• Rejoignez-nous sur Google+
  • Flux RSS Flux RSS

Une faille Tinder permettait d'accéder au compte d'un utilisateur avec son numéro de téléphone

Une faille Tinder permettait d'accéder au compte d'un utilisateur avec son numéro de téléphone

De nombreux utilisateurs de Tinder qui craignent que quelqu'un d'autre accède à son compte auraient bien pu voir leur peur devenir réalité. Un simple numéro, et n'importe qui pouvait accéder à l'un des comptes des 50 millions d'utilisateurs.

 

S'il suffisait d'un numéro de téléphone pour s'enregistrer

Certains comptes utilisateurs d'applications n'ont pas nécessairement besoin d'une grande sécurité puisqu'ils ne donnent pas accès à des données sensibles... Ce n'est pas tout à fait le cas de Tinder. Conversations intimes, profil, préférences amoureuses, contrôle des outils, peu d'utilisateurs aimeraient savoir que l'application possédait une faille dans le processus d'identification.

 

 

Comment cette faille était utilisée pour aller sur le compte de quelqu'un d'autre ? Lorsque vous cherchez à vous identifier sur l'interface, celle-ci vous propose deux choix : utiliser votre compte Facebook ou votre numéro de téléphone. 

Si vous utilisiez votre numéro comme moyen d'authentification, Tinder utilisait alors la solution Account Kit, le logiciel d'authentification de Facebook. L'application demandait alors un "token" pour accepter la demande de Tinder. 

 

 

La vulnérabilité d'Account Kit liée aux token

Le token est un jeton d'identification unique et infalsifiable associé à chaque compte, il identifie l'utilisateur : la faille de deux services résidait dans le fait que les deux services ne vérifiaient pas si le token donné par Account Kit correspondait au compte du numéro de téléphone entré dans la plateforme de Tinder.

Comme personne ne vérifiait quel utilisateur s'identifiait sur quel compte, il suffisait d'avoir un jeton valide pour entrer dans n'importe quel compte pourvu que vous ayez son numéro de téléphone. 

 

 

En outre, n'importe quel token valide utilisé pour Account Kit aurait pu faire l'affaire, y compris des jetons issus d'autres applications (plus besoin donc d'avoir un compte Tinder). 

Les deux géants d'internet ont immédiatement réagi et renforcé l'identification. Ils ont également remercié les chercheurs en sécurité de Appsecure qui ont découvert la faille par deux beaux chèques (5000$ pour Facebook et 1250$ pour Tinder). 

Articles sur le même sujet

Pas de commentaires
Soyez le premier à déposer un commentaire

Laisser un commentaire pour l'article Une faille Tinder permettait d'accéder au compte d'un utilisateur avec son numéro de téléphone

Merci de rester correct et de respecter les différents intervenants.

Sélection logiciels
  • CCleaner pour Mac CCleaner pour Mac 338 téléchargements

    CCleaner pour Mac est un logiciel qui permet d’effacer facilement ses traces sous Mac OS X. Disposant de moins de fonctionnalités que la version...
    Voir le logiciel

  • ActiVPN ActiVPN 73 téléchargements

    ActiVPN est un logiciel VPN made in France qui vous permet de naviguer sur internet de manière anonyme, et sans géorestriction.
    Voir le logiciel

  • Avira Privacy Pal Avira Privacy Pal 51 téléchargements

    Avira Privacy Pal est un logiciel gratuit qui vous permet de gérer les paramètres de confidentialité de votre ordinateur et d’effacer vos traces...
    Voir le logiciel