Un chercheur français a mis au point un outil pour suivre ponctuellement les déplacements des utilisatrices et utilisateurs de l’app de rencontre Happn. Ce traçage est approximatif grâce aux protections de l’app, mais suffirait à perpétrer certains actes malveillants.

Vous acceptez peut-être de fournir vos coordonnées GPS à l’app de rencontres française Happn dans l’espoir de trouver l’amour ou une aventure d’un soir. Mais savez-vous vraiment ce que ces données permettent de faire ?

Happn revendique 70 millions d’utilisatrices et utilisateurs dans le monde et a fait de la géolocalisation son principal argument de vente. Pour preuve, son slogan : « retrouvez qui vous croisez ! ». Ses concurrents, comme Tinder, se contentent de proposer des rencontres avec des personnes à proximité, dans un rayon plus ou moins large, défini par l’utilisatrice ou l’utilisateur.

Problème : les données GPS récoltées par Happn peuvent être détournées pour un usage malveillant, en dehors de l’application. À l’aide de deux logiciels, dont un de sa conception, le chercheur en cybersécurité Tristan Granier parvient à tracer l’itinéraire suivi par un utilisateur de l’app de rencontre en temps réel. Pour y parvenir, il génère de fausses données de localisation.

nicolasarkozy.jpg

Tristan Granier nous a fait une démonstration de sa méthode de traçage à Toulouse, puis à Paris, sur son logiciel Operative Framework. // Source : Tristan Granier

Entre de mauvaises mains, ce système permettrait, par exemple, de repérer les habitudes de déplacement d’un individu et de profiter de son absence pour le cambrioler. Il pourrait aussi servir à suivre à distance les déplacements d’une personne à des fins de harcèlement ou de surveillance.

Contactée par Numerama, Happn a répondu : « En pratique et dans les faits, retracer les déplacements des utilisateurs d’Happn n’est pas possible, car notre dispositif, qui allie tout un ensemble de systèmes et technologies, ne le permet pas. » Le directeur technique de l’entreprise Christophe Eblé, joint par téléphone, se montre plus prudent : « Aujourd’hui nous n’interdisons pas d’utiliser une localisation modifiée. Mais si un usage détourné potentiel existe, nous ferons en sorte d’apporter des garde-fous. »

Le « GPS spoofing » permet de surveiller tout un quartier

La méthode découverte par Tristan Granier demande quelques connaissances techniques, mais est relativement simple à mettre en place. Pour commencer, le chercheur intercepte ses propres données, grâce à Burp Suite. Ce logiciel, couramment utilisé par les hackers, lui permet d’intercepter et de modifier les requêtes (des paquets de données) qu’il reçoit sur son téléphone, ainsi que celles qu’il envoie à Happn.

Avec Burp Suite, le chercheur va donc récupérer la position GPS (une latitude et une longitude) qu’il envoie et celles des utilisateurs qu’il croise. Jusqu’ici, tout est normal puisque la géolocalisation est au cœur du fonctionnement de l’app. L’application est claire sur ses intentions, et demande l’autorisation pour exploiter les données GPS du téléphone lorsqu’on l’installe. Elle pousse tout de même ses utilisateurs à toujours autoriser la géolocalisation, et non seulement lorsque l’app est active — le concept ne fonctionnerait pas dans le cas contraire.

Problème : Happn ne limite pas suffisamment le « GPS spoofing », une technique qui consiste à tromper le système sur sa position réelle en la modifiant artificiellement. Grâce à son outil, Tristan Granier peut changer les coordonnées qu’il envoie et faire croire au serveur d’Happn que son smartphone se trouve à Toulouse, à Paris ou encore sur les plages bretonnes. Il peut se déplacer virtuellement sans que Happn le considère comme un comportement malveillant. Le chercheur explique pouvoir changer sa position toutes les minutes, alors que l’équipe technique de l’app affirme qu’il n’est possible de le faire qu’après « un peu moins qu’une dizaine de minutes. »

Un suivi de coin de rue en coin de rue

Après avoir découvert qu’il pouvait changer sa position à volonté, Tristan Garnier a trouvé une façon d’exploiter cette fonctionnalité pour un usage malveillant. Il a commencé par créer plusieurs profils d’utilisateurs : un processus rapide, qui ne demande que de renseigner un numéro de téléphone, une donnée facile à générer en masse.

