L'App Store d'Apple n'est pas sûr : 1,5 million de photos privées explicites provenant d'applications de rencontres exposées en ligne

Stockées sans protection par mot de passe

L'App Store d'Apple n'est pas sûr : 1,5 million de photos privées explicites provenant de cinq applications de rencontres ont été exposées en ligne, car elles sont stockées sans protection par mot de passe

Nouveau cauchemar en matière de vie privée pour les utilisateurs d'applis de rencontres : plusieurs applications iOS distribuées via l'Apple Store, qui s'adressent à la communauté LGBTQ+ et aux adeptes du sugar dating et du BDSM, ont fait l'objet de fuites de contenus très sensibles à grande échelle. Au total, près de 1,5 million de photos privées d'utilisateurs des applications BDSM People, Chica, Translove, Pink et Brish ont été compromises, rapporte l'équipe de recherche du portail lituanien Cybernews.

Les failles de sécurité mises au jour dans ces applications de rencontres ne sont pas un incident isolé. En septembre 2024, la société de cybersécurité Fortbridge a révélé que Feeld, une alternative à Tinder sous stéroïdes, présentait d'importantes vulnérabilités qui laissaient les données privées et les images explicites des utilisateurs accessibles au public. Alors que Feeld, comme de nombreuses applications de rencontres, recueille de grandes quantités d'informations personnelles, le rapport a mis en évidence la façon dont les mauvaises mesures de sécurité ont exacerbé les risques.

Selon le rapport de Cybernews, la société M.A.D. (Mobile Apps Developers), le développeur des applications impliquées dans la récente fuite de données, a publié des informations qui auraient dû rester secrètes, telles que les clés API, les mots de passe ou les clés de chiffrement, ainsi que le code source des applications. Cette situation est dangereuse, car les informations de connexion stockées dans les applications clientes sont accessibles à tous. Les attaquants pourraient facilement les utiliser à mauvais escient pour accéder aux systèmes. En l'occurrence, selon Cybernews, certains des secrets divulgués permettaient d'accéder à des photos d'utilisateurs dans des buckets de stockage dans le Cloud de Google. Ces espaces de stockage étaient accessibles sans protection par mot de passe.


Les photos accessibles au public comprenaient non seulement celles des messages privés, mais aussi les photos de profil, les messages publics, les images de vérification du profil et les photos supprimées en raison d'une violation des règlements. Dans la seule application BDSM People, 541 000 images privées auraient été visibles, dont 90 000 provenant de messages que les utilisateurs s'étaient envoyés. L'application « sugar daddy » Chica aurait divulgué 133 000 images, également issues de chats privés. Selon les chercheurs, les trois autres applications de rencontres LGBTQ+ ayant la même architecture ont exposé plus de 1,1 million d'images. Les applications ont des chiffres de téléchargement de l'ordre de quelques dizaines de milliers à quelques centaines de milliers.

M.A.D. n'est pas un cas isolé

Les acteurs malveillants utilisent souvent des fuites de contenus hautement sensibles à des fins de chantage, d'ingénierie sociale et pour tenter de nuire à la réputation professionnelle d'une personne, soulignent les auteurs du rapport. En outre, les personnes concernées pourraient être exposées à un risque accru de harcèlement. Comme l'homosexualité est illégale dans certains pays, c'est dans celles-ci que le risque de persécution des utilisateurs de l'application est le plus élevé.


Les buckets de stockage suspects ne contenaient pas de données d'identité spécifiques telles que des noms d'utilisateurs, des courriels ou des messages. Néanmoins, les acteurs malveillants pourraient utiliser des techniques accessibles à tous, telles que la recherche d'images inversées avec reconnaissance biométrique du visage, pour retrouver les personnes qui se cachent derrière les photos.

Les chercheurs ont découvert la fuite après une enquête menée à grande échelle. L'équipe a téléchargé 156 000 applications iOS, soit environ 8 % de toutes les applications de l'Apple Store. Ils ont découvert que les développeurs de ces applications laissaient souvent des informations de connexion codées en dur dans le code source, de manière accessible à tous : 71 % des applications analysées révélaient « au moins un secret », le code d'une application moyenne révélant 5,2 « secrets » de ce type.
La Stiftung Warentest, une organisation de consommateurs allemande, a critiqué il y a quelque temps la protection souvent insuffisante des données des applications de rencontres telles que Tinder, Lovoo, Parship, Lesarion et Grindr. L'opérateur de cette dernière plateforme a notamment été condamné à des millions d'amende en Norvège pour avoir transmis des informations personnelles à des tiers à des fins de publicité ciblée.


En conclusion, la récente exposition de plus d'un million d'images privées met en évidence un problème plus large : les applications de rencontres sont plus nocives que jamais pour la vie privée, elles collectent de grandes quantités de données personnelles, mais ne parviennent pas toujours à les protéger. Non seulement de nombreuses plateformes stockent des informations sensibles de manière non sécurisée, mais elles les monétisent également. Selon une étude menée par Mozilla en 2024, 88 % des applications de rencontres examinées n'offraient pas de garanties suffisantes en matière de protection de la vie privée. Alors que les deepfakes alimentés par l'IA et les fraudes à l'identité deviennent plus fréquents, l'incapacité de ces plateformes à mettre en œuvre des protections plus solides constitue une menace croissante pour la vie privée des utilisateurs.

Source : Cybernews

Et vous ?

Quelle lecture faites-vous de cette situation ?
Trouvez-vous les conclusions de cette enquête de Cybernews crédibles ou pertinentes ?

Voir aussi :

Les vulnérabilités des applications de rencontres telles que Bumble, Badoo, Grindr et Hinge permettent aux harceleurs de localiser les utilisateurs à moins de 2 mètres grâce à la trilatération

Une vulnérabilité dans l'application populaire de rencontres Bumble révélait l'emplacement exact de n'importe quel utilisateur, selon l'ingénieur Robert Heaton

Atteinte à la vie privée et rencontres en ligne : en France, 10 % des utilisateurs d'applications de rencontre ont été victimes de divulgation de données personnelles (doxing), selon Kaspersky