Le 12 septembre, date du dixième anniversaire de Tinder, marque une décennie de célibataires qui publient des informations personnelles en ligne dans l’espoir de trouver un nouveau partenaire. Depuis son lancement, l’application a rassemblé plus de 75 millions d’utilisateurs, qui passent tous un match par minute et communiquent librement leurs données personnelles à la personne suivante dans la file d’attente virtuelle.
Check Point® Software Technologies Ltd., l’un des principaux fournisseurs mondiaux de solutions de cybersécurité, rappelle que cette volonté de trop partager, combinée à l’anonymat de la plateforme, crée l’environnement parfait pour que les cybercriminels choisissent leur victime. Tinder est truffé d’anniversaires, de numéros de téléphone, de photos de profil et de conversations privées, pouvant même inclure des photos ou des informations intimes partagées en toute confidentialité. Ces données sont intéressantes pour les acteurs de la menace, car ils peuvent les exploiter pour se livrer à des vols d’identité, des fraudes, du chantage ou les vendre sur le dark web.
Les applications de rencontre, comme Tinder, sont également remplies d’espoirs innocents, qui acceptent d’être vulnérables pour créer une véritable connexion. Malheureusement, les cyberpirates ne sont pas en reste et abusent de cette confiance, s’en prenant à ceux qui se soucient souvent plus de leur première impression que de leur cybersécurité. Nous l’avons déjà vu avec Check Point Research (CPR) qui avait déjà découvert plusieurs vulnérabilités critiques dans le site Web et l’application mobile d’OkCupid, l’un des principaux services de rencontres en ligne gratuits au monde. Ces risques pour la vie privée ne sont pas propres à la plateforme, mais reflètent plutôt une culture croissante de « partager d’abord, s’inquiéter plus tard ».
Voici quelques-uns des dangers possibles auxquels les utilisateurs peuvent être exposés :
- Du « sexting » à la « sextorsion » : Black Mirror l’avait prédit, et il semblerait que ce scénario se soit réalisé. L’un des plus grands risques, c’est que les utilisateurs qui partagent des photos osées avec leurs partenaires se retrouvent victimes de chantage. Au moment de vous inscrire à une application de rencontre, vous divulguez une grande quantité d’informations personnelles, qui peuvent ensuite être utilisées par les cybercriminels à des fins financières.
-
Les malwares à l’affût : une simple photo peut être le parfait hameçon pour avoir accès à tout un appareil. Parmi les meilleures techniques utilisées par les cybercriminels dans les applications de rencontre, citons la création d’un profil séduisant, avec lequel toute victime souhaiterait être « matchée ». Cependant, le fichier photo pourrait contenir un malware avec un logiciel espion capable d’obtenir les mots de passe de l’utilisateur.
- Fausse romance : Dans les applications de rencontre, il est courant que les cybercriminels créent de faux profils avec des images et des descriptions qui attirent l’attention de l’utilisateur. Leur modus operandi consiste à créer un intérêt pour amorcer une conversation avec la victime dans l’intention de lui voler de l’argent. Sur plusieurs jours, semaines ou même mois, l’attaquant va progressivement gagner la confiance de la victime. C’est le début d’une relation longue distance. La plupart du temps, cette relation commence sans que les parties se voient réellement, mais promettent de « bientôt se rencontrer ». Le cybercriminel demande à la victime d’envoyer de l’argent “pour pouvoir voyager pour se rencontrer” ou parce qu’ « il est arrivé quelque chose de grave ».
- Usurpation d’identité : Bien que ces cyberattaques visent le plus souvent les utilisateurs de l’application, il peut arriver qu’une personne extérieure soit touchée. Tout individu disposant des données, documents ou fichiers de quelqu’un d’autre est capable d’usurper une identité. En effet, depuis que la plupart des internautes exposent une grande partie de leurs données sur le web, celles-ci sont potentiellement accessibles à tous. Grâce à ces données, les cybercriminels ont la possibilité de créer de faux profils pour gagner de l’argent et porter atteinte à la réputation de la personne qu’ils imitent.
- Vol de compte : lorsque vous allez sur le dark web, vous trouverez des centaines de profils piratés issus d’applications de rencontre à acheter à prix d’or. Les données incluent des e-mails, des mots de passe et d’autres informations sur les comptes personnels qui peuvent être vendus et utilisés pour des attaques de type phishing ou malware.
« Nos téléphones ne nous quittent jamais, que nous les utilisions pour monter dans un train, payer les courses du supermarché ou trouver la perle rare. Les applications de rencontre telles que Tinder sont ludiques et reposent sur une expérience utilisateur de glissement rapide vers la gauche ou la droite. Malheureusement, cela fait le jeu des cybercriminels qui cherchent à voler des identifiants ou des informations bancaires, car l’utilisateur est encouragé à réagir rapidement. La meilleure façon de rester en sécurité est d’aborder chaque conversation avec prudence et de prendre une minute avant de se décider. Les cybercriminels sont partout, surtout sur les plateformes où les gens peuvent être les plus vulnérables », déclare Zahier Madhar, Security Engineer Expert chez Check Point Software en Belgique.
Mais comment se protéger ? Voici quatre astuces simples de Check Point :
-
Ne donnez jamais d’informations confidentielles à des tiers : tout utilisateur qui demande des informations confidentielles peut être un cybercriminel. Il est donc essentiel de ne jamais donner de données personnelles sur Tinder, ou toute autre application de rencontre, pour ne pas courir de risque.
-
Ne téléchargez pas d’images ou de fichiers sur votre appareil : tout le monde publie ses photos sur les applications de rencontre, mais il est très important qu’elles ne soient affichées que dans l’application et qu’elles ne soient ni téléchargées ni sauvegardées, car elles pourraient cacher un malware, ou un autre type de cyberattaque, qui menacerait tous les documents et fichiers de votre mobile ou de votre ordinateur.
-
Ne faites pas confiance. Ne vous pressez pas : c’est un principe de base, mais parfois le truc le plus évident est le plus utile. Si quelque chose semble étrange ou ne semble pas authentique, il vaut mieux se méfier. Mais un de perdu, dix de retrouvés, ne prenez pas de risques inutiles.
- Vérifiez les profils : méfiez-vous des nouveaux profils créés ou des profils dont les photos ont l’air d’une publicité. Si un utilisateur se montre trop pressant ou demande trop d’informations personnelles… Cela devrait tirer la sonnette d’alarme.
