Récemment, l’application Tea, qui prétend sécuriser les rencontres pour les femmes, a révélé des failles de sécurité majeures. Ces vulnérabilités ont mis à jour les conversations privées et les données personnelles de plusieurs milliers d’utilisateurs, soulevant des questions cruciales sur la protection des données et la vie privée en ligne.
Conçue pour permettre aux femmes de signaler les « drapeaux rouges » dans les profils de leurs prétendants, l’application a rapidement gagné en popularité, atteignant quatre millions d’utilisateurs actifs après avoir grimpé en tête des classements de l’App Store. Cependant, cette notoriété s’accompagne désormais d’un nuage d’inquiétude.
Découverte des failles de sécurité
La semaine dernière, un rapport de 404 Media a révélé qu’un groupe d’utilisateurs sur 4chan avait découvert une base de données exposée. Celle-ci contenait des données personnelles sensibles, y compris des selfies et des images de permis de conduire, utilisés pour vérifier l’identité des utilisateurs sur l’application.
Des utilisateurs affirment qu’ils parcourent les données personnelles et les selfies téléchargés sur l’application, puis publient ces informations en ligne. Tea a confirmé que la faille avait également touché des messages directs, précisant que ces données dataient de deux ans.
Pourtant, cette affirmation de suppression des documents d’identité après vérification semble discutable à la lumière des événements récents.
Une nouvelle vulnérabilité
Bien que la première déclaration indiquait que les données étaient anciennes, la situation a rapidement évolué. Un rapport de suivi a révélé que des hackers avaient eu accès à des messages privés échangés entre utilisateurs, incluant des discussions sur des sujets sensibles comme des avortements et des partenaires infidèles.
Ce second problème de sécurité a permis aux hackers d’accéder à des messages récents, affectant des données jusqu’à la semaine dernière. Le chercheur indépendant a également découvert qu’il était possible d’envoyer une notification push à tous les utilisateurs de Tea.
Bien que les discussions soient associées à des noms d’utilisateur anonymes, le contenu des échanges a souvent rendu l’identification des utilisateurs facile, notamment par le partage de liens vers des réseaux sociaux.
Les rapports indiquent que plus de 70 000 images ont été exposées, mais ce chiffre pourrait n’être que la partie émergée de l’iceberg, sachant que l’application comptait 1,6 million d’utilisateurs avant la découverte de la première faille.
Conséquences et leçons à tirer
Il est impératif que les selfies et les documents d’identité utilisés pour la vérification d’identité ne soient pas conservés une fois le processus terminé. De même, les conversations privées entre utilisateurs devraient être protégées par un chiffrement de bout en bout. L’absence de ces mesures de sécurité fondamentales est préoccupante, surtout pour une application qui se veut protectrice des femmes.
Ce qui est d’autant plus ironique, c’est que la révélation de ces failles coïncide avec une demande du gouvernement britannique visant à obliger les entreprises technologiques à fournir un accès indirect aux messages privés. La situation soulève des questions sur la manière dont la sécurité des données est gérée dans le monde numérique d’aujourd’hui.