En 2021, une vulnérabilité de sécurité dans l'application de rencontres populaire Bumble a permis aux attaquants de localiser avec précision l'emplacement précis d'autres utilisateurs. Bumble, qui compte plus de 100 millions d'utilisateurs dans le monde, émule la fonctionnalité "glisser vers la droite" de Tinder pour déclarer son intérêt pour des dates potentielles et pour montrer la distance géographique approximative des utilisateurs par rapport aux "correspondances" potentielles. À l'aide de faux profils Bumble, un chercheur en sécurité a conçu et exécuté une attaque de "trilatération" qui a déterminé l'emplacement précis d'une victime imaginaire. En conséquence, Bumble a corrigé une vulnérabilité qui posait un risque de harcèlement si elle n'avait pas été résolue.
À l'époque, le chercheur s'est appuyé sur une vulnérabilité de trilatération similaire découverte dans Tinder en 2013. Depuis, Tinder a corrigé cette vulnérabilité en calculant et en arrondissant les distances sur leurs serveurs avant de transmettre des valeurs entièrement arrondies à l'application. Bumble semble avoir imité cette approche, mais n'a néanmoins pas réussi à contrecarrer l'attaque précise de trilatération. Des vulnérabilités similaires dans les applications de rencontres ont également été divulguées par des chercheurs de Synack en 2015, la différence subtile étant que leurs attaques de "triangulation" impliquaient l'utilisation de la trigonométrie pour déterminer les distances.
Récemment, un groupe de chercheurs a déclaré avoir découvert que des vulnérabilités dans la conception de certaines applications de rencontres, dont les populaires Bumble et Hinge, permettaient à des utilisateurs malveillants ou à des harceleurs de localiser leurs victimes à deux mètres près. Les chercheurs de l'université belge KU Leuven ont détaillé leurs conclusions en analysant 15 applications de rencontres populaires. Parmi celles-ci, Badoo, Bumble, Grindr, happn, Hinge et Hily présentaient toutes la même vulnérabilité qui aurait pu permettre à un utilisateur malveillant d'identifier l'emplacement quasi exact d'un autre utilisateur, selon les chercheurs.
Bien qu'aucune de ces applications ne partage les emplacements exacts lorsqu'elles affichent la distance entre les utilisateurs sur leurs profils, elles utilisent les emplacements exacts pour la fonction "filtres" des applications. D'une manière générale, les filtres permettent aux utilisateurs d'adapter leur recherche de partenaires en fonction de critères tels que l'âge, la taille, le type de relation qu'ils recherchent et, surtout, la distance.
Pour localiser précisément un utilisateur cible, les chercheurs ont utilisé une nouvelle technique appelée "trilatération de l'oracle". En général, la trilatération, utilisée par exemple dans le GPS, consiste à utiliser trois points et à mesurer leur distance par rapport à la cible. Cela crée trois cercles qui se croisent au point où se trouve la cible.
La trilatération Oracle fonctionne légèrement différemment. Selon les chercheurs, "la première étape pour la personne qui veut identifier la position de sa cible "estime grossièrement la position de la victime", par exemple en se basant sur la position affichée dans le profil de la cible. Ensuite, l'attaquant se déplace par incréments "jusqu'à ce que l'oracle indique que la victime n'est plus à proximité, et ce pour trois directions différentes". L'attaquant a maintenant trois positions avec une distance exacte connue, c'est-à-dire la distance de proximité présélectionnée, et peut trilatéraliser la victime".
"Il était quelque peu surprenant que des problèmes connus soient encore présents dans ces applications populaires", a déclaré Karel Dhondt, l'un des chercheurs. Bien que cette technique ne révèle pas les coordonnées GPS exactes de la victime, "je dirais que 2 mètres sont suffisamment proches pour identifier l'utilisateur", a déclaré M. Dhondt.
