Grindr reste une passoire à données personnelles

Infos de localisation, photos effacées et comptes bloqués sont encore trop facilement accessibles, souligne un nouvelle enquête sur la populaire app de drague gay.

La sécurité de vos données sur Grindr n’est pas assurée! L’alerte procure comme une impression de déjà-vu. Selon une enquête de la chaîne américaine NBC, la plateforme de rencontres gay recèle deux failles permettant l’accès potentiel aux contenus des messageries, photos et localisations de 3 millions d’utilisateurs.

Celles-ci ont été révélées par le patron d’une startup, Trever Faden, qui s’est amusé à créer un site, C*ckblocked, permettant aux utilisateurs d’accéder à des données inaccessible dans l’interface officielle: liste des contacts les ayant bloqués, mais aussi de leurs photos «effacées» ou contacts e-mail. Plus troublant encore: les utilisateurs pouvaient y retrouver leurs localisations GPS même quand ils avaient désactivé cette option.

Colmatage
Grindr a rapidement colmaté les brèches, entraînant la fermeture de C*ckblocked, et envoyé un rappel à ses abonnés pour qu’ils ne partagent en aucun cas leurs codes de connexion. Pour autant, l’app reste vulnérable, notamment à cause de l’utilisation de données non codées par ses serveurs, souligne Faden.

En 2014, un hackeur avait démontré combien il était facile par une tierce partie de créer de faux profils et d’obtenir les données ultraprécises de localisation des utilisateurs de Grindr, mais aussi d’autres apps de rencontres gay. Ce dernier élément est particulièrement problématique dans les Etats réprimant l’homosexualité. On sait par exemple que la police égyptienne a utilisé Grindr pour cibler les gays.

En mains d’un consortium chinois depuis 2016, Grindr revendiquait quelque 27 millions d’utilisateurs à travers le monde en 2017.

À lire également