Si vous avez installé l’application de rencontres française Happn, vous avez sans doute fourni vos coordonnées GPS dans l’espoir de rencontrer l’amour ou bien de vivre une simple histoire d’un soir. Néanmoins, ces donnés présentent bien des limites. En effet, un chercheur français a réussi à mettre au point un processus pour tracer les déplacements des utilisateurs de l’application. Si ce traçage n’est pas totalement au point, il pourrait tout de même permettre à des hackers de suivre des chemins en temps réel.
Un usage détourné des données de géolocalisation
“Retrouvez qui vous croisez” : voici le slogan de l’application de rencontres Happn. Si ce principe est bien avantageux pour retrouver ceux ou celles qui vous intéressent, il présente également des failles. Les données GPS enregistrées peuvent effectivement être piratées par des hackers. Au moyen de deux logiciels, dont un réalisé par lui-même, Tristan Granier, chercheur en cybersécurité, est parvenu à tracer le chemin parcouru par un utilisateur en temps réel. Afin de réussir à faire cela, le chercheur a réussi à générer de fausses données de localisation. Toutefois, si ce processus venait à tomber entre de mauvaises mains, des hackers pourraient s’en servir pour suivre les utilisateurs à des fins de cambriolage, de harcèlement ou bien de surveillance.
“En pratique et dans les faits, retracer les déplacements des utilisateurs d’Happn n’est pas possible, car notre dispositif, qui allie tout un ensemble de systèmes et technologies, ne le permet pas”, a commenté l’application auprès de Numerama. Christophe Eblé, directeur technique de l’entreprise, s’est également exprimé : “Aujourd’hui nous n’interdisons pas d’utiliser une localisation modifiée. Mais si un usage détourné potentiel existe nous ferons en sorte d’apporter des garde-fous.”
Un suivi en temps réel
Si la technique utilisée par Tristan Granier nécessite quelques connaissances particulières, elle demeure particulièrement simple. A l’aide du logiciel Burp Suite, le chercheur peut récupérer la position GPS qu’il envoie ainsi que celle des utilisateurs qu’il croise. Il faut également savoir que Happn ne limite pas suffisamment le “GPS spoofing”, technique qui permet de tromper le système en modifiant artificiellement la position réelle. Ainsi, grâce à ce logiciel, le chercheur peut modifier ses coordonnées et faire croire au serveur qu’il est dans une autre ville. Il peut alors changer sa position toutes les minutes. Pourtant, l’application affirme que cela n’est possible de le faire qu’après “un peu moins qu’une dizaine de minutes”. En ayant réalisé qu’il pouvait modifier sa position comme il le souhaitait, Tristan Granier a ensuite réussi à utiliser cette fonctionnalité pour un usage malveillant : il a créé plusieurs profils.
Puis, le chercheur a quadrillé une zone en positionnant de manière artificielle de faux utilisateurs grâce au logiciel Operative Framework, dont l’interface est similaire à Google Maps. Lorsqu’un véritable utilisateur rencontre les faux profils, Tristan Granier peut alors récolter les informations envoyées par l’application, comme le prénom, l’âge, le genre ou encore des photos. En recroisant les différents itinéraires, le chercheur peut alors déterminer par où est passé l’utilisateur en question. Plus de faux profils auront croisé cet utilisateur, plus il sera simple de le suivre en temps réel.
Comment l’application gère-t-elle les données GPS ?
Face à cela, Christophe Eblé et son équipe ont été contactés par Numerama afin de savoir comment l’application gère réellement les données GPS de ses utilisateurs. “Nous ne cherchons pas à avoir une localisation forte des utilisateurs. Happn demande aux systèmes Android et iOS de ne pas envoyer une géolocalisation trop précise.” Ainsi, les données GPS récupérées se situeraient à quelques centaines de mètres de la position réelle de l’utilisateur afin de garantir sa sécurité.
Si Happn prend des précautions pour la sécurité de ses utilisateurs, la méthode de Tristan Granier fonctionne néanmoins. Celui-ci sera toujours capable de savoir où va tel ou tel utilisateur tracé. Un cambrioleur pourrait notamment l’utiliser pour savoir si la personne est chez elle ou non, ou encore un compagnon violent pourrait s’en servir pour suivre sa compagne. Happn devrait donc renforcer son système contre le “GPS spoofing”. Il faut donc rester très vigilant face aux éventuels risques.
