L’application SPOTTED ne protège pas l’anonymat de ses utilisateurs

Le piratage d’Ashley Madisson ne semble pas avoir fait réagir les entreprises liées aux rencontres entre adultes. L’application SPOTTED ne protège pas ses abonnés censés être anonymes.

L’application SPOTTED tourne sous Android et iOS. La mission de se programme allemand, permettre à des inconnus de se rencontrer. L’idée est simple, vous avez rencontré une personne qui vous a fait craquer. Spotted vous met en contact avec elle ainsi qu´avec tous ceux que vous avez pu rencontrer sur votre chemin et que vous aimeriez revoir. Spotted propose, entre autres, Flirt messages anonymes qui permet de savoir si quelqu’un vous cherche. Autre outil annoncé comme anonyme, le Tchat qui permet de causer sans donner son identité. Une option qui, pour l’avoir testé, se termine très souvent pas une proposition sexuelle des plus explicites. De la prostitution par moyen détourné.

Seulement, Zataz peut vous confirmer que l’application ne protège pas du tout l’anonymat de ses utilisateurs. Nous avons pu constater la découverte d’un jeune chercheur en sécurité informatique, Reda CHERQAOUI. Ce consultant en sécurité informatique au sein de la société Achilles Security travaille actuellement sur un projet de création de startup proposant des test d’intrusion pour application web et mobile.

spotted fuite

La découverte est dès plus déconcertante, d’abord pas sa facilité d’accès. Ensuite, par le total mutisme de l’entreprise qui n’a répondu à aucunes sollicitations (Twitter, mail). La fuite n’est toujours pas corrigée et met en danger les utilisateurs de cette application dite de « dating de proximité ». L’application Spotted annonce garantir la sécurité de la vie privée des utilisateurs comme elle le stipule sur son site internet : « You remain anonymous. Spotted dedicated to protext your privacy and your data »… et sur leur application. Seulement, comme a pu le constater zataz.com, en analysant le contenu des communications effectuées avec le serveur de Spotted, via leur API, l’anonymisation n’est qu’un support marketing pour l’entreprise allemande.

« J’ai remarqué que le JSON retourné de la liste des flirtmessages contenait l’id user de l’auteur des messages, explique à Zataz Reda. Par la suite, il nous a paru nécessaire de trouver une requête permettant de retourner des informations concernant un profil via son user id. Pour ce faire nous avons provoqué un match avec un autre utilisateur pour voir son profil, puis nous avons remplacé son user id par celui de l’auteur précédemment cité. De nombreuses informations« . Parmi les informations collectables, photos, dates de naissance, une indication partielle des mails et, dans le cas ou la personne s’est connecté via Facebook, son id de profil Facebook. L’API est une sacré bavarde pour un mode anonyme !

Les risques ?

La véritable question réside dans le fait que nous ne sommes plus en possession de nos données « dites » personnelles et que certaines applications telle que Spotted ne nous garantissent absolument plus l’anonymat, alors même qu’elle le déclare. « Elle met en danger la vie privée et les données de ses utilisateurs. » confirme Reda. Les dérives liées à l’utilisation de flirt messages sont considérables. Mettre une image et une identité sur un message coquin peut être nuisible pour ladite personne. Se confier en pensant parler anonymement peut aussi représenter un danger pour la détentrice du secret, d’autres encore évoquent leurs préférences sexuelles inavouées ou inavouables… Sans parler, et Zataz a rencontrer deux cas lors du test, des propositions tarifées pour du câlin coquin. Comment expliquer une telle fuite alors qu’ils parlent d’anonymat ? « Cela ne s’explique absolument pas, s’attriste Reda Cherqaoui. Cette entreprise a effectué récemment une levée de fond de 14,5 millions de dollars ! » Une belle enveloppe qui devrait mettre l’anonymat tant vanté comme une priorité. D’autant que pour corriger ce genre de fuite, 2 euros suffisent, le temps de prendre un café : cacher l' »user id » du résultat retourné des flirt messages et que leur API retourne le strict minimum d’information concernant les utilisateurs. Mais à première vue, comme pour Ashely Madisson, vendre du rêve ne semble être que la priorité de ces start-ups !

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.