Un groupe de chercheurs a dclar avoir dcouvert que des vulnrabilits dans la conception de certaines applications de rencontres permettaient des utilisateurs malveillants ou des harceleurs de localiser leurs victimes deux mtres prs. Pour localiser prcisment un utilisateur cible, les chercheurs ont utilis une nouvelle technique appele « trilatration de l’oracle« . Cette dcouverte devrait inciter les applications de rencontres reconsidrer leurs pratiques de collecte de donnes, protger et donner aux utilisateurs le contrle de leurs donnes, donc leurs vies prives.
En 2021, une vulnrabilit de scurit dans l’application de rencontres populaire Bumble a permis aux attaquants de localiser avec prcision l’emplacement prcis d’autres utilisateurs. Bumble, qui compte plus de 100 millions d’utilisateurs dans le monde, mule la fonctionnalit « glisser vers la droite » de Tinder pour dclarer son intrt pour des dates potentielles et pour montrer la distance gographique approximative des utilisateurs par rapport aux « correspondances » potentielles. l’aide de faux profils Bumble, un chercheur en scurit a conu et excut une attaque de « trilatration » qui a dtermin l’emplacement prcis d’une victime imaginaire. En consquence, Bumble a corrig une vulnrabilit qui posait un risque de harclement si elle n’avait pas t rsolue.
l’poque, le chercheur s’est appuy sur une vulnrabilit de trilatration similaire dcouverte dans Tinder en 2013. Depuis, Tinder a corrig cette vulnrabilit en calculant et en arrondissant les distances sur leurs serveurs avant de transmettre des valeurs entirement arrondies l’application. Bumble semble avoir imit cette approche, mais n’a nanmoins pas russi contrecarrer l’attaque prcise de trilatration. Des vulnrabilits similaires dans les applications de rencontres ont galement t divulgues par des chercheurs de Synack en 2015, la diffrence subtile tant que leurs attaques de « triangulation » impliquaient l’utilisation de la trigonomtrie pour dterminer les distances.
Rcemment, un groupe de chercheurs a dclar avoir dcouvert que des vulnrabilits dans la conception de certaines applications de rencontres, dont les populaires Bumble et Hinge, permettaient des utilisateurs malveillants ou des harceleurs de localiser leurs victimes deux mtres prs. Les chercheurs de l’universit belge KU Leuven ont dtaill leurs conclusions en analysant 15 applications de rencontres populaires. Parmi celles-ci, Badoo, Bumble, Grindr, happn, Hinge et Hily prsentaient toutes la mme vulnrabilit qui aurait pu permettre un utilisateur malveillant d’identifier l’emplacement quasi exact d’un autre utilisateur, selon les chercheurs.
Bien qu’aucune de ces applications ne partage les emplacements exacts lorsqu’elles affichent la distance entre les utilisateurs sur leurs profils, elles utilisent les emplacements exacts pour la fonction « filtres » des applications. D’une manire gnrale, les filtres permettent aux utilisateurs d’adapter leur recherche de partenaires en fonction de critres tels que l’ge, la taille, le type de relation qu’ils recherchent et, surtout, la distance.
Pour localiser prcisment un utilisateur cible, les chercheurs ont utilis une nouvelle technique appele « trilatration de l’oracle« . En gnral, la trilatration, utilise par exemple dans le GPS, consiste utiliser trois points et mesurer leur distance par rapport la cible. Cela cre trois cercles qui se croisent au point o se trouve la cible.
La trilatration Oracle fonctionne lgrement diffremment. Selon les chercheurs, « la premire tape pour la personne qui veut identifier la position de sa cible « estime grossirement la position de la victime », par exemple en se basant sur la position affiche dans le profil de la cible. Ensuite, l’attaquant se dplace par incrments « jusqu’ ce que l’oracle indique que la victime n’est plus proximit, et ce pour trois directions diffrentes ». L’attaquant a maintenant trois positions avec une distance exacte connue, c’est–dire la distance de proximit prslectionne, et peut trilatraliser la victime« .
« Il tait quelque peu surprenant que des problmes connus soient encore prsents dans ces applications populaires« , a dclar Karel Dhondt, l’un des chercheurs. Bien que cette technique ne rvle pas les coordonnes GPS exactes de la victime, « je dirais que 2 mtres sont suffisamment proches pour identifier l’utilisateur« , a dclar M. Dhondt.
La bonne nouvelle, c’est que toutes les applications qui prsentaient ces problmes, et que les chercheurs ont contactes, ont maintenant modifi la faon dont les filtres de distance fonctionnent et ne sont pas vulnrables la technique de trilatration de l’oracle. Selon les chercheurs, la solution consistait arrondir les coordonnes exactes par trois dcimales, ce qui les rendait moins prcises et moins exactes.
Analyse des risques pour la confidentialit des donnes des utilisateurs sur les applications de rencontres bases sur la localisation
Les applications de rencontres bases sur la localisation (LBD) permettent aux utilisateurs de rencontrer de nouvelles personnes proximit et en ligne en parcourant les profils des autres, qui contiennent souvent des donnes trs personnelles et sensibles. Cette tude analyse systmatiquement 15 applications de rencontres golocalises pour dterminer la prvalence des risques d’atteinte la vie prive susceptibles d’entraner des abus de la part d’utilisateurs malveillants dsireux de traquer, de harceler ou de nuire autrui.
Grce une analyse manuelle systmatique de ces applications, les chercheurs ont valu quelles donnes personnelles et sensibles sont partages avec d’autres utilisateurs, la fois sous forme d’exposition de donnes (intentionnelle) et sous forme de fuites involontaires mais puissantes dans le trafic API qui est autrement cach un utilisateur, violant ainsi son modle mental de ce qu’il partage sur les applications LBD. Ils montrent galement que six applications permettent de localiser prcisment une victime, ce qui permet de menacer physiquement la scurit personnelle des utilisateurs.
Toutes ces expositions et fuites de donnes – favorises par la facilit de cration de comptes – permettent un profilage et un suivi cibls ou grande chelle, long terme et furtifs des utilisateurs d’applications LBD. Bien que les politiques de confidentialit reconnaissent le traitement des donnes personnelles et qu’il existe une tension entre la fonctionnalit de l’application et la vie prive de l’utilisateur, il subsiste des risques importants en matire de confidentialit des donnes. Nous recommandons le contrle de l’utilisateur, la minimisation des donnes et le renforcement de l’API comme contre-mesures pour protger la vie prive des utilisateurs.
Les chercheurs commentent l’tude en concluant :
Une analyse systmatique de 15 applications LBD populaires nous a permis de constater qu’elles exposent rgulirement des donnes personnelles d’autres utilisateurs. Bien que les utilisateurs puissent se sentir obligs de partager ces donnes, il existe un risque particulier lorsque les API divulguent des donnes caches dans l’interface utilisateur ainsi que la localisation exacte de l’utilisateur, car les utilisateurs ne sont pas conscients qu’ils partagent ces donnes, ce qui peut entraner des dommages supplmentaires. En outre, les politiques de confidentialit des applications n’informent gnralement pas les utilisateurs de ces menaces pour la vie prive et leur laissent le soin de protger leurs donnes personnelles (sensibles).
Nous esprons que la prise de conscience de ces problmes amnera les fournisseurs d’applications LBD reconsidrer leurs pratiques de collecte de donnes, protger leurs API contre les fuites de donnes, empcher la dduction de la localisation et donner aux utilisateurs le contrle de leurs donnes et donc, en fin de compte, de leur vie prive.
Et vous ?
Pensez-vous que cette tude est crdible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :