applications de rencontre pourrait coûter cher aux près d'un million d'utilisateurs de cinq plateformes spécialisées. Des chercheurs ont en effet découvert que jusqu'à la fin du mois de mars 2025, il était possible d'accéder facilement aux photos privées (le plus souvent explicites) d'utilisateurs.

Les applications concernées sont toutes développées par M.A.D. Mobile: il s'agit du site BDSM People, et Chica, et des apps LGBTQIA+, dont Brish, Pinks et Translove, écrit la BBC.

Des photos privées accessibles à tous

Concrètement, en analysant le code de ces applications, le hacker éthique Aras Nazarovas, de Cybernews, a découvert une faille de sécurité permettant d'accéder à l'emplacement de stockage où se trouvaient 1,5 million de photos non chiffrées et sans aucun mot de passe: "La première application sur laquelle j'ai enquêté était BDSM People, et la première image du dossier était un homme nu d'une trentaine d'années," explique-t-il.

Il n'y avait pas que des images de profil, mais aussi des photos envoyées dans le cadre d'échanges avec d'autres utilisateurs, dont certaines ont pourtant été supprimées par des modérateurs.

Aras Nazarovas, qui a prévenu l'entreprise à la fin du mois de janvier, n'a jamais eu de réponse, et la faille n'a finalement été comblée que vendredi 28 mars, après un échange de mails avec la BBC. Dans celui-ci, M.A.D. Mobile reconnaissait cette faille, remerciant le chercheur pour sa découverte, et indiquant qu'une mise à jour allait prochainement être déployée. C'est chose faite depuis, comme l'a constaté Tech&Co.

Il reste néanmoins des doutes sur la vulnérabilité, et notamment si elle a déjà été utilisée par des pirates moins scrupuleux. Un élément qui est d'autant plus important à savoir que ces applications peuvent mettre en danger les utilisateurs dans certains pays. L'éditeur de ces applications n'a pas répondu à davantage de questions.

Les applications de rencontres sensibles sont régulièrement pointées du doigt pour leur vision toute relative des données privées. En juillet 2024, l'application gay Grindr avait été condamnée à une amende record de 5,7 millions d'euros en Norvège car elle avait partagé illégalement des données sensibles sur ces utilisateurs.