Grindr : une faille permettait de prendre le contrôle d’un compte avec une simple adresse email

La sécurité informatique est aujourd'hui plus importante que jamais tant nous confions de données à nos applications et services web. Y compris sur les réseaux sociaux...

Une faille dans le réseau social Grindr permettait à quiconque avec la seule et unique adresse email de l’utilisateur cible de réinitialiser le mot de passe et de prendre la main sur le compte en question. Une énorme faille de sécurité, vous en conviendrez, qui a heureusement été très rapidement corrigée. Une sacrée bévue tout de même.

Nouvelle grosse faille de sécurité pour le service de rencontre en ligne Grindr

Tout ce que le pirate avait à faire, c’était de taper l’adresse email de l’utilisateur dans le formulaire de réinitialisation de mot de passe puis d’ouvrir les outils développeur pour obtenir le token. En ajoutant ensuite le token à la fin de l’URL de réinitialisation du mot de passe, il n’y avait même pas besoin de passer par la boîte email de la victime. C’est le même lien qui était envoyé à l’utilisateur pour procéder à la réinitialisation. De fait, le hacker avait accès à la page de reset en question et pouvait saisir le mot de passe de son choix, lui donner accès à l’intégralité du compte de sa victime.

C’est le chercheur Français expert en sécurité Wassime Bouimadaghene qui avait découvert la faille et tenté d’en informer au service de rencontre en ligne. Lorsque le support fermait son ticket sans autre retour que ce soit, l’expert a alors demandé de l’aide à Troy Hunt, un autre spécialiste de la sécurité informatique, qui travaillait quant à lui avait un autre expert en la matière, Scott Helme, pour mettre en place un compte de test et confirmer l’existence de cette faille. Pour Scott Helme, il s’agissait là de « l’une des techniques d’usurpation de compte les plus basiques » qu’il n’ait jamais vues. Il a alors pu prendre contact avec l’équipe de sécurité de Grindr.

La plate-forme annonce de nombreuses mesures pour renforcer tout cela

Même si Grindr a corrigé rapidement la faille, l’incident a clairement laissé des traces sur la réputation du service. Et c’est un problème d’autant plus important que Grindr, en tant que service de rencontre en ligne, contient nombre de données très personnelles, comme l’orientation sexuelle, les identités réelles, etc. Et ce n’est pas la première fois que Grindr a des soucis de sécurité. En 2018, plusieurs failles exposaient la localisation de l’utilisateur.

Le directeur de l’exploitation de Grindr, Rick Marini, déclarait à TechCrunch que, en réponse à cette nouvelle faille, le service allait implémenter des étapes supplémentaires pour renforcer sa sécurité. Les chercheurs seront aussi encouragés à partager leurs découvertes, les rapports de bugs et autres failles seront aussi facilités. Un programme de bug bounty sera même lancé « prochainement ».