Failles de Sécurité dans l’Application de Rencontre Feeld : Une Préoccupation Croissante
Des chercheurs en sécurité ont mis en lumière une série de vulnérabilités dans l’application de rencontre Feeld, permettant potentiellement d’accéder à des données privées des utilisateurs, y compris des images sensibles qui ne devraient pas être partagées.
Feeld : Une Plateforme pour les Esprits Ouverts
Feeld s’adresse à des « individus ouverts d’esprit », intéressés par des modèles de relations alternatifs tels que la non-monogamie éthique, le polyamour, le swinging et d’autres pratiques similaires. Étant donné cette orientation, les utilisateurs pourraient légitimement s’attendre à ce que les développeurs de l’application, lancée il y a un peu plus de dix ans, aient renforcé leur sécurité.
Des Failles Facilement Exploitables
Malheureusement, selon les travaux réalisés par les spécialistes en tests de pénétration de Fortbridge, toutes les données nécessaires pour sauvegarder les messages privés des utilisateurs, y compris les photos et vidéos échangées dans les salons de discussion, peuvent être facilement interceptées à l’aide d’un outil de proxy réseau.
En d’autres termes, il est possible d’utiliser un proxy réseau pour examiner les données échangées entre les serveurs de Feeld et l’application sur votre appareil. Ces données contiennent des informations qui ne devraient pas y figurer, qu’il s’agisse de données sur d’autres utilisateurs qui n’auraient pas dû être envoyées ou d’informations pouvant être utilisées pour effectuer des requêtes supplémentaires sur les serveurs de Feeld.
Exploitation des Données Utilisateurs
Par exemple, en interceptant une requête pour voir les « j’aime » d’un profil, les chercheurs ont pu se donner des avantages de membre premium, leur permettant d’accéder à des informations complètes sur les utilisateurs qui les ont « aimés ». Normalement, les utilisateurs gratuits ne peuvent voir que le nom, tandis que d’autres détails sont floutés.
Bien que cette vulnérabilité soit considérée comme la moins grave parmi les huit failles de sécurité identifiées par Fortbridge, la méthode d’exploitation a ouvert la voie à la découverte de problèmes plus sérieux. En effet, l’interception de diverses requêtes de l’application pourrait permettre de collecter des données telles que l’identifiant utilisateur, l’âge, la distance et les photos de profil, dont certaines pourraient être utilisées pour accéder à davantage d’informations.
Bogdan Tiron, consultant en sécurité des applications cloud chez Fortbridge, a pu extraire un identifiant utilisateur d’une requête, puis lire les messages privés de cet utilisateur en réutilisant cet identifiant dans une autre requête. Plus précisément, une partie de l’API de Feeld permet d’obtenir le streamUserId d’un autre utilisateur, et en utilisant cette valeur dans un autre appel API pour lire les messages, il est possible d’accéder aux conversations privées de cette personne. Cela ne devrait pas se produire.
Accès Non Autorisé aux Médias Privés
Tiron a également démontré qu’un utilisateur non authentifié pouvait accéder aux images et vidéos d’autres utilisateurs envoyées via les salons de discussion privés de l’application. Cela incluait des médias que les utilisateurs avaient spécifiquement configurés pour disparaître après un certain temps, généralement entre 5 et 15 secondes.
Exploiter ces vulnérabilités ne semble pas compliqué.
En utilisant un outil tel que Burp Proxy et les données recueillies lors de requêtes précédentes, Tiron a pu supprimer des messages envoyés par des utilisateurs, les récupérer et modifier les messages d’autres utilisateurs, comme s’il n’était pas dans la discussion. Il a également pu envoyer des messages à d’autres utilisateurs dans des discussions existantes où il n’était pas participant. Il n’y a pas de cryptage de bout en bout ici.
Conséquences et Réactions
Les autres possibilités incluaient la visualisation des matchs d’autres utilisateurs, forcer un utilisateur à « aimer » son propre profil, et modifier les informations de profil d’autres utilisateurs, y compris le nom, la sexualité, l’âge, et plus encore.
En commentant ces découvertes, Sean Wright, spécialiste en sécurité des applications, a déclaré : « À part la vulnérabilité permettant de contourner les limitations de niveau d’abonnement, le reste est assez accablant et préoccupant. Beaucoup d’informations utilisées dans cette application sont extrêmement personnelles. Ces vulnérabilités pourraient être exploitées par toutes sortes d’acteurs malveillants, d’un ex jaloux à un harceleur, en passant par des criminels organisés utilisant des escroqueries de type chantage. »
Un Délai de Réponse Inadéquat
Tiron a présenté ses résultats à Feeld le 8 mars. Selon le calendrier de divulgation qu’il a fourni, Fortbridge a accepté à plusieurs reprises de retarder la publication de ses résultats pour permettre à Feeld de mettre en œuvre les corrections nécessaires. En général, un délai de 90 jours est considéré comme un bon équilibre entre donner aux développeurs suffisamment de temps pour corriger les problèmes et alerter le public sans retard excessif.
Cependant, six mois se sont écoulés depuis le rapport initial de Tiron à Feeld. La dernière réponse de l’entreprise date du 16 août, indiquant : « Nous avons mis en œuvre les changements nécessaires pour atténuer les problèmes restants. » Cela semble indiquer que les corrections nécessaires ont été appliquées, mais selon les notes d’historique des versions laissées sur la page de l’App Store de Feeld, il n’y a eu aucune mention de sécurité ou d’amélioration des performances depuis mai. Toutes les mises à jour depuis se sont concentrées sur le lancement de nouvelles fonctionnalités.
Les utilisateurs de Feeld sur Reddit ne semblent pas satisfaits du temps pris pour résoudre les divers problèmes. L’un d’eux a déclaré : « Le calendrier de divulgation de Feeld à la fin du post est assez frustrant. Il a fallu cinq mois à Feeld pour corriger ces énormes failles de sécurité. S’ils prenaient cela au sérieux, ils auraient immédiatement alerté les utilisateurs que tout ce qu’ils avaient posté était compromis et suspendu les inscriptions jusqu’à ce que tout soit corrigé. »
D’autres, cependant, étaient moins préoccupés par cette nouvelle. « C’est leur problème, je suis un exhibitionniste, » a écrit un utilisateur.
