Nous ne savons pas tres bien comment le decrire, mais l’entreprise elle-meme propose la description officielle “A Propos de Tinder” suivante:
Les personnes que l’on rencontre vont pouvoir nous remplacer la vie. Une amitie, 1 rendez-vous, une affaire d’amour ou meme une retrouve avec hasard peuvent changer la vie de quelqu’un Afin de toujours. Tinder offre a ses utilisateurs partout dans le monde, la chance de creer des liens qui n’auraient peut-etre jamais decouvert Au moment autrement. Nous developpons des produits qui rapprochent les individus.
C’est a minimum pres aussi pertinent que de l’eau trouble, donc pour faire simple, nous allons decrire Tinder tel une application de rencontre et de mise en relation qui vous aide a tomber sur des personnes avec qui faire la fete dans votre voisinage proche.
Une fois que vous vous etes inscrit, que vous avez fourni a Tinder l’acces a votre localisation et a a toutes les informations sur la ton de vie, il effectue votre call-home par ses serveurs et recupere des images d’autres utilisateurs Tinder dans votre region (vous pouvez prendre le perimetre au sein d’ lequel il doit chercher, la tranche d’age, ainsi, ainsi d’affilee).
Mes images apparaissent l’une apres l’autre et vous les balayez vers la gauche si elles ne vous plaisent pas, par la droite si elles vous conviennent.
Les gens que vous avez selectionnes en des balayant par la droite recoivent aussi un message mentionnant que vous nos aimez, et l’application Tinder te prend en charge des messages a partir de votre moment-la.
Un flux de donnees enorme
On va pouvoir considerer votre revendication tel ringarde, mais Tinder pretend traiter 1.600.000.000 de balayages (swipes) par jour et permettre 1.000.000 de rendez-vous (dates) avec semaine.
Avec environ 11 000 “swipes” par “dates”, la quantite de precisions echangee entre vous et Tinder est enorme app eDarling alors que vous cherchez la bonne personne.
Vous vous attendez donc a votre que Tinder prenne les precautions basiques habituelles Afin de garder toutes ces images en marketing, a Notre fois Quand des images d’autres gens vous sont envoyees, et inversement lorsque des votres paraissent envoyees a d’autres.
Par marketing, naturellement, nous parlons d’la transmission des images de maniere confidentielle, mais nous sous-entendons egalement qu’elles arrivent intactes, assurant ainsi a la fois la confidentialite et l’integrite.
Sinon, n’importe quelle personne malveillante dans votre bar prefere pourrait facilement voir ce que vous etes occupe a faire, et modifier par la meme occasion les images en transit.
Meme un objectif reste juste de vous faire peur, vous vous attendez tout de meme a ce que Tinder empeche de telles actions soient possibles, en envoyant bien le trafic via une connexion HTTPS, a savoir une connexion HTTP S ecurisee.
Eh beaucoup, des chercheurs de Checkmarx ont decide de verifier votre que Tinder avait veritablement mis en place, ainsi, ils ont constate que Quand vous accedez a Tinder depuis la navigateur web, la securite est assuree.
Mais sur ce appareil mobile, ils ont constate que Tinder avait commande des raccourcis en matiere de securite.
Nous avons mis des declarations de Checkmarx a l’epreuve, et des resultats ont corrobore nos leurs.
Selon des observations, bien le trafic Tinder utilise une connexion HTTPS si vous utilisez votre navigateur, avec la plupart des images telechargees par lots a partir du port 443 (HTTPS) concernant images-ssl.gotinder.com .
Le nom de domaine images-ssl aboutit enfin au Cloud d’Amazon, mais les serveurs qui procurent les images ne fonctionnent que via le protocole TLS, vous ne pouvez tout seulement pas vous connecter au bon vieux http://images-ssl.gotinder.com car le serveur ne prendra pas en charge la excellente ancienne connexion HTTP.
En passant sur l’application mobile, neanmoins, les telechargements d’images paraissent effectues via des URL qui commencent avec , donc elles seront telechargees de maniere non securisee, a savoir que toutes les images que vous visionnez ont la possibilite de etre recuperees ou modifiees en file de route.
Ironiquement, images.gotinder.com gere les requetes HTTPS via le port 443, mais vous recueillerez une erreur de certificat, etant donne qu’il n’existe pas de certificat emis via Tinder pour se rendre via un serveur:
Mes chercheurs de Checkmarx seront alles i nouveau plus loin, et pretendent que aussi si chaque swipe reste renvoye a Tinder via votre paquet chiffre, ils pourront bien ainsi dire si vous avez effectue un swipe a gauche ou a droite parce que les longueurs de paquet sont differentes.
J’ai differenciation des swipes a gauche/droite ne devrait pas etre possible a tout moment, mais il s’agit d’un probleme nombre plus serieux de fuite de donnees Quand nos images que vous avez selectionnees par swipe ont deja ete revelees a ce voisin curieux et minimum scrupuleux.
Quoi faire ?
Nous n’arrivons nullement a comprendre pourquoi Tinder a programme differemment son site web classique et son application mobile, mais nous nous sommes habitues a toutes les applications mobiles qui avaient ete negligees vis a vis de leurs homologues de bureau en matiere de cybersecurite.
- Pour des utilisateurs Tinder: si vous avez des inquietudes concernant de potentiels curieux dans le coin d’un cafe, qui pourraient vous espionner a l’aide de ce connexion Wi-Fi, arretez d’utiliser l’application Tinder et contentez-vous de leur site web simple.
- Pour nos programmeurs Tinder: vous avez deja toutes les images concernant des serveurs securises, aussi arretez de prendre certains raccourcis en matiere de securite (nous supposons que vous avez estime que cela accelererait legerement plus l’application mobile si les images n’etaient pas chiffrees). Modifiez votre application mobile afin qu’elle puisse prendre en charge la connexion HTTPS du debut a J’ai fin.
- Pour les ingenieurs logiciels de l’univers entier: ne laissez jamais les chefs d’article de vos applications mobiles prendre des raccourcis en matiere de securite. Si vous sous-traitez ce developpement mobile, ne laissez pas l’equipe design vous convaincre de laisser la forme prendre le dessus sur la fonction.
