Happn, Tinder, Grinder,… Les applications de rencontre géolocalisées sont fun et ont le vent en poupe. Pourtant, elles ne sont pas vraiment sans risque pour notre vie privée. Par définition, ces applications envoient en permanence notre localisation pour trouver l’âme sœur. Evidemment, seuls les serveurs de l’application reçoivent ces données, pas les autres participants. Un tiers ne peut donc pas suivre quelqu’un à la trace… en théorie du moins. Car avec quelques bonnes idées et un peu de programmation, il s’avère que c’est tout à fait possible.
La démonstration a été fournie samedi 2 juillet, à l’occasion de la conférence Nuit du Hack 2016. Julien Legras et Julien Szlamowicz, deux chercheurs en sécurité de la société Synacktiv, ont développé un logiciel permettant de détecter la présence d’une personne dans une zone donnée et de surveiller ses déplacements. Comment? En déployant sur cette zone une grille d’agents-utilisateurs qui correspondent aux désirs de rencontre de la personne ciblée, ce qui activera les notifications de présence.
Une armada d’agents virtuels
En réalité, ces agents sont totalement virtuels. Pour les créer, il faut avoir une série de comptes Facebook, ce qui n’est pas insurmontable. Ici, les deux chercheurs on utilisé une quinzaine de comptes Facebook pour créer ces faux utilisateurs. Le logiciel se contente alors d’envoyer des requêtes de positionnement aux serveurs de l’application pour donner l’impression qu’ils se trouvent réellement sur ces lieux. Ensuite, il suffit d’attendre que la cible passe à proximité de l’un ou plusieurs de ces agents (250 m pour l’application Happn par exemple) pour qu’elle soit prise dans ce filet de surveillance improvisé. Et la traque peut commencer.
La localisation n’est pas forcément très précise, vu le rayon d’action de l’application. Mais si la cible est repérée par trois agents en même temps, la zone peut alors être circonscrite à l’intersection de trois cercles, c’est-à-dire l’équivalent d’un petit triangle équilatéral de 13 mètres (dans le cas de l’application Happn par exemple). Quand la cible est détectée, le logiciel va ensuite décaler la grille d’agents en permanence pour centrer la cible sur ce petit triangle et, ainsi, pouvoir la suivre avec une certaine précision.
Peu adapté aux grands espaces
Mais alors, comment se débarrasser des faux positifs? C’est-à-dire des passants qui utilisent la même application, qui entrent dans la grille, et dont les désirs de rencontre sont identiques? Là encore, c’est facile. « Les notifications de présence contiennent les identifiants Facebook des rencontres potentielles. Il suffit donc d’ajouter un filtre pour ne garder que les notifications qui proviennent de cet identifiant », nous explique Julien Szlamowicz. Par ailleurs, avoir l’identifiant Facebook d’une cible est trivial : il suffit de se rendre sur un site tel que findmyfbid.com.
La création de ce système de surveillance n’aura nécessité que quelques jours. « Il nous a fallu un peu moins de deux jours pour coder l’application, précise Julien Szlamowicz. Le plus long a ensuite été de créer une quinzaine d’agents (création de comptes Facebook puis activation dans l’application). Il nous a fallu pour cela une petite partie de la matinée suivante. »
Evidemment, cette technique a aussi ses limites. Elle est bien adaptée pour surveiller un quartier ou un parc, mais pas tellement au-delà. Pour couvrir Paris, par exemple, il faudrait un millier d’agents, ce qui commence à faire beaucoup. Et pour couvrir la France, il en faudrait plusieurs millions, ce qui est totalement hors de portée. Et ce n’est pas plus mal.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.