• Rejoignez-nous sur Google+
  • Flux RSS Flux RSS

Une faille Tinder permettait d'accéder au compte d'un utilisateur avec son numéro de téléphone

Une faille Tinder permettait d'accéder au compte d'un utilisateur avec son numéro de téléphone

De nombreux utilisateurs de Tinder qui craignent que quelqu'un d'autre accède à son compte auraient bien pu voir leur peur devenir réalité. Un simple numéro, et n'importe qui pouvait accéder à l'un des comptes des 50 millions d'utilisateurs.

 

S'il suffisait d'un numéro de téléphone pour s'enregistrer

Certains comptes utilisateurs d'applications n'ont pas nécessairement besoin d'une grande sécurité puisqu'ils ne donnent pas accès à des données sensibles... Ce n'est pas tout à fait le cas de Tinder. Conversations intimes, profil, préférences amoureuses, contrôle des outils, peu d'utilisateurs aimeraient savoir que l'application possédait une faille dans le processus d'identification.

 

 

Comment cette faille était utilisée pour aller sur le compte de quelqu'un d'autre ? Lorsque vous cherchez à vous identifier sur l'interface, celle-ci vous propose deux choix : utiliser votre compte Facebook ou votre numéro de téléphone. 

Si vous utilisiez votre numéro comme moyen d'authentification, Tinder utilisait alors la solution Account Kit, le logiciel d'authentification de Facebook. L'application demandait alors un "token" pour accepter la demande de Tinder. 

 

 

La vulnérabilité d'Account Kit liée aux token

Le token est un jeton d'identification unique et infalsifiable associé à chaque compte, il identifie l'utilisateur : la faille de deux services résidait dans le fait que les deux services ne vérifiaient pas si le token donné par Account Kit correspondait au compte du numéro de téléphone entré dans la plateforme de Tinder.

Comme personne ne vérifiait quel utilisateur s'identifiait sur quel compte, il suffisait d'avoir un jeton valide pour entrer dans n'importe quel compte pourvu que vous ayez son numéro de téléphone. 

 

 

En outre, n'importe quel token valide utilisé pour Account Kit aurait pu faire l'affaire, y compris des jetons issus d'autres applications (plus besoin donc d'avoir un compte Tinder). 

Les deux géants d'internet ont immédiatement réagi et renforcé l'identification. Ils ont également remercié les chercheurs en sécurité de Appsecure qui ont découvert la faille par deux beaux chèques (5000$ pour Facebook et 1250$ pour Tinder). 

Articles sur le même sujet

Pas de commentaires
Soyez le premier à déposer un commentaire

Laisser un commentaire pour l'article Une faille Tinder permettait d'accéder au compte d'un utilisateur avec son numéro de téléphone

Merci de rester correct et de respecter les différents intervenants.

Autres langues
Sélection logiciels
  • Avast Security & Photo Vault iOS Avast Security & Photo Vault iOS 0 téléchargement

    Avast Security & Photo Vault est une application iOS qui vous apporte des outils pour vous protéger au quotidien. Vous disposerez par exemple...
    Voir le logiciel

  • Vipre Identity Shield Vipre Identity Shield 24 téléchargements

    Vipre Identity Shield est un logiciel qui permet aux utilisateurs de sécuriser les données sur le web. Il permet aussi de bloquer l’accès au...
    Voir le logiciel

  • CCleaner pour Mac CCleaner pour Mac 350 téléchargements

    CCleaner pour Mac est un logiciel qui permet d’effacer facilement ses traces sous Mac OS X. Disposant de moins de fonctionnalités que la version...
    Voir le logiciel