Vous n’avez peut-être jamais utilisé Tinder, mais vous en avez probablement déjà entendu parler de cette application de réseautage social.
Nous ne savons pas très bien comment le décrire, mais l’entreprise elle-même propose la description officielle “A Propos de Tinder” suivante:
Les personnes que l’on rencontre peuvent nous changer la vie. Une amitié, un rendez-vous, une histoire d’amour ou même une rencontre par hasard peuvent changer la vie de quelqu’un pour toujours. Tinder offre à ses utilisateurs dans le monde entier, la chance de créer des liens qui n’auraient peut-être jamais vu le jour autrement. Nous développons des produits qui rapprochent les gens.
C’est à peu près aussi clair que de l’eau trouble, donc pour faire simple, nous allons décrire Tinder comme une application de rencontre et de mise en relation qui vous aide à trouver des gens avec qui faire la fête dans votre voisinage proche.
Une fois que vous vous êtes inscrit, que vous avez donné à Tinder l’accès à votre localisation et à aux informations sur votre style de vie, il effectue un call-home vers ses serveurs et récupère des images d’autres utilisateurs Tinder dans votre région (vous pouvez choisir le périmètre dans lequel il doit chercher, la tranche d’âge, et ainsi de suite).
Les images apparaissent l’une après l’autre et vous les balayez vers la gauche si elles ne vous plaisent pas, vers la droite si elles vous conviennent.
Les gens que vous avez sélectionnés en les balayant vers la droite reçoivent alors un message mentionnant que vous les aimez, et l’application Tinder prend en charge les messages à partir de ce moment-là.
Un flux de données énorme
On peut considérer cette revendication comme ringarde, mais Tinder prétend traiter 1.600.000.000 de balayages (swipes) par jour et permettre 1.000.000 de rendez-vous (dates) par semaine.
Avec plus de 11 000 “swipes” par “dates”, la quantité de données échangée entre vous et Tinder est énorme pendant que vous cherchez la bonne personne.
Vous vous attendez donc à ce que Tinder prenne les précautions basiques habituelles pour garder toutes ces images en sécurité, à la fois lorsque les images d’autres personnes vous sont envoyées, et inversement lorsque les vôtres sont envoyées à d’autres.
Par sécurité, bien sûr, nous parlons de la transmission des images de manière confidentielle, mais nous sous-entendons également qu’elles arrivent intactes, assurant ainsi à la fois la confidentialité et l’intégrité.
Sinon, n’importe quelle personne malveillante dans votre bar préféré pourrait facilement voir ce que vous êtes en train de faire, et modifier par la même occasion les images en transit.
Même leur objectif est simplement de vous faire peur, vous vous attendez tout de même à ce que Tinder empêche de telles actions soient possibles, en envoyant tout son trafic via une connexion HTTPS, à savoir une connexion HTTP Sécurisée.
Eh bien, des chercheurs de Checkmarx ont décidé de vérifier ce que Tinder avait véritablement mis en place, et ils ont constaté que lorsque vous accédez à Tinder depuis votre navigateur web, la sécurité est assurée.
Mais sur votre appareil mobile, ils ont constaté que Tinder avait pris des raccourcis en matière de sécurité.
Nous avons mis les déclarations de Checkmarx à l’épreuve, et nos résultats ont corroboré les leurs.
Selon nos observations, tout le trafic Tinder utilise une connexion HTTPS lorsque vous utilisez votre navigateur, avec la plupart des images téléchargées par lots à partir du port 443 (HTTPS) sur images-ssl.gotinder.com.
Le nom de domaine images-ssl aboutit finalement dans le Cloud d’Amazon, mais les serveurs qui fournissent les images ne fonctionnent que via le protocole TLS, vous ne pouvez tout simplement pas vous connecter au bon vieux http://images-ssl.gotinder.com car le serveur ne prendra pas en charge la bonne vieille connexion HTTP.
En passant sur l’application mobile, néanmoins, les téléchargements d’images sont effectués via des URL qui commencent par http://images.gotinder.com, donc elles sont téléchargées de manière non sécurisée, à savoir que toutes les images que vous visionnez peuvent être récupérées ou modifiées en cours de route.
Ironiquement, images.gotinder.com gère les requêtes HTTPS via le port 443, mais vous obtiendrez une erreur de certificat, car il n’existe pas de certificat émis par Tinder pour se rendre sur leur serveur:
Les chercheurs de Checkmarx sont allés encore plus loin, et prétendent que même si chaque swipe est renvoyé à Tinder via un paquet chiffré, ils peuvent tout de même dire si vous avez effectué un swipe à gauche ou à droite parce que les longueurs de paquet sont différentes.
La différenciation des swipes à gauche/droite ne devrait pas être possible à tout moment, mais il s’agit d’un problème beaucoup plus sérieux de fuite de données lorsque les images que vous avez sélectionnées par swipe ont déjà été révélées à votre voisin curieux et peu scrupuleux.
Quoi faire ?
Nous n’arrivons pas à comprendre pourquoi Tinder a programmé différemment son site web classique et son application mobile, mais nous nous sommes habitués aux applications mobiles qui avaient été négligées vis à vis de leurs homologues de bureau en matière de cybersécurité.
Alors…
- Pour les utilisateurs Tinder: si vous avez des inquiétudes concernant de potentiels curieux dans le coin d’un café, qui pourraient vous espionner par le biais de votre connexion Wi-Fi, arrêtez d’utiliser l’application Tinder et contentez-vous de leur site internet classique.
- Pour les programmeurs Tinder: vous avez déjà toutes les images sur des serveurs sécurisés, alors arrêtez de prendre certains raccourcis en matière de sécurité (nous supposons que vous avez estimé que cela accélérerait un peu plus l’application mobile si les images n’étaient pas chiffrées). Modifiez votre application mobile afin qu’elle puisse prendre en charge la connexion HTTPS du début à la fin.
- Pour les ingénieurs logiciels du monde entier: ne laissez pas les chefs de produit de vos applications mobiles prendre des raccourcis en matière de sécurité. Si vous sous-traitez votre développement mobile, ne laissez pas l’équipe design vous convaincre de laisser la forme prendre le dessus sur la fonction.
Billet inspiré de Tinder user? Lack of encryption means stalkers can watch you at it…, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.