En utilisant l’identification par numéro de téléphone, une personne malintentionnée pouvait accéder au compte Tinder d’un utilisateur. La faille a depuis été corrigée.
S’il y a une appli que l’on aimerait pas voir tomber entre les mains de hackers, c’est bien Tinder. Le service de rencontre accumule en effet énormément de données sur ses utilisateurs et des conversations… parfois très intimes. Problème : des chercheurs en sécurité on découvert une faille qui permettait d’accéder à votre compte… avec la simple connaissance de votre numéro de téléphone. C’est la deuxième faille majeure découverte dans l’appli en quelques mois.
L’authentification Facebook mise en cause
Dans un article publié par Appsecure, on apprend que Tinder n’avait pas bien sécurisé son processus de connexion. Lorsqu’un client ouvre l’application, il a la possibilité de se connecter en utilisant son compte Facebook, ou son numéro de téléphone. C’est cette dernière option qui posait problème. Une fois le numéro renseigné, Tinder utilise le service d’identification Account Kit de Facebook pour faire le lien avec le réseau social.
L’utilisateur est alors redirigé vers Accountkit.com, qui vérifie l’identité de l’individu en demandant un token d’identification. Problème : Tinder ne cherchait pas à connaître l’origine de cette clé, et acceptait n’importe quel token valide sans vérifier si l’identifiant correspondait bien à la demande de Tinder. En conséquence, un token fourni par une autre application -comme un jeu mobile- permettait de se connecter à Tinder, sans que l’application ne se rende compte de rien. Les chercheurs précisent qu’en utilisant des cookies, un hacker aurait très bien pu capter un token correspondant à sa victime, et se connecter à son compte Tinder à distance, pour ensuite le faire chanter.
https://youtu.be/tIAxmZt1joY
Faille comblée
Informés par les chercheurs, Tinder et Facebook ont rapidement collaboré pour renforcer leur système et mettre fin à sa vulnérabilité. Le réseau social a récompensé l’équipe de 5000 dollars alors que l’appli de rencontre leur a fait un chèque de 1250 dollars.