Imaginez que vos moindres déplacements puissent être traqués par un parfait inconnu, à votre insu. C’est malheureusement ce à quoi s’exposaient, sans le savoir, les utilisateurs de certaines des applications de rencontre les plus populaires du marché. Une équipe de chercheurs de l’université belge KU Leuven a en effet mis en lumière de sérieuses failles de sécurité dans les systèmes de géolocalisation de ces applications, ouvrant la voie à de potentiels abus.
Des vulnérabilités exploitables par des individus malveillants
Parmi les 15 applications passées au crible par les chercheurs, 6 d’entre elles présentaient une faille critique : Badoo, Bumble, Grindr, Happn, Hinge et Hily. Bien que ces applications n’affichent pas les coordonnées GPS exactes des utilisateurs, elles utilisaient néanmoins ces données précises pour leurs fonctionnalités de filtrage par distance. Cela a permis aux chercheurs de développer une technique baptisée « trilatération oracle » pour localiser une cible avec une précision alarmante, jusqu’à 2 mètres près.
Il était quelque peu surprenant de constater que des failles connues étaient toujours présentes dans ces applications grand public.
Karel Dhondt, chercheur à KU Leuven
Un correctif rapidement déployé, mais le mal est fait
Fort heureusement, les éditeurs concernés ont rapidement réagi après avoir été alertés par les chercheurs. Ils ont modifié le fonctionnement de leurs filtres de distance afin de réduire la précision des coordonnées, rendant la trilatération beaucoup plus imprécise (marge d’erreur d’environ 1 km). Mais on peut légitimement s’interroger sur les dégâts qui ont pu être causés avant la mise en place de ce correctif.
Grindr assume ce « risque » pour ses utilisateurs
Le cas de Grindr est particulier. L’application destinée à la communauté gay arrondit déjà les positions à environ 111 mètres, ce qui est mieux que les autres applications testées, mais reste insuffisant selon les chercheurs, surtout dans les zones densément peuplées. Contacté à ce sujet, Grindr a répondu que c’était une fonctionnalité voulue et non un bug :
Pour beaucoup de nos utilisateurs, Grindr est leur seul moyen de se connecter à la communauté LGBTQ+. La proximité qu’offre Grindr est primordiale pour permettre les interactions.
Kelly Peterson Miranda, responsable de la confidentialité chez Grindr
Des risques bien réels pour la vie privée et la sécurité
Au delà de l’aspect intrusif d’un tel pistage, c’est la sécurité même des utilisateurs qui est mise en jeu. On pense notamment aux risques de harcèlement et de traque que cela fait peser sur les femmes, déjà plus exposées à ces comportements dans le monde physique comme numérique. Les personnes LGBTQ+ utilisant des applis comme Grindr sont aussi des cibles potentielles dans des pays où leur orientation est encore criminalisée.
Ces révélations sont un rappel cinglant des défis encore à relever en matière de protection de la vie privée dans l’ère numérique. Les éditeurs d’applications se doivent d’intégrer ces problématiques dès la conception de leurs services s’ils ne veulent pas mettre en danger leurs utilisateurs. Et ces derniers ont aussi un rôle à jouer, en prenant conscience des données qu’ils partagent et des risques associés.
- Soyez vigilants sur les informations de localisation que vous renseignez
- Préférez les applications transparentes sur l’usage des données
- Signalez aux éditeurs toute faille de sécurité constatée
Car n’oublions pas qu’au cœur de ces flux de données se trouvent de vraies personnes, pour qui une simple recherche de connexion humaine ne devrait pas se transformer en cauchemar de surveillance permanente.
