Nous ne savons jamais tres bien De quelle fai§on le decrire, mais l’entreprise elle-meme propose la description officielle “A Propos de Tinder” suivante:
Les personnes que l’on rencontre peuvent nous changer notre vie. Une amitie, votre rendez-vous, une histoire d’amour ou meme une retrouve avec hasard peuvent changer notre vie de quelqu’un Afin de forcement. Tinder apporte a ses utilisateurs partout dans le monde, la chance de creer des liens qui n’auraient peut-etre jamais vu Au moment autrement. Nous developpons des aliments qui rapprochent les gens.
C’est a minimum pres aussi net que de l’eau trouble, donc pour faire simple, nous allons decrire Tinder comme une application de rencontre et de mise en relation qui vous aide a tomber sur des gens avec qui faire la fete dans votre voisinage proche.
Une fois que vous vous etes inscrit, que vous avez apporte a Tinder l’acces a votre localisation et a aux informations sur la look de vie, il effectue 1 call-home vers ses serveurs et recupere des images d’autres utilisateurs Tinder dans ce region (vous pouvez opter pour le perimetre au sein d‘ lequel il doit chercher, la tranche d’age, ainsi, ainsi de suite).
Mes images apparaissent l’une apres l’autre et vous les balayez vers la gauche si elles ne vous plaisent jamais, par la droite si elles vous conviennent.
Les individus que vous avez selectionnes en des balayant par la droite recoivent alors un message mentionnant que vous des aimez, et l’application Tinder prend en charge les messages a partir de ce moment-la.
Un flux de precisions enorme
On va pouvoir considerer cette revendication tel ringarde, mais Tinder pretend traiter 1.600.000.000 de balayages (swipes) par jour et permettre 1.000.000 de rendez-vous (dates) via semaine.
Avec plus de 11 000 “swipes” via “dates”, la moult informations echangee entre vous et Tinder est enorme pendant que vous cherchez la bonne personne.
Vous vous attendez donc a ce que Tinder prenne les precautions basiques habituelles Afin de garder toutes ces images en securite, a J’ai fois lorsque des images d’autres personnes vous seront envoyees, ainsi, inversement si des votres sont envoyees a d’autres.
Par marketing, bien sur, nous parlons une transmission des images de maniere confidentielle, mais nous sous-entendons egalement qu’elles arrivent intactes, assurant ainsi a la fois la confidentialite et l’integrite.
Sinon, n’importe quelle personne malveillante dans votre bar prefere pourrait sans probli?me voir votre que vous etes occupe i faire, ainsi, modifier par la meme occasion les images en transit.
Meme un objectif est juste de vous faire peur, vous vous attendez tout ainsi a ce que Tinder empeche de telles actions soient possibles, en envoyant tout le trafic via une connexion HTTPS, a savoir une connexion HTTP S ecurisee.
Eh bien, des chercheurs de Checkmarx ont decide de verifier votre que Tinder avait veritablement enfile en place, ainsi, ils ont constate que lorsque vous accedez a Tinder depuis ce navigateur internet, la securite reste assuree.
Mais sur la appareil mobile, ils ont constate que Tinder avait pris des raccourcis en matiere de securite.
Nous avons mis nos declarations de Checkmarx a l’epreuve, ainsi, nos resultats ont corrobore nos leurs.
Selon nos observations, bien le trafic Tinder utilise une connexion HTTPS lorsque vous utilisez la navigateur, avec la plupart des images telechargees par lots a partir du port 443 (HTTPS) sur images-ssl.gotinder.com .
Le nom de domaine images-ssl aboutit enfin au Cloud d’Amazon, mais les serveurs qui procurent les images ne fonctionnent que via le protocole TLS, vous ne pouvez bien simplement pas vous connecter au bon vieux http://images-ssl.gotinder.com car le serveur ne prendra gui?re en charge la solide agee connexion HTTP.
En passant sur l’application mobile, neanmoins, des telechargements d’images paraissent effectues via des URL qui commencent par , donc elles paraissent telechargees de maniere non securisee, a savoir que toutes les images que vous visionnez peuvent etre recuperees ou modifiees en file de route.
Ironiquement, images.gotinder.com gere les requetes HTTPS via le port 443, mais vous recueillerez une erreur de certificat, etant donne qu’il n’existe pas de certificat emis via Tinder Afin de se rendre via leur serveur:
Les chercheurs de Checkmarx paraissent alles encore plus loin, et pretendent que aussi si chaque swipe est renvoye a Tinder via votre paquet chiffre, ils pourront tout ainsi penser si vous avez effectue un swipe a gauche ou a droite parce que nos longueurs de paquet sont differentes.
Notre differenciation des swipes a gauche/droite ne doit pas etre possible a tout moment, mais il s’agit d’un probleme nombre plus serieux de fuite de donnees Quand des images que vous avez selectionnees par swipe ont deja ete revelees a la voisin curieux et minimum scrupuleux.
Quoi Realiser ?
Nous n’arrivons gui?re a comprendre pourquoi Tinder a programme differemment son web site classique et le application mobile, mais nous nous sommes habitues a toutes les applications mobiles qui avaient ete negligees vis a vis de leurs homologues de bureau en matiere de cybersecurite.
- Pour des utilisateurs Tinder: si vous avez des inquietudes concernant de potentiels curieux dans le coin d’un cafe, qui pourraient vous espionner par l’intermediaire de ce connexion Wi-Fi, arretez d’utiliser l’application Tinder et contentez-vous de leur website traditionnelle.
- Pour des programmeurs Tinder: vous avez deja l’ensemble des images dans des serveurs securises, aussi arretez de prendre certains raccourcis en matiere de securite (nous supposons que vous avez estime que i§a accelererait legerement plus l’application mobile si les images n’etaient pas chiffrees). Modifiez votre application mobile dans le but qu’elle puisse prendre en charge la connexion HTTPS du debut a la fin.
- Pour les ingenieurs logiciels du monde entier: ne laissez jamais les chefs d’article de vos applications mobiles prendre des raccourcis en matiere de securite. Si vous sous-traitez la developpement mobile, ne laissez gui?re geek2geek comment fonctionne l’equipe design vous convaincre de laisser la forme prendre le dessus sur la fonction.