Nous ne savons nullement tres bien De quelle fai§on le decrire, mais l’entreprise elle-meme propose la description officielle “A Propos de Tinder” suivante:
Mes gens que l’on rencontre peuvent nous changer la vie. Une amitie, 1 rendez-vous, une histoire d’amour ou meme une retrouve par hasard peuvent changer la vie de quelqu’un Afin de toujours. Tinder procure a ses utilisateurs dans le monde entier, le loisir de coder des liens qui n’auraient peut-etre pas surpris le jour autrement. Nous developpons des aliments qui rapprochent les gens.
C’est a minimum pres aussi pertinent que de l’eau trouble, donc afin d’effectuer simple, nous allons decrire Tinder tel une application de rencontre ainsi que mise en relation qui vous aide a tomber sur des gens avec qui faire la fete dans votre voisinage proche.
Un coup que vous vous etes inscrit, que vous avez fourni a Tinder l’acces a votre localisation et a a toutes les precisions sur votre style de vie, il effectue 1 call-home vers ses serveurs et recupere des images d’autres utilisateurs Tinder dans ce region (vous pouvez opter pour le perimetre au sein d’ lequel il devra chercher, la tranche d’age, et ainsi d’affilee).
Les images apparaissent l’une apres l’autre et vous les balayez vers la gauche si elles ne vous plaisent pas, par la droite si elles vous conviennent.
Les gens que vous avez selectionnes en les balayant vers la droite recoivent aussi un message mentionnant que vous des aimez, ainsi, l’application Tinder te prend en charge nos messages a partir de ce moment-la.
Un flux de informations enorme
On peut considerer cette revendication comme ringarde, mais Tinder pretend traiter 1.600.000.000 de balayages (swipes) par jour et permettre 1.000.000 de rendez-vous (dates) avec semaine.
Avec environ 11 000 “swipes” via “dates”, la quantite de informations echangee entre vous et Tinder est enorme alors que vous cherchez la bonne personne.
Vous vous attendez donc a ce que Tinder prenne les precautions basiques habituelles pour garder toutes ces images en securite, a Notre fois Quand nos images d’autres individus vous seront envoyees, ainsi, inversement Quand des votres seront envoyees a d’autres.
Par securite, bien sur, nous parlons d’une transmission des images de maniere confidentielle, mais nous sous-entendons egalement qu’elles arrivent intactes, assurant ainsi a la fois la confidentialite et l’integrite.
Sinon, n’importe quelle personne malveillante dans votre bar prefere pourrait sans probli?me voir ce que vous etes en train de faire, et modifier par la meme occasion les images en transit.
Meme leur objectif reste simplement de vous faire peur, vous vous attendez tout ainsi a ce que Tinder empeche de telles actions soient possibles, en envoyant bien son trafic via une connexion HTTPS, a savoir une connexion HTTP S ecurisee.
Eh beaucoup, des chercheurs de Checkmarx ont decide de verifier ce que Tinder avait veritablement mis en place, et ils ont constate que si vous accedez a Tinder depuis la navigateur web, la securite reste assuree.
Mais concernant votre appareil mobile, ils ont constate que Tinder avait pris des raccourcis en matiere de securite.
Nous avons mis les declarations de Checkmarx a l’epreuve, ainsi, des resultats ont corrobore des leurs.
Selon nos observations, tout le trafic Tinder utilise une connexion HTTPS Quand vous utilisez la navigateur, avec bon nombre de images telechargees par lots a partir du port 443 (HTTPS) via images-ssl.gotinder.com .
Le nom de domaine site mobile ferzu images-ssl aboutit enfin dans le Cloud d’Amazon, mais les serveurs qui fournissent des images ne fonctionnent que via le protocole TLS, vous ne pouvez tout juste jamais vous connecter au bon vieux http://images-ssl.gotinder.com car le serveur ne prendra pas en charge la solide ancienne connexion HTTP.
En passant sur l’application mobile, neanmoins, les telechargements d’images paraissent effectues via des URL qui commencent par , donc elles seront telechargees de maniere non securisee, a savoir que chacune des images que vous visionnez vont pouvoir etre recuperees ou modifiees en lei§ons de route.
Ironiquement, images.gotinder.com gere les requetes HTTPS via le port 443, mais vous obtiendrez premonitoire de certificat, car il n’existe aucun certificat emis avec Tinder pour se rendre sur un serveur:
Mes chercheurs de Checkmarx paraissent alles encore plus loin, et pretendent que aussi si chaque swipe est renvoye a Tinder via un paquet chiffre, ils pourront tout de meme penser si vous avez effectue un swipe a gauche ou a droite parce que nos longueurs de paquet sont diverses.
J’ai differenciation des swipes a gauche/droite ne doit gui?re etre possible a tout moment, mais il s’agit d’un probleme nombre plus serieux de fuite de donnees Quand nos images que vous avez selectionnees par swipe ont deja ete revelees a ce voisin curieux et peu scrupuleux.
Quoi Realiser ?
Nous n’arrivons gui?re a saisir pourquoi Tinder a programme differemment son web site classique et le application mobile, mais nous nous sommes habitues a toutes les applications mobiles qui avaient ete negligees vis a vis de leurs homologues de bureau en matiere de cybersecurite.
- Pour des utilisateurs Tinder: si vous avez des inquietudes concernant de potentiels curieux au coin d’un sirop, qui pourraient vous espionner a l’aide de votre connexion Wi-Fi, arretez d’utiliser l’application Tinder et contentez-vous de leur site simple.
- Pour nos programmeurs Tinder: vous avez deja l’integralite des images dans des serveurs securises, alors arretez de prendre certains raccourcis en matiere de securite (nous supposons que vous avez estime que cela accelererait legerement plus l’application mobile si les images n’etaient pas chiffrees). Modifiez votre application mobile afin qu’elle puisse prendre en charge la connexion HTTPS du debut a la fin.
- Pour les ingenieurs logiciels de l’univers entier: ne laissez gui?re les chefs d’article de vos applications mobiles prendre des raccourcis en matiere de securite. Si vous sous-traitez ce developpement mobile, ne laissez jamais l’equipe design vous convaincre de laisser la forme prendre le dessus concernant la fonction.
