« On ne choisit pas de tomber amoureux, mais on aimerait bien choisir qui tombe sur nos données… » Voilà le genre de dicton qu’on aurait pu inventer après le dernier feuilleton techno-sentimental : la faille de sécurité rocambolesque de l’application de rencontres Raw. Quand transparence rime avec laissez-passer, il y a de quoi revoir sa copie sur la protection de la vie (amoureuse) privée !
Sous ses allures de Cupidon 2.0 qui promet des rencontres « authentiques » à coups de selfies quotidiens, Raw s’est surtout illustrée en dévoilant, sans crier gare, les coordonnées géolocalisées de ses utilisateurs, leurs préférences, dates de naissance… Bref, de quoi offrir un speed dating à n’importe quel internaute équipé d’un navigateur ! Les données étaient si précises qu’on aurait presque pu deviner où vous planifiez votre rencard, ou comment s’appelait le bar où vous attendiez un verre… et un coup de cœur.
C’est TechCrunch qui a mis le doigt (de préférence protégé par une bague connectée) sur la faille. Ironie du sort : cette découverte sort pile la même semaine où Raw vantait sa future « Raw Ring ». Ce gadget devait, soi-disant, permettre de surveiller les battements de cœur de son partenaire pour débusquer… l’infidélité. L’amour connecté : toujours plus loin, toujours plus glauque ?
Quand une application vous promet la lune mais vous livre sur un plateau d’argent, il vaut mieux garder un œil sur ses conditions d’utilisation.
Sauf que, dans la réalité, ce « cryptage de bout en bout » promis par la marque n’était qu’un doux mirage. TechCrunch n’a détecté aucune trace de ce Graal sécuritaire. À la place : les serveurs de Raw soufflaient les profils des utilisateurs au moindre curieux muni d’une URL. Les fameuses failles IDOR – celles que même la CISA ne cesse de dénoncer – étaient grandes ouvertes, façon boîte de Pandore : un simple changement d’ID et hop, le profil complet d’un inconnu… Ou comment passer du « swipe » au « swipe tout court ».
Heureusement, dès qu’on leur a soufflé à l’oreille, la team Raw a vite colmaté la brèche. Marina Anderson, cofondatrice, a assuré que tout était à nouveau sous contrôle et que désormais, même un hacker sentimental ne pourrait plus jouer les voyeurs. Petite précision : aucune notification prévue pour les utilisateurs exposés—le charme discret de l’omission… ou la peur d’un raz-de-marée de déçus ?
Rien n’indique, à ce jour, combien de temps ce bug est resté ouvert comme le cœur d’un romantique en détresse. Raw n’a même pas (encore) fait appel à un audit externe pour vérifier s’il n’y aurait pas d’autres squelettes dans le placard. À croire que, dans le monde du dating, le mystère reste une valeur sûre, même pour les bugs !
Bref, si la tech fait souvent rimer amour avec innovation, elle rappellera toujours cette grande vérité de la vie numérique : un cœur ouvert n’est pas une donnée à partager. Alors quitte à éviter les mauvaises surprises, souvenez-vous : mieux vaut sécuriser ses accès avant de sécuriser ses sentiments.
En conclusion, si l’amour vous donne des ailes, méfiez-vous que ce ne soit pas un bug qui vous donne des sueurs froides : car dans la drague, comme dans la tech, trop d’ouverture peut finir par fermer des portes !
Source : Techcrunch
