Grindr, l’une des plus grandes applications de rencontres pour les gays, bi, trans et queers, a corrigé une faille de sécurité qui permettait à quiconque de détourner et de prendre le contrôle du compte de n’importe quel utilisateur en utilisant uniquement son adresse électronique.
La vulnérabilité critique a été mise en lumière par Wassime Bouimadaghene, un chercheur en sécurité français.
Wassime a essayé de déposer un ticket sur la page d’aide de Grindr mais celui-ci a été supprimé. Le français a alors contacté deux autres chercheurs en sécurité afin de confirmer l’existence de la vulnérabilité. Ce n’est qu’après que l’un d’entre eux (Troy Hunt) ait posté un message sur Twitter à propos du problème que l’équipe de sécurité de Grindr est intervenue.
Si vous mettiez une adresse électronique dans le formulaire de réinitialisation du mot de passe de Grindr, cela renvoyait un message à votre navigateur web avec la clé dont vous avez besoin pour réinitialiser le mot de passe. Vous pouviez alors théoriquement juste copier et coller cette clé sur une page de réinitialisation de mot de passe et prendre possession d’un compte. Le détournement de comptes était alors à la portée de tous les utilisateurs et ne prenait que quelques secondes.
Ce n’est pas la première fois que Grindr fait face à des problèmes de sécurité. En 2018, l’application Grindr avait été accusée de révéler le statut VIH de ses utilisateurs à des entreprises. En 2015, celle-ci a aussi fait face à des accusations d’espionnage.
Grindr a officiellement réagi à cette découverte
Rick Marini, directeur des opérations de Grindr, a vite réagi à la découverte de cette faille. Il déclare à TechCrunch “Nous sommes reconnaissants envers le chercheur qui a identifié une vulnérabilité. Le problème signalé a été résolu. Heureusement, nous pensons avoir résolu le problème avant qu’il ne soit exploité par des personnes malveillantes.”.
Il ajoute que “dans le cadre de notre engagement à améliorer la sécurité de notre service, nous nous sommes associés avec une entreprise de sécurité de premier plan pour simplifier et améliorer la capacité des chercheurs en sécurité à signaler des problèmes de ce type. En outre, nous annoncerons bientôt un nouveau programme de primes sur les failles afin d’inciter davantage les chercheurs à nous aider à maintenir la sécurité de notre service à l’avenir.”.
La sécurité de Grindr devrait alors grandement s’améliorer dans les mois qui viennent. Si vous utilisez en ce moment une application de rencontre, il faut bien faire attention aux photos que vous mettez en avant. Nous rapportions fin août qu’un iPhone vous rend 76% plus attractif sur les applications de rencontre.
Source : Troyhunt