La bonne nouvelle, c'est que toutes les applications qui présentaient ces problèmes, et que les chercheurs ont contactées, ont maintenant modifié la façon dont les filtres de distance fonctionnent et ne sont pas vulnérables à la technique de trilatération de l'oracle. Selon les chercheurs, la solution consistait à arrondir les coordonnées exactes par trois décimales, ce qui les rendait moins précises et moins exactes.
Analyse des risques pour la confidentialité des données des utilisateurs sur les applications de rencontres basées sur la localisation
Les applications de rencontres basées sur la localisation (LBD) permettent aux utilisateurs de rencontrer de nouvelles personnes à proximité et en ligne en parcourant les profils des autres, qui contiennent souvent des données très personnelles et sensibles. Cette étude analyse systématiquement 15 applications de rencontres géolocalisées pour déterminer la prévalence des risques d'atteinte à la vie privée susceptibles d'entraîner des abus de la part d'utilisateurs malveillants désireux de traquer, de harceler ou de nuire à autrui.
Grâce à une analyse manuelle systématique de ces applications, les chercheurs ont évalué quelles données personnelles et sensibles sont partagées avec d'autres utilisateurs, à la fois sous forme d'exposition de données (intentionnelle) et sous forme de fuites involontaires mais puissantes dans le trafic API qui est autrement caché à un utilisateur, violant ainsi son modèle mental de ce qu'il partage sur les applications LBD. Ils montrent également que six applications permettent de localiser précisément une victime, ce qui permet de menacer physiquement la sécurité personnelle des utilisateurs.
Toutes ces expositions et fuites de données - favorisées par la facilité de création de comptes - permettent un profilage et un suivi ciblés ou à grande échelle, à long terme et furtifs des utilisateurs d'applications LBD. Bien que les politiques de confidentialité reconnaissent le traitement des données personnelles et qu'il existe une tension entre la fonctionnalité de l'application et la vie privée de l'utilisateur, il subsiste des risques importants en matière de confidentialité des données. Nous recommandons le contrôle de l'utilisateur, la minimisation des données et le renforcement de l'API comme contre-mesures pour protéger la vie privée des utilisateurs.
Les chercheurs commentent l'étude en concluant :
Une analyse systématique de 15 applications LBD populaires nous a permis de constater qu'elles exposent régulièrement des données personnelles à d'autres utilisateurs. Bien que les utilisateurs puissent se sentir obligés de partager ces données, il existe un risque particulier lorsque les API divulguent des données cachées dans l'interface utilisateur ainsi que la localisation exacte de l'utilisateur, car les utilisateurs ne sont pas conscients qu'ils partagent ces données, ce qui peut entraîner des dommages supplémentaires. En outre, les politiques de confidentialité des applications n'informent généralement pas les utilisateurs de ces menaces pour la vie privée et leur laissent le soin de protéger leurs données personnelles (sensibles).
Nous espérons que la prise de conscience de ces problèmes amènera les fournisseurs d'applications LBD à reconsidérer leurs pratiques de collecte de données, à protéger leurs API contre les fuites de données, à empêcher la déduction de la localisation et à donner aux utilisateurs le contrôle de leurs données et donc, en fin de compte, de leur vie privée.
Nous espérons que la prise de conscience de ces problèmes amènera les fournisseurs d'applications LBD à reconsidérer leurs pratiques de collecte de données, à protéger leurs API contre les fuites de données, à empêcher la déduction de la localisation et à donner aux utilisateurs le contrôle de leurs données et donc, en fin de compte, de leur vie privée.
Et vous ?
Pensez-vous que cette étude est crédible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :
Une vulnérabilité dans l'application populaire de rencontres Bumble révélait l'emplacement exact de n'importe quel utilisateur, selon l'ingénieur Robert Heaton
Les applications de rencontres avides de données vendent vos données personnelles : elles sont plus nocives que jamais pour votre vie privée et collectent beaucoup d'informations sur vous
Les internautes cherchent à fuir les applications de rencontres, estimant que leur utilisation est destructrice et frustrante. Nombreux se plaignent des inconvénients qui accompagnent ces apps