Si vous êtes adeptes des applications de rencontres, vous connaissez peut-être Happn. Si ce n’est pas le cas, sachez que cette plateforme française repose sur un principe on ne peut plus simple. Le slogan parle d’ailleurs de lui-même : « Retrouvez qui vous croisez ».
Une système vulnérable
En d’autres termes, Happn se base sur la géolocalisation pour vous permettre de retrouver cette jeune fille ou ce beau jeune homme avec lequel ou laquelle vous avez échangé un regard électrique dans la rue ce matin. Évidemment, la promesse d’Happn la condamne à suivre en quasi-permanence ses utilisateurs.
Le hacker Tristan Granier a voulu montrer les vulnérabilités du système d’Happn via une technique connue dans le milieu : le GPS Spoofing. Voici comment le pirate procède. En premier lieu, Tristan Granier crée un premier compte Happn et intercepte ces données de navigation via un logiciel appelé Burp Suite.
Toujours grâce à ce logiciel, le hacker peut modifier les données qu’il reçoit sur son smartphone et qu’il envoie sur les serveurs de Happn. Ainsi, le pirate peut faire croire à la plateforme qu’il se situe à Marseille, puis à Nantes la minute d’après, puis à Paris et ainsi de suite.
Une armada de faux comptes
À partir de là, Tristan Granier va créer une armada de faux comptes utilisateur. Une opération simplissime, qui réclame de simples numéros de téléphone. Ensuite grâce à Operative Framework, un logiciel de sa conception (doté d’une interface similaire à Google Maps), le hacker va placer ses avatars virtuels dans une zone prédéfinie, comme un arrondissement par exemple.
Vient ensuite l’heure de la traque. Pour débuter, il suffit qu’un utilisateur croise l’un des faux comptes de Tristan Granier. Ceci fait, le hacker récupère de nombreuses informations personnelles : nom, adresse postale, âge, genre et photos publiques.
L’utilisateur poursuit sa route, et rencontre un, puis deux, puis trois faux comptes disposés par Tristan Grenier. Il ne reste plus qu’au pirate de croiser les données interceptées pour déterminer le parcours et la position approximative d’un utilisateur en temps réel.
Une localisation volontairement imprécise
D’après Happn, il est impossible d’obtenir une localisation ultra précise, justement dans un souci de sécurité afin de protéger les utilisateurs des manœuvres de ce type : « La position connue par Happn d’un de ses utilisateurs est imprécise et cette imprécision peut aller jusqu’au kilomètre. Le trajet ainsi reconstitué ne peut donc, en aucun cas, être précis. C’est cette imprécision qui garantit la sécurité de nos utilisateurs », explique l’entreprise à nos confrères de BFM Tech.
Si l’on s’amuse à lire entre les lignes, Happn serait-il en train d’avouer via ce communiqué que deux utilisateurs de la plateforme qui se sont « croisées » ne se soient en réalité jamais vus ? Avec un rayon de localisation pouvant aller jusqu’à un kilomètre, c’est fort probable.
