Comment une application censée protéger ses utilisatrices contre les risques des rencontres en ligne se retrouve-t-elle au cœur d’une fuite monumentale de données sensibles ? Tea, dont la vocation affichée est de sécuriser les rendez-vous en dévoilant les faux profils et en vérifiant les identités, a récemment fait parler d’elle pour une toute autre raison : la publication sur 4chan d’une base de données contenant des milliers d’informations confidentielles de ses membres.
D’où provient cette faille ? Selon 404 Media, des utilisateurs de 4chan affirment que l’origine du problème serait une base ouverte sur Firebase, la plateforme cloud de Google. Les journalistes ont vérifié que l’adresse URL de ce stockage correspond effectivement à une information visible dans l’application Android de Tea. Est-ce la négligence d’un développeur ou un défaut structurel de l’architecture de l’application qui a mené à cette brèche ?
La gravité de l’affaire se mesure par l’ampleur des données exposées : plus de 72 000 images, parmi lesquelles des selfies, des cartes d’identité officielles et des photos issues des messages privés. Tea admet que ces informations remontent pour la plupart à plus de deux ans. Mais qui s’assure, chez Tea, de la protection durable de telles données ?
L’application qui promettait la sécurité de ses membres devient ironie du sort le vecteur d’une faille massive de confidentialité.
Face à ce scandale, la réaction de l’entreprise se veut exemplaire. Les responsables affirment avoir lancé une enquête et mobilisé des experts en cybersécurité dès la découverte de l’intrusion. Pourtant, est-ce suffisant pour regagner la confiance d’utilisatrices qui avaient accepté de livrer photos et documents officiels dans le seul but… de se prémunir contre les imposteurs et les dangers en ligne ? Les développeurs soulignent que la collecte d’identités s’effectuait par conformité, sous couvert d’exigences anticiberharcèlement, mais où s’achève la sécurité et où commence l’exploitation des données personnelles ?
L’ironie de la situation interroge : l’application qui ambitionnait de protéger les femmes contre les risques du “catfishing” expose finalement des informations cruciales dans l’espace public le plus sauvage d’internet. Faut-il voir dans la montée spectaculaire du nombre de téléchargements, récemment en haut du classement sur l’App Store, l’accélérateur de cette débâcle ? Ou cette notoriété soudaine a-t-elle justement attiré des cybercriminels professionnels ?
Tea se targue, sur le Play Store, d’être un indispensable pour vérifier son prochain rendez-vous amoureux grâce, entre autres, à un système d’identification, une recherche inversée par téléphone ou photo et la possibilité d’enquêter sur les antécédents d’un prétendant. Mais à quel prix les femmes sont-elles prêtes à céder une partie de leur identité numérique pour un sentiment de sécurité ?
Face à l’ampleur de la fuite, aucune preuve n’atteste — pour l’instant — que les données les plus récentes aient été compromises, selon la direction. Cependant, la confidentialité d’utilisatrices, parfois présentées à leur insu sur l’application via des “red flags”, semble durablement affectée. L’éternelle question du rapport entre surveillance et protection trouve ici une illustration cinglante.
Dans un monde où la recherche de sécurité nécessite d’exposer toujours plus de soi-même, les victimes de la fuite chez Tea se demanderont sans doute : n’est-ce pas le prix trop élevé à payer pour fuir les dangers… d’un premier rendez-vous ?
Source : Engadget
