Un groupe de chercheurs a déclaré avoir découvert que des vulnérabilités dans la conception de certaines applications de rencontres, notamment les populaires Bumble et Hinge, permettaient aux utilisateurs malveillants ou aux harceleurs de localiser leurs victimes jusqu'à 2 mètres.
Dans une nouvelle étude, des chercheurs de l’université belge KU Leuven ont détaillé leurs conclusions après avoir analysé 15 applications de rencontre populaires. Parmi celles-ci, Badoo, Bumble, Grindr, happn, Hinge et Hily présentaient toutes la même vulnérabilité qui aurait pu aider un utilisateur malveillant à identifier la localisation presque exacte d’un autre utilisateur, selon les chercheurs.
Bien qu’aucune de ces applications ne communique de localisation exacte lors de l’affichage de la distance entre les utilisateurs sur leurs profils, elles utilisent des localisations exactes pour la fonction « filtres » des applications. En général, en utilisant des filtres, les utilisateurs peuvent personnaliser leur recherche d’un partenaire en fonction de critères tels que l’âge, la taille, le type de relation qu’ils recherchent et, surtout, la distance.
Pour localiser avec précision l’utilisateur ciblé, les chercheurs ont utilisé une nouvelle technique appelée « trilatération oracle ». En général, la trilatération, utilisée par exemple dans le GPS, consiste à utiliser trois points et à mesurer leur distance par rapport à la cible. Cela crée trois cercles qui se croisent au point où se trouve la cible.
La trilatération Oracle fonctionne un peu différemment. Les chercheurs ont écrit dans leur article que la première étape pour la personne qui veut identifier la localisation de sa cible consiste à « estimer approximativement la localisation de la victime », par exemple en fonction de la localisation affichée dans le profil de la cible. Ensuite, l'attaquant se déplace par incréments « jusqu'à ce que l'oracle indique que la victime n'est plus à proximité, et ce pour trois directions différentes. L'attaquant dispose désormais de trois positions avec une distance exacte connue, c'est-à-dire la distance de proximité présélectionnée, et peut effectuer une trilatération de la victime », ont écrit les chercheurs.
« Il est assez surprenant que des problèmes connus soient toujours présents dans ces applications populaires », a déclaré Karel Dhondt, l'un des chercheurs, à TechCrunch. Bien que cette technique ne révèle pas les coordonnées GPS exactes de la victime, « je dirais que 2 mètres sont suffisamment proches pour localiser l'utilisateur », a déclaré Dhondt.
La bonne nouvelle est que toutes les applications qui présentaient ces problèmes et que les chercheurs ont contactées ont désormais modifié le fonctionnement des filtres de distance et ne sont plus vulnérables à la technique de trilatération Oracle. La solution, selon les chercheurs, consistait à arrondir les coordonnées exactes à trois décimales, ce qui les rendait moins précises et exactes.
« Il s’agit d’une incertitude d’environ un kilomètre », a déclaré Dhondt.
Un porte-parole de Bumble a déclaré que la société avait été « informée de ces conclusions début 2023 et avait rapidement résolu les problèmes décrits ».
Dmytro Kononov, CTO et co-fondateur de Hily, a déclaré à TechCrunch dans un communiqué que la société avait reçu un rapport sur la vulnérabilité en mai de l'année dernière, puis avait mené une enquête pour évaluer les affirmations des chercheurs.
« Les résultats ont indiqué une possibilité potentielle de trilatération. Cependant, dans la pratique, il était impossible d’exploiter ce risque pour des attaques. Cela est dû à nos mécanismes internes conçus pour nous protéger contre les spammeurs et à la logique de notre algorithme de recherche », a déclaré Kononov. « Malgré cela, nous avons mené de vastes consultations avec les auteurs du rapport et avons développé en collaboration de nouveaux algorithmes de géocodage pour éliminer complètement ce type d’attaque. Ces nouveaux algorithmes sont mis en œuvre avec succès depuis plus d’un an maintenant. »
Ni Badoo, qui appartient à Bumble, ni Hinge n'ont répondu à une demande de commentaire.
Karima Ben Abdelmalek, PDG et présidente de Happn, a déclaré à TechCrunch dans un communiqué envoyé par courrier électronique que la société avait été contactée par les chercheurs l'année dernière.
« Après examen des résultats de l’étude par notre responsable de la sécurité, nous avons eu l’occasion de discuter de la méthode de trilatération avec les chercheurs. Cependant, happn dispose d’une couche de protection supplémentaire au-delà des simples distances d’arrondi », a déclaré Ben Abdelmalek. « Cette protection supplémentaire n’a pas été prise en compte dans leur analyse et nous avons convenu mutuellement que cette mesure supplémentaire sur happn rend la technique de trilatération inefficace. »
Les chercheurs ont également découvert qu'une personne malveillante pouvait localiser les utilisateurs de Grindr, une autre application de rencontre populaire, à environ 111 mètres de leurs coordonnées exactes. Bien que ce soit mieux que les 2 mètres autorisés par les autres applications, cela pourrait toujours être potentiellement dangereux, selon les chercheurs.
« Nous pensons que 111 mètres, qui correspond à la distance correspondant à cette précision, ne sont pas suffisants dans les zones densément peuplées », a déclaré Dhondt.
Grindr rend impossible de descendre en dessous de 111 mètres car il arrondit la position exacte des utilisateurs à trois décimales. Et lorsque les chercheurs ont contacté Grindr, l'entreprise a déclaré qu'il s'agissait d'une fonctionnalité et non d'un bug.
Kelly Peterson Miranda, responsable de la confidentialité chez Grindr, a déclaré dans un communiqué que « pour beaucoup de nos utilisateurs, Grindr est leur seule forme de connexion à la communauté LGBTQ+, et la proximité que Grindr offre à cette communauté est primordiale pour offrir la possibilité d'interagir avec ceux qui leur sont les plus proches. »
« Comme c’est le cas de nombreux réseaux sociaux et applications de rencontre géolocalisés, Grindr a besoin de certaines informations de localisation pour connecter ses utilisateurs à ceux qui se trouvent à proximité », a déclaré Miranda, ajoutant que les utilisateurs peuvent désactiver l’affichage de leur distance s’ils le souhaitent. « Les utilisateurs de Grindr contrôlent les informations de localisation qu’ils fournissent. »