|
Les photos intimes de 900 000 utilisateurs d’applications de rencontre exposées à cause d’une faille... |
1
Une base de données de 1,5 million de photos provenant d’applications de rencontres ont été stockées sans protection. Photo d’illustration. © Archives Leon Neal / Getty images Europe / Getty Images via AFP
Des chercheurs en cybersécurité ont découvert que les photos sensibles de 900 000 utilisateurs de plusieurs applications de rencontres LGBT ou sexuelles, étaient stockées sans cryptage ou mot de passe. Informé de cette faille depuis le 20 janvier, révélée par le média spécialisé « Cybernews », leur éditeur a fini par réagir le jeudi 27 mars.
Des photos, pour la plupart explicites, de près de 900 000 personnes sont longtemps restées vulnérables aux pirates informatiques. C’est ce qu’a découvert l’équipe du chercheur en cybersécurité Aras Nazarovas de Cybernews , un média indépendant dédié à la cybersécurité et aux technologies.
Au total, c’est une base de données de 1,5 million de photos provenant d’applications de rencontres de l’éditeur M.A.D. Mobile Apps - pour l’essentiel sexuelles - et LGBT, qui étaient stockées sans protection par mot de passe. La faille n’a été corrigée par la société qu’après sa révélation, le jeudi 27 mars 2025, a rapporté la BBC .
Des photos privées visibles de tous
Cinq applications de cette entreprise sont concernées : BDSM People, Chica, Pink, Brish et Translove. Des services utilisés par environ 900 000 personnes dans le monde. Les photos sont accessibles via un simple lien, retrouvé par Aras Nazarovas en se contentant du code informatique grâce auquel fonctionnent ces applications. « La première application que j’ai examinée était BDSM People, et la première image du dossier était celle d’un homme nu d’une trentaine d’années », a-t-il raconté.
Avec ce lien, l’expert pouvait accéder aux photos des profils, mais aussi aux photos envoyées dans les messages privés, ou encore aux photos supprimées par les modérateurs. La faille apparaît donc comme particulièrement compromettante, d’autant que plusieurs de ces applications tournent autour de pratiques sexuelles jugées déviantes.
Ce défaut manifeste de sécurité met par ailleurs en péril de nombreuses personnes LGBT vivant dans des pays qui leur sont hostiles. Il est toutefois à noter que les images n’étaient pas associées avec les pseudonymes d’utilisateurs ou avec leurs noms réels et que le contenu textuel semblait, lui, encore privé.
L’entreprise a été alertée dès janvier
Reste que pour Aras Nazarovas et son équipe, la faille découverte est particulièrement grave. D’autant qu’il est impossible de savoir à l’heure actuelle si d’autres pirates ont pu avoir accès à cette banque d’images. Les chercheurs ont donc alerté M.A.D. Mobile Apps dès sa découverte, le 20 janvier.
Deux mois plus tard, en l’absence de correctif apporté par l’entreprise, Cybernews a finalement décidé de rendre publique la faille afin de pousser la société à réagir. « C’est toujours une décision difficile à prendre, mais nous pensons que le public a besoin de savoir pour se protéger », a mis en avant Aras Nazarovas.
Depuis, M.A.D. a procédé à une mise à jour de sécurité sur ses applications. « Nous apprécions leur travail et avons déjà pris les mesures nécessaires pour résoudre le problème », a assuré un porte-parole de l’entreprise. Aucune explication concernant la raison de ce défaut de sécurité ou du délai pour résoudre le problème n’a été apportée.
