L’application SPOTTED ne protège pas l’anonymat de ses utilisateurs

Posted On 15 Oct 2015

Tag: anonymat, fuite, infiltration, spotted

Le piratage d’Ashley Madisson ne semble pas avoir fait réagir les entreprises liées aux rencontres entre adultes. L’application SPOTTED ne protège pas ses abonnés censés être anonymes.

L’application SPOTTED tourne sous Android et iOS. La mission de se programme allemand, permettre à des inconnus de se rencontrer. L’idée est simple, vous avez rencontré une personne qui vous a fait craquer. Spotted vous met en contact avec elle ainsi qu´avec tous ceux que vous avez pu rencontrer sur votre chemin et que vous aimeriez revoir. Spotted propose, entre autres, Flirt messages anonymes qui permet de savoir si quelqu’un vous cherche. Autre outil annoncé comme anonyme, le Tchat qui permet de causer sans donner son identité. Une option qui, pour l’avoir testé, se termine très souvent pas une proposition sexuelle des plus explicites. De la prostitution par moyen détourné.

Seulement, Zataz peut vous confirmer que l’application ne protège pas du tout l’anonymat de ses utilisateurs. Nous avons pu constater la découverte d’un jeune chercheur en sécurité informatique, Reda CHERQAOUI. Ce consultant en sécurité informatique au sein de la société Achilles Security travaille actuellement sur un projet de création de startup proposant des test d’intrusion pour application web et mobile.

La découverte est dès plus déconcertante, d’abord pas sa facilité d’accès. Ensuite, par le total mutisme de l’entreprise qui n’a répondu à aucunes sollicitations (Twitter, mail). La fuite n’est toujours pas corrigée et met en danger les utilisateurs de cette application dite de « dating de proximité ». L’application Spotted annonce garantir la sécurité de la vie privée des utilisateurs comme elle le stipule sur son site internet : « You remain anonymous. Spotted dedicated to protext your privacy and your data »… et sur leur application. Seulement, comme a pu le constater zataz.com, en analysant le contenu des communications effectuées avec le serveur de Spotted, via leur API, l’anonymisation n’est qu’un support marketing pour l’entreprise allemande.

« J’ai remarqué que le JSON retourné de la liste des flirtmessages contenait l’id user de l’auteur des messages, explique à Zataz Reda. Par la suite, il nous a paru nécessaire de trouver une requête permettant de retourner des informations concernant un profil via son user id. Pour ce faire nous avons provoqué un match avec un autre utilisateur pour voir son profil, puis nous avons remplacé son user id par celui de l’auteur précédemment cité. De nombreuses informations« . Parmi les informations collectables, photos, dates de naissance, une indication partielle des mails et, dans le cas ou la personne s’est connecté via Facebook, son id de profil Facebook. L’API est une sacré bavarde pour un mode anonyme !

Les risques ?

La véritable question réside dans le fait que nous ne sommes plus en possession de nos données « dites » personnelles et que certaines applications telle que Spotted ne nous garantissent absolument plus l’anonymat, alors même qu’elle le déclare. « Elle met en danger la vie privée et les données de ses utilisateurs. » confirme Reda. Les dérives liées à l’utilisation de flirt messages sont considérables. Mettre une image et une identité sur un message coquin peut être nuisible pour ladite personne. Se confier en pensant parler anonymement peut aussi représenter un danger pour la détentrice du secret, d’autres encore évoquent leurs préférences sexuelles inavouées ou inavouables… Sans parler, et Zataz a rencontrer deux cas lors du test, des propositions tarifées pour du câlin coquin. Comment expliquer une telle fuite alors qu’ils parlent d’anonymat ? « Cela ne s’explique absolument pas, s’attriste Reda Cherqaoui. Cette entreprise a effectué récemment une levée de fond de 14,5 millions de dollars ! » Une belle enveloppe qui devrait mettre l’anonymat tant vanté comme une priorité. D’autant que pour corriger ce genre de fuite, 2 euros suffisent, le temps de prendre un café : cacher l' »user id » du résultat retourné des flirt messages et que leur API retourne le strict minimum d’information concernant les utilisateurs. Mais à première vue, comme pour Ashely Madisson, vendre du rêve ne semble être que la priorité de ces start-ups !

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.