Un bug sécuritaire permettant de prendre le contrôle du compte de quelqu’un en devinant son adresse mail, a été résolu dans l’appli de rencontres, après avoir fait l’objet d’un rapport.
Grindr, l’appli de rencontres pour LGBTQ+ (lesbiennes, gays, bisexuels et transgenres), a corrigé une faille dans sa sécurité, qui permettait de prendre le contrôle du compte de quelqu’un en devinant son adresse mail. Il s’agit là d’une faille incroyablement grave découverte par le chercheur français Wassime Bouimadaghene.
Il avait fait rapport du bug, mais sans recevoir de réaction. Il fit alors part de sa découverte à l’expert en sécurité bien connu Troy Hunt, qui lui consacra un communiqué posté sur un blog. Entre-temps, ledit problème semble être résolu.
Le bug en question se trouvait dans le système de réinitialisation du mot de passe. Lorsqu’on l’utilise dans Grindr, on reçoit un courriel en retour. Le lien qu’on y trouve, contient un jeton (token) pour réinitialiser le mot de passe. C’est un système utilisé par beaucoup de sites. Le hic, c’est que la page de réinitialisation dans Grindr transférait aussi ce jeton au navigateur. Il était donc ainsi possible d’aller sur cette page, de saisir l’adresse mail de quelqu’un et, à condition d’avoir un peu de connaissance html, de s’emparer du jeton. Si on le place ensuite dans l’url, on peut soi-même choisir un mot de passe pour le compte, qui devient ainsi sous contrôle effectif.
Les données des applis de rencontres sont déjà sensibles en tant que telles, mais Grindr est surtout connue comme une appli s’adressant aux homosexuels et lesbiennes, ce qui fait qu’elle contient donc le genre d’informations permettant d’agresser ou de faire chanter des gens. Les propriétaires chinois de l’appli avaient au début de cette année été contraints de la revendre, parce que la connaissance de la nature même de citoyens américains entre des mains chinoises pouvait constituer un risque pour la sécurité. Cela ne signifie cependant pas que l’appli ne puisse causer de graves problèmes de sécurité.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici