•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Grindr : une faille permettait de pirater un compte avec un simple courriel

Le logo de l'application Grindr affiché sur l'écran d'un téléphone intelligent.

L'application Grindr est de nouveau montrée du doigt en raison d'une faille de sécurité.

Photo : AFP/Getty Images / Martin Bureau

Radio-Canada

Une adresse courriel, c’est la seule information dont vous deviez disposer pour prendre le contrôle d’un profil sur l’application de rencontre Grindr jusqu’à la semaine dernière.

Entrer l’adresse courriel d’un compte Grindr actif, réinitialiser le mot de passe et se rendre sur le code source du site web pour obtenir l’URL permettant de changer sa clé. Voici les trois étapes que devait réaliser un ou une internaute pour usurper un profil sur l'application de rencontre destinée aux communautés LGBTQ.

Un code source d'un site web.

Le lien envoyé par courriel pour réinitialiser le mot de passe du compte Grindr se trouvait aussi dans le code source du site web.

Photo : Troy Hunt

Un pirate qui s’affairait à une telle démarche pouvait accéder à une foule d’informations délicates, dont les messages privés et le statut VIH de la personne.

La brèche de sécurité a d’abord été signalée par un chercheur en cybersécurité français, Wassime Bouimadaghene.

Précision

Dans une version antérieure de cet article, nous avions identifié Wassime Bouimadaghene comme étant un utilisateur de l'application; il est plutôt chercheur en cybersécurité.

Mais devant le silence de l'entreprise, il s’est tourné vers Troy Hunter et Scott Helme, des experts en sécurité informatique, pour documenter la faille.

Selon Rick Marini, le directeur des opérations de l’application, la brèche a été corrigée avant que des personnes mal intentionnées ne s’en emparent.

Pas une première

Ce n’est pas la première fois que l’application de rencontre est dans l'embarras pour des raisons de sécurité. Grindr avait été montrée du doigt en 2018 pour avoir laissé deux entreprises tierces accéder aux données privées de ses internautes, dont leur statut VIH.

Rick Marini s’est toutefois voulu rassurant à l’égard des personnes utilisant le réseau de rencontre LGBTQ, précisant dans un communiqué envoyé à TechCrunch qu’il s’engageait à améliorer la sécurité du service. Il a également mentionné s’associer avec une firme de sécurité pour améliorer le système de signalement de ce type de problème par les internautes.

Il a profité de la tribune pour annoncer que l'entreprise travaillait sur un nouveau programme offrant des primes aux personnes qui décèleraient des failles dans son système.

Il ne reste qu’à voir si ces initiatives suffiront pour redonner un sentiment de sécurité aux quelque 27 millions de personnes inscrites sur l’application.

Avec les informations de TechCrunch, et BBC

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !