Nous ne savons pas tres bien comment le decrire, mais l’entreprise elle-meme propose la description officielle “A Propos de Tinder” suivante:
Les individus que l’on retrouve vont pouvoir nous remplacer la vie. Une amitie, votre rendez-vous, une histoire d’amour ou aussi une retrouve via hasard peuvent remplacer notre vie de quelqu’un Afin de forcement. Tinder offre a ses utilisateurs partout dans le monde, le loisir de creer des liens qui n’auraient peut-etre jamais vu le jour autrement. Nous developpons des produits qui rapprochent les gens.
C’est a minimum pres aussi clair que de l’eau trouble, donc pour faire simple, nous allons decrire Tinder comme une application de rencontre ainsi que mise en relation qui vous aide a trouver des personnes avec qui faire la fete dans votre voisinage proche.
Une fois que vous vous etes inscrit, que vous avez apporte a Tinder l’acces a votre localisation et a a toutes les precisions sur votre ton de life, il effectue 1 call-home par ses serveurs et recupere des images d’autres utilisateurs Tinder dans votre region (vous pouvez acheter le perimetre dans lequel il devra chercher, la tranche d’age, ainsi, ainsi d’affilee).
Mes images apparaissent l’une apres l’autre et vous les balayez vers la gauche si elles ne vous plaisent jamais, par la droite si elles vous conviennent.
Les individus que vous avez selectionnes en nos balayant vers la droite recoivent alors un message mentionnant que vous les aimez, ainsi, l’application Tinder prend en charge des messages a partir de votre moment-la.
Un flux de precisions enorme
On va pouvoir considerer votre revendication tel ringarde, mais Tinder pretend traiter 1.600.000.000 de balayages (swipes) par jour et permettre 1.000.000 de rendez-vous (dates) par semaine.
Avec plus de 11 000 “swipes” par “dates”, la quantite de informations echangee entre vous et Tinder est enorme alors que vous cherchez la bonne personne.
Vous vous attendez donc a ce que Tinder prenne les precautions basiques habituelles pour garder toutes ces images en securite, a J’ai fois Quand nos images d’autres individus vous seront envoyees, et inversement si des votres paraissent envoyees a d’autres.
Par marketing, evidemment, nous parlons en transmission des images de maniere confidentielle, mais nous sous-entendons egalement qu’elles arrivent intactes, assurant ainsi a la fois la confidentialite et l’integrite.
Sinon, n’importe quelle personne malveillante dans votre bar prefere pourrait sans probli?me voir ce que vous etes occupe i faire, ainsi, modifier par la meme occasion les images en transit.
Meme leur objectif reste juste de vous faire peur, vous vous attendez tout ainsi a votre que Tinder empeche de telles actions soient possibles, en envoyant tout son trafic via une connexion HTTPS, a savoir une connexion HTTP S ecurisee.
Eh bien, des chercheurs de Checkmarx ont decide de verifier ce que Tinder avait veritablement enfile en place, ainsi, ils ont constate que si vous accedez a Tinder depuis la navigateur web, la marketing reste assuree.
Mais concernant la appareil mobile, ils ont constate que Tinder avait commande des raccourcis en matiere de securite.
Nous avons mis des declarations de Checkmarx a l’epreuve, et nos resultats ont corrobore des leurs.
Selon des observations, bien le trafic Tinder 
utilise une connexion HTTPS lorsque vous utilisez la navigateur, avec la plupart des images telechargees par lots a partir du port 443 (HTTPS) dans images-ssl.gotinder.com .
Le nom de domaine images-ssl aboutit finalement dans le Cloud d’Amazon, mais les serveurs qui fournissent nos images ne fonctionnent que via le protocole TLS, vous ne pouvez bien seulement nullement vous connecter au bon vieux http://images-ssl.gotinder.com car le serveur ne prendra nullement en charge la bonne ancienne connexion HTTP.
En passant sur l’application mobile, neanmoins, les telechargements d’images sont effectues via des URL qui commencent via , donc elles paraissent telechargees de maniere non securisee, a savoir que l’integralite des images que vous visionnez ont la possibilite de etre recuperees ou modifiees en cours de route.
Ironiquement, images.gotinder.com gere les requetes HTTPS via le port 443, mais vous obtiendrez une erreur de certificat, car il n’existe aucun certificat emis via Tinder pour se rendre sur un serveur:
Mes chercheurs de Checkmarx sont alles encore plus loin, ainsi, pretendent que meme si chaque swipe reste renvoye a Tinder via 1 paquet chiffre, ils ont la possibilite de bien ainsi dire si vous avez effectue un swipe a gauche ou a droite parce que des longueurs de paquet seront plusieurs.
J’ai differenciation des swipes a gauche/droite ne doit nullement etre possible a tout moment, mais il s’agit d’un probleme nombre plus serieux de fuite de donnees lorsque nos images que vous avez selectionnees par swipe ont deja ete revelees a la voisin curieux et minimum scrupuleux.
Quoi faire ?
Nous n’arrivons jamais a comprendre pourquoi Tinder a programme differemment le site web traditionnelle et son application mobile, mais nous nous sommes habitues aux applications mobiles qui avaient ete negligees vis a vis de leurs homologues de bureau en matiere de cybersecurite.
- Pour nos utilisateurs Tinder: si vous avez des inquietudes concernant de potentiels curieux au coin d’un sirop, qui pourraient vous espionner a l’aide de ce connexion Wi-Fi, arretez d’utiliser l’application Tinder et contentez-vous de leur site web ordinaire.
- Pour les programmeurs Tinder: vous avez deja toutes les images concernant des serveurs securises, alors arretez de prendre certains raccourcis en matiere de securite (nous supposons que vous avez estime que cela accelererait legerement plus l’application mobile si les images n’etaient pas chiffrees). Modifiez votre application mobile dans l’optique qu’elle puisse prendre en charge la connexion HTTPS du debut a la fin.
- Pour les ingenieurs logiciels du monde entier: ne laissez jamais les chefs de produit de vos applications mobiles prendre des raccourcis en matiere de securite. Si vous sous-traitez votre developpement mobile, ne laissez pas l’equipe design vous convaincre de laisser la forme prendre le dessus dans la fonction.