Grindr: une faille révèle les données de localisation des utilisateurs

Méfiez-vous des applications tierces. C*ockblocked promettait aux utilisateurs de l'application de rencontre gay Grindr de voir qui les avait bloqués. Promesse alléchante mais dangereuse. Les utilisateurs ont surtout cédé toutes leurs données personnelles.

Trever Faden, PDG de la société de gestion immobilière Atlas Lane et créateur de C*ockblocked, a découvert cette faille de sécurité, rapporte NBC News. Pour accéder aux services de C*ockblocked, les utilisateurs devaient entrer leurs identifiants Grindr.

Trever Faden affirme que cela lui donnait accès à des informations qui n’étaient pas publiques sur les profils des utilisateurs de Grindr. Comme par exemple les messages non lus, les adresses électroniques, les photos supprimées ou encore la localisation.

Ne jamais confier ses identifiants 

Les données de localisation des utilisateurs de Grindr sont particulièrement sensibles car l'homosexualité est illégale dans de nombreux pays. "On pourrait, sans trop de difficultés ou même une énorme quantité de compétences technologiques, localiser facilement l'emplacement exact d'un utilisateur ", a déclaré Trever Faden à NBC.

Les internautes prennent de grands risques en se connectant à des applications tierces, comme l'a rappelé Grindr sur son compte Twitter le 19 mars. 

"Indépendamment de toute promesse ou garantie d'un tiers, fournir un nom d'utilisateur et un mot de passe à quelqu'un signifie que vous lui avez donné accès à votre compte. Y compris à vos données qui ne peuvent pas être exposées dans l'interface normale ", a déclaré à Gizmodo Tod Beardsley, directeur de recherche de la société de logiciels Rapid7.

Des données non codées

Trever Faden a également découvert une seconde faille, plus inquiétante. Le partage des données de localisation est nécessaire pour que l'application Grindr fonctionne. Sauf que certaines de ces informations ne sont pas codées, affirme NBC. Des observateurs passifs du trafic Internet peuvent donc identifier l'emplacement de toute personne qui ouvre l'application. 

Grindr a été averti de la faille et a réagit rapidement pour corriger le problème. La société a changé sa politique d'accès aux données qu'utilisaient C*ockblocked le 23 mars. Le site n'est désormais plus accessible. Par contre, Grindr n'a pas modifié la façon dont son application envoie ouvertement les données de localisation sur Internet.