Grindr : il est possible d’obtenir la position précise des utilisateurs

Après de premières révélations sur l’envoi de données très personnelles à des tiers en avril, l’application Grindr – dédiée aux rencontres gay – est de nouveau sur le banc des accusés, car elle ne protège pas suffisamment la position précise de ses utilisateurs.

Queer Europe explique qu’il ne s’agit pas de pirater les serveurs de la société, mais d’exploiter son API, qui permet de connaître la distance qui vous sépare d’un autre utilisateur. Avec plusieurs points différents (donc plusieurs distances) et grâce à la trilatération (une technique proche de la triangulation), vous pouvez récupérer sa position précise.

Cette « attaque » peut être réalisée via l’outil poétiquement baptisé Fuckr qui a déjà plusieurs années. Suite à la publication de cette vulnérabilité, le dépôt GitHub a été fermé, à la demande de Grindr. Cette dernière explique que « le but de « Fuckr » est de faciliter l’accès non autorisé à Grindr en contournant les contrôles d’accès ». Comme toujours en pareille situation, de nombreux forks sont déjà disponibles.

Dans un communiqué envoyé à BuzzFeed, Scott Chen (président de Grindr), joue l’équilibriste. Pour lui, la géolocalisation est « essentielle à la plateforme et pour l’expérience utilisateur », mais il reconnaît « des défis inhérents à son utilisation ».

Il ajoute qu’il « continuera d’essayer de faire évoluer et améliorer la plateforme », mais sans préciser comment ni quand. Une solution de contournement pourrait être de n’afficher qu’une distance approximative, rendant vaine la trilatération (la précision serait par exemple proportionnelle à la densité de la population).

D’après Queer Europe ce n’est toujours pas le cas, alors que le problème est connu depuis des années. Lors de leurs essais, ils ont en effet pu suivre le déplacement précis d’un utilisateur du service (consentant à participer à cette expérience).