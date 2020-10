On pourrait penser qu’une application de rencontre qui connaît votre sexualité et votre statut sérologique prendrait des précautions rigoureuses pour protéger ces informations, mais Grindr a déçu le monde une fois de plus – cette fois, avec une vulnérabilité de sécurité terriblement flagrante qui aurait pu laisser littéralement n’importe qui qui pourrait deviner votre adresse e-mail dans votre compte utilisateur.

Heureusement, le chercheur français en sécurité Wassime Bouimadaghene a découvert la vulnérabilité, peut-être avant qu’elle ne puisse être exploitée, et elle a maintenant été corrigée.

Malheureusement pour Grindr, la société a ignoré ses révélations – jusqu’à ce que le chercheur en sécurité Troy Hunt (de Have I Been Pwned) et le journaliste Zack Whittaker (de TechCrunch) aient chacun confirmé le problème et écrit à ce sujet.

Les détails doivent être vus pour être crus (veuillez donc regarder l’image ci-dessus) mais la version courte est la suivante: si vous insérez une adresse e-mail dans le formulaire de réinitialisation du mot de passe de Grindr, il enverra un message à votre navigateur Web avec la clé vous devez réinitialiser le mot de passe enfoui à l’intérieur.

Vous pourriez alors théoriquement simplement copier et coller cette clé dans une URL de réinitialisation de mot de passe (ce que Hunt a fait), et prendre en charge un compte comme ça.

Le COO de Grindr, Rick Marini, a déclaré à TechCrunch que «nous pensons avoir résolu le problème avant qu’il ne soit exploité par des parties malveillantes», et déclare que Grindr s’associera à la fois à une «entreprise de sécurité de premier plan» et introduira un programme de prime aux bogues. J’espère que cela devrait signifier que les chercheurs en sécurité comme Bouimadaghene auront plus de facilité à entrer en contact.

Les données Grindr sont particulièrement sensibles

Encore une fois, ce n’est pas seulement une application qui contient quelques messages. Les utilisateurs de Grindr incluent des personnes gays, bi, trans et queer, et la simple présence de l’application sur le téléphone d’une personne peut indiquer quelque chose sur sa sexualité qu’elle ne souhaite pas révéler au monde extérieur. Et pourtant, c’est l’entreprise qui a été surprise en train de partager le statut sérologique de ses utilisateurs avec d’autres entreprises et de partager d’autres informations personnelles avec des annonceurs tiers.

Cela dit, il se peut que ce soit une entreprise légèrement différente maintenant. En mars dernier, les propriétaires chinois de la société l’ont vendue à un groupe d’investisseurs américains, qui est également devenu la nouvelle direction de Grindr. Marini, le COO cité par TechCrunch, était l’un des investisseurs du groupe. Un autre, Jeff Bonforte, est le nouveau PDG de la société.