Une faille de sécurité permet aux hackers malveillants d’intercepter toutes les photos et “swipes” sur Tinder.

Tinderdrift

Erez Yalon, un expert en sécurité de la société Checkmarx située à Tel Aviv a découvert que n’importe quel hacker surfant sur le même réseau Wi-Fi que vous pouvait avoir accès à toutes les photos et préférences de votre compte Tinder.

Il s’est en effet rendu compte que l’application n’utilisait pas de chiffrement HTTPS, permettant aux personnes mal intentionnées de voir les photos des utilisateurs. Selon Yalon il est possible de simuler exactement ce que l’utilisateur voit sur son écran et donc quelles sont ses préférences sexuelles. Dans la vidéo présente ci-dessous, une démonstration est faite via un logiciel conçu par le chercheur, TinderDrift, capable d’afficher sur un laptop les photos d’un compte Tinder vue à partir d’un smartphone Android ou d’un iPhone, ainsi que les “matches” effectués.

Le logiciel utilise donc cette lacune de chiffrement en se connectant au même réseau Wi-Fi que le smartphone tout en exploitant le chiffrement, bien présent celui-là, mais présentant toujours le même modèle, des “swipes”. Un swipe vers la gauche (pour le rejet de la photo) est ainsi codé sur 278 octets, un swipe vers la droite (correspondant à un like) sur 374 octets et un match sur 581 octets. Comme démontré dans la vidéo, cette constante permet donc au logiciel TinderDrift de traduire en temps réel toutes ces actions de rejet, d’approbation et de match du réseau de rencontre. Heureusement, les messages transmis en cas de “match” ne sont quant à eux pas exposés.

Yalon a communiqué cette faille majeure à Tinder en novembre 2017, mais la société n’a toujours pas résolu le problème depuis. Un de ses porte-paroles a simplement précisé que “comme toutes les autres sociétés technologiques, nous améliorons constamment nos défenses contre les hackers malveillants”.