Vous n’avez peut-etre jamais utilise Tinder, mais vous en avez probablement deja entendu parler de cette application de reseautage social.

Vous n’avez peut-etre jamais utilise Tinder, mais vous en avez probablement deja entendu parler de cette application de reseautage social.

Nous ne savons jamais tres bien De quelle fai§on le decrire, mais l’entreprise elle-meme propose la description officielle “A Propos de Tinder” suivante:

Mes gens que l’on retrouve pourront nous remplacer le quotidien. Une amitie, un rendez-vous, une histoire d’amour ou meme une rencontre avec hasard peuvent changer le quotidien de quelqu’un Afin de i  chaque fois. Tinder procure a ses utilisateurs dans le monde entier, la chance de creer des liens qui n’auraient peut-etre pas decouvert Au moment autrement. Nous developpons des produits qui rapprochent les gens.

C’est a minimum pres aussi net que de l’eau trouble, donc afin d’effectuer simple, nous allons decrire Tinder tel une application de rencontre et de mise en relation qui vous aide a trouver des personnes avec qui faire la fete dans votre voisinage proche.

Un coup que vous vous etes inscrit, que vous avez fourni a Tinder l’acces a votre localisation et a aux informations sur ce style de life, il effectue votre call-home vers ses serveurs et recupere des images d’autres utilisateurs Tinder dans la region (vous pouvez opter pour le perimetre dans lequel il devra chercher, la tranche d’age, et ainsi de suite).

Mes images apparaissent l’une apres l’autre et vous les balayez vers la gauche si elles ne vous plaisent pas, vers la droite si elles vous conviennent.

Les individus que vous avez selectionnes en les balayant vers la droite recoivent aussi un message mentionnant que vous nos aimez, ainsi, l’application Tinder te prend en charge des messages a partir de ce moment-la.

Un flux de donnees enorme

On peut voir une telle revendication tel ringarde, mais Tinder pretend traiter 1.600.000.000 de balayages (swipes) par jour et permettre 1.000.000 de rendez-vous (dates) avec semaine.

Avec environ 11 000 “swipes” par “dates”, la quantite de precisions echangee entre vous et Tinder est enorme alors que vous cherchez la bonne personne.

Vous vous attendez donc a ce que Tinder prenne les precautions basiques habituelles Afin de garder toutes ces images en marketing, a J’ai fois Quand les images d’autres gens vous seront envoyees, et inversement si des votres seront envoyees a d’autres.

Par marketing, evidemment, nous parlons en transmission des images de maniere confidentielle, mais nous sous-entendons egalement qu’elles arrivent intactes, assurant ainsi a la fois la confidentialite et l’integrite.

Sinon, n’importe quelle personne malveillante dans votre bar prefere pourrait rapidement voir votre que vous etes en train de faire, et modifier par la meme occasion les images en transit.

Meme un objectif est seulement de vous faire peur, vous vous attendez tout de meme a ce que Tinder empeche de telles actions soient possibles, en envoyant tout le trafic via une connexion HTTPS, a savoir une connexion HTTP S ecurisee.

Eh beaucoup, des chercheurs de Checkmarx ont decide de verifier votre que Tinder avait veritablement enfile en place, et ils ont constate que lorsque vous accedez a Tinder depuis ce navigateur web, la securite est assuree.

Mais sur la appareil mobile, ils ont constate que Tinder avait retourne des raccourcis en matiere de securite.

Nous avons mis les declarations de Checkmarx a l’epreuve, ainsi, nos resultats ont corrobore nos leurs.

Selon des observations, bien le trafic Tinder utilise une connexion HTTPS Quand vous utilisez votre navigateur, avec la plupart des images telechargees par lots a partir du port 443 (HTTPS) concernant images-ssl.gotinder.com .

Le nom de domaine images-ssl aboutit enfin dans le Cloud d’Amazon, mais les serveurs qui procurent nos images ne fonctionnent que via le protocole TLS, vous ne pouvez tout seulement jamais vous connecter au bon vieux http://images-ssl.gotinder.com car le serveur ne prendra jamais en charge la solide vieille connexion HTTP.

En passant sur l’application mobile, neanmoins, les telechargements d’images paraissent effectues via des URL qui commencent via , donc elles seront telechargees de maniere non securisee, a savoir que l’integralite des images que vous visionnez pourront etre recuperees ou modifiees en file de route.

Ironiquement, images.gotinder.com gere les requetes HTTPS via le port 443, mais vous obtiendrez une erreur de certificat, car il n’existe aucune certificat emis par Tinder pour se rendre via un serveur:

Mes chercheurs de Checkmarx sont alles bien plus loin, et pretendent que aussi si chaque swipe reste renvoye a Tinder via un paquet chiffre, ils ont la possibilite de bien ainsi penser si vous avez effectue un swipe a gauche ou a droite parce que les longueurs de paquet sont plusieurs.

J’ai differenciation des swipes a gauche/droite ne doit nullement etre possible a tout moment, mais il s’agit d’un probleme bon nombre plus serieux de fuite de donnees lorsque des images que vous avez selectionnees par swipe ont deja ete revelees a ce voisin curieux et minimum scrupuleux.

Quoi faire ?

Nous n’arrivons jamais a comprendre pourquoi Tinder a programme differemment son site web traditionnelle et le application mobile, mais nous nous sommes habitues a toutes membres chatib les applications mobiles qui avaient ete negligees vis a vis de leurs homologues de bureau en matiere de cybersecurite.

  • Pour des utilisateurs Tinder: si vous avez des inquietudes concernant de potentiels curieux dans le coin d’un cafe, qui pourraient vous espionner a l’aide de votre connexion Wi-Fi, arretez d’utiliser l’application Tinder et contentez-vous de leur website traditionnelle.
  • Pour des programmeurs Tinder: vous avez deja l’ensemble des images via des serveurs securises, aussi arretez de prendre certains raccourcis en matiere de securite (nous supposons que vous avez estime que i§a accelererait un tantinet plus l’application mobile si les images n’etaient pas chiffrees). Modifiez votre application mobile dans l’optique qu’elle puisse prendre en charge la connexion HTTPS du debut a J’ai fin.
  • Pour les ingenieurs logiciels du monde entier: ne laissez jamais les chefs de produit de vos applications mobiles prendre des raccourcis en matiere de securite. Si vous sous-traitez votre developpement mobile, ne laissez jamais l’equipe design vous convaincre de laisser la forme prendre le dessus sur la fonction.

Leave a Comment

Your email address will not be published. Required fields are marked *