Les apps de dating protègent mal la géolocalisation des utilisateurs

SECURITE Deux experts sonnent l'alarme...

Philippe Berry

— 

Un exemple de triangulation pour déterminer des coordonnées géographiques.

Un exemple de triangulation pour déterminer des coordonnées géographiques. — INCLUDE SECURITY

Il n'avait jamais été aussi facile d'être un «stalker». Alors que les dérapages sur la géolocalisation sont courants, deux chercheurs peignent un tableau particulièrement inquiétant, surtout du côtés des apps de dating, souvent bâties autour du partage de la position de leurs utilisateurs.

«John se trouve à 3,5 km de vous.» Officiellement, John peut être n'importe où à l'intérieur de ce cercle. Mais Colby Moore et Patrick Wardle, chercheurs en sécurité chez Synack, ont montré ce week-end qu'il était facile d'exploiter un bug pour déterminer la position exacte, à quelques mètres près, d'un utilisateur. Il suffit de simuler trois requêtes de connexion depuis trois positions différentes pour calculer les coordonnées exactes par triangulation –à l'intersection des trois cercles.

De nombreuses apps concernées

Les chercheurs se sont concentrés sur l'app de rencontres homosexuelles Grindr car la communauté gay est persécutée dans de nombreux pays. En recoupant des données géographiques avec des informations partagées par les athlètes sur les réseaux sociaux lors des Jeux olympiques de Sotchi, il est possible de lever l'anonymat, préviennent-ils. Ces recherches ont poussé Grindr à désactiver le partage de géolocalisation dans les pays où l'homosexualité est interdite, précisent-ils.

Si Grindr est sur le banc des accusés, de nombreuses autres applis souffrent du même bug. Tinder l'a notamment corrigé l'an dernier. Google et Apple avaient, eux, été épinglés en 2011 pour avoir archivé les déplacements des utilisateurs à leur insu. Whisper, enfin, est accusé d'avoir pisté tous ses membres, même ceux qui avaient choisi de ne pas partager leur position. Reste une solution, pas toujours très pratique: désactiver ces fonctions directement dans les options d'Android ou d'iOS.

Mots-clés :