Depuis quelque temps, les applications de rencontres semblent devenir une cible de choix pour les hackers.
Les plateformes de rencontres ne sont pas encore considérées comme une mine d’or en matière de renseignements personnels, contrairement aux banques et hôpitaux. Néanmoins, elles font partie de la vie quotidienne de millions de personnes. Dans ce cas, les hackers ne piratent pas la base de données en back-office comme ont pu subir AdultFriendFinder, Ashley Madison et Zoosk. Ils préfèrent entrer par la porte principale en utilisant des mots de passe divulgués ou devinés.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Il semble se produire actuellement ce type d’action avec certains comptes OkCupid. C’est en tous cas ce qu’un utilisateur a relayé à TechCrunch. L’utilisateur en question a déclaré que, le pirate est entré par effraction sur son profil et a changé son mot de passe, le plaçant ainsi hors de sa portée. Pire encore, le hacker a changé son adresse électronique dans le dossier, l’empêchant ainsi de réinitialiser son mot de passe.
Un manque flagrant de sécurité.
Ce qui est étonnant, c’est que OkCupid n’a pas envoyé d’email concernant la confirmation d’un changement d’adresse. L’application a simplement accepté aveuglément ce changement. Suite à sa plainte, OkCupid a répondu à l’utilisateur
« Malheureusement, nous ne sommes pas en mesure de fournir des détails sur les comptes qui ne sont pas liés à votre adresse email ». Et comme si ce n’était pas suffisant, le hacker a récupéré le numéro de téléphone de la personne, qui avait été divulgué lors de messages privés, mais rapidement supprimé. Via ce numéro, le pirate s’est mis à le harceler en lui envoyant d’étranges messages.
Après plusieurs recherches de la part de TechCrunch, il s’est avéré que ce n’était pas uniquement un cas isolé. Plusieurs utilisateurs semblent être dans la même situation. Un autre utilisateur révèle qu’il a finalement récupéré son compte. « C’était une sacrée bataille… » dit-il. « C’était deux jours de contrôle des dégâts jusqu’à ce que OkCupid réinitialise enfin le mot de passe pour moi. »
Malgré l’embarras de nombreux utilisateurs, OkCupid reste de marbre. « Il n’y a pas eu d’atteinte à la sécurité de OkCupid », a déclaré Natalie Sawyer, porte-parole de l’application. « Tous les sites Web subissent constamment des tentatives de prise de contrôle de compte. Il n’y a pas eu d’augmentation des prises de contrôle de comptes sur OkCupid ».
Nathalie Sawyer n’a « aucun autre commentaire » lorsqu’il lui est demandé si elle a des solutions pour éviter les piratages de comptes à l’avenir.
Cette affaire n’est pas surprenante quand nous savons que OkCupid, pourtant acteur majeur de la rencontre en ligne, n’utilise pas du tout l’authentification à deux facteurs. L’application n’est néanmoins pas la seule, puisque Match, PlentyOfFish, Zoosk, Badoo, JDate et eHarmony n’utilisent toujours ce système de sécurité basique.