Selon un rapport, il est possible de prendre le contrôle d’un compte Tinder simplement grâce à un numéro de téléphone. L’entreprise s’est déjà occupée du problème.

Au début de l’année, une faille de sécurité avait déjà été découverte dans la même application. En cause, le fait que les données reçues et envoyées n’étaient pas chiffrées par l’application. De fait, celles-ci étaient accessibles par une personne utilisant le même réseau Wi-Fi. Par ce biais, il était possible d’avoir accès aux photos, aux swipes et aux matchs d’un utilisateur. Une fois de plus, Tinder a fait face à une autre faille, permettant cette fois-ci de prendre le contrôle du compte de n’importe quel utlisateur grâce à un numéro de téléphone.

Si l’on en croit le dernier rapport de la société de sécurité Appsecure, le problème serait issu du système de connexion de l’application. La faille vient de la combinaison de deux vulnérabilités : l’une dans Tinder et l’autre dans le Facebook Account Kit. Pour rappel, ce dernier est une solution du réseau social qui permet de se connecter à d’autres applications sans mot de passe. Il suffit de faire part de son adresse mail ou de son numéro de téléphone. Comme beaucoup d’autres applications, Tinder utilise ce système pour permettre à ses utilisateurs de se connecter. Concernant la vulnérabilité de Account Kit, elle se situait dans le fait que les tokens d’authentification de chacun des utilisateurs étaient exposés et ainsi accessible via une requête API accompagné d’un numéro de mobile. Quant au système de connexion de Tinder, il ne vérifiait pas les tokens par rapport à l’ID du client associé. De fait, toute personne ayant un token d’authentification valide pouvait se connecter à l’application et prendre le contrôle du compte.

Néanmoins, rien ne confirme actuellement que la combinaison des deux failles ait été exploitées. La vulnérabilité a été rapportée à Facebook par Appscure, que le réseau a remercié en précisant avoir rapidement traité le problème.

Pour sa part, Tinder ne s’est pas étendu sur le sujet mais a précisé : « La sécurité est une priorité absolue chez Tinder […] Toutefois, nous ne discutons pas de mesures ou de stratégies de sécurité spécifiques, afin de ne pas avertir les hackers malveillants ».

Source : The Verge