Grindr ne protège pas suffisamment la position précise de ses utilisateurs

Après de premières révélations sur l’envoi de données très personnelles à des tiers en avril, l’application Grindr – dédiée aux rencontres gay – est de nouveau sur le banc des accusés, car elle ne protège pas suffisamment la position précise de ses utilisateurs.
Queer Europe explique qu’il ne s’agit pas de pirater les serveurs de la société, mais d’exploiter son API, qui permet de connaître la distance qui vous sépare d’un autre utilisateur. Avec plusieurs points différents (donc plusieurs distances) et grâce à la trilatération (une technique proche de la triangulation), vous pouvez récupérer sa position précise.
Cette « attaque » peut être réalisée via l’outil baptisé Fuckr qui a déjà plusieurs années. Suite à la publication de cette vulnérabilité, le dépôt GitHub a été fermé, à la demande de Grindr. Cette dernière explique que « le but de « Fuckr » est de faciliter l’accès non autorisé à Grindr en contournant les contrôles d’accès ». Comme toujours en pareille situation, de nombreux forks sont déjà disponibles.
Dans un communiqué envoyé à BuzzFeed, Scott Chen (président de Grindr) explique que la géo localisation est « essentielle à la plateforme et pour l’expérience utilisateur », mais il reconnaît « des défis inhérents à son utilisation ».
Il ajoute qu’il « continuera d’essayer de faire évoluer et améliorer la plateforme », mais sans préciser comment ni quand. Une solution de contournement pourrait être de n’afficher qu’une distance approximative, rendant vaine la trilatération (la précision serait par exemple proportionnelle à la densité de la population).
D’après Queer Europe ce n’est toujours pas le cas, alors que le problème est connu depuis des années. Lors de leurs essais, ils ont en effet pu suivre le déplacement précis d’un utilisateur du service (consentant à participer à cette expérience).

Poster un commentaire

Classé dans info

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.