Ensuite, il va quadriller une zone en positionnant artificiellement de faux utilisateurs à plusieurs coins de rue, grâce à son logiciel, Operative Framework, qui fournit une interface similaire à Google Maps. Lorsqu’un vrai utilisateur — nous l’appellerons Bob — va « croiser » un des faux profils, Tristan Granier va capter des informations publiques envoyées par Happn comme le prénom, l’âge et le genre. Mais surtout, il va accéder aux photos publiques de Bob.

Puisque le chercheur a positionné suffisamment de faux profils d’utilisateurs à des coins de rue proches, il va finir par capter à nouveau le profil de Bob lorsque ce dernier va se déplacer. En reliant le point de croisement entre Bob et le faux profil n°1 et le point de croisement entre Bob et le faux profil n°2, il va pouvoir déterminer (avec un certain niveau de précision) l’itinéraire pris par Bob. Plus Tristan Granier placera de profils sur la carte, plus il aura de points de croisement avec Bob, et plus il aura un tracé précis de l’itinéraire pris par Bob. Si besoin, le chercheur peut déplacer son nuage de faux profils pour suivre Bob en temps réel.

Happn utilise une géolocalisation imprécise pour protéger ses utilisateurs

Contactés par Numerama, Christophe Eblé (directeur technique de Happn) et son équipe nous ont donné plus de précisions sur leur gestion des données GPS. Ces détails techniques suggèrent que la précision des itinéraires tracés par la méthode du chercheur est moindre. Au lancement de l’app, des observateurs s’étaient inquiétés de l’éventuel usage de la triangulation pour retrouver la position exacte d’un utilisateur, comme il était un temps possible de le faire sur Tinder — Libération avait clairement décrit cette méthode. Mais Happn a rapidement mis en place des garde-fous.

« Nous ne cherchons pas à avoir une localisation forte des utilisateurs », expliquent les développeurs à Numerama. « Happn demande aux systèmes Android et iOS de ne pas envoyer une géolocalisation trop précise  », précisent-ils. Les coordonnées GPS récupérées et exploitées par l’app seraient donc à plus ou moins quelques centaines de mètres de la position réelle de l’utilisateur, pour des raisons de sécurité.

Et ce n’est pas tout : Happn a une méthode relativement sécurisée pour déterminer le « croisement », c’est-à-dire la « rencontre », entre deux utilisateurs. L’app considère un croisement lorsque les coordonnées GPS indicatives de deux utilisateurs sont à une distance comprise entre 250 m autour d’eux et 700 mètres autour d’eux. Concrètement, s’il est indiqué sur votre application que vous avez croisé Bob sur la « rue de la Paix », il est grandement possible que ce ne soit pas le cas. La « rue de la Paix » est l’endroit où vous étiez, à plus ou moins quelques centaines de mètres, lorsque vous avez envoyé la position qui a déclenché le croisement. Il est possible que ni vous ni Bob n’ayez traversé la rue de la Paix, mais que vous vous soyez « croisés » à plusieurs centaines de mètres et à plusieurs rues d’écart.

Happn doit-il empêcher l’envoi de fausses données GPS ?

Si les précautions de sécurité de Happn empêchent donc de retrouver un utilisateur par la fameuse technique de triangulation, elles ne paralysent pas complètement la méthode de Tristan Granier. Il pourra toujours trouver la direction approximative prise par les utilisateurs et le quartier dans lequel ils se déplacent. La technique suffit donc à vérifier qu’un individu a quitté un endroit d’intérêt, par exemple, même si elle ne suffit pas à affirmer qu’il a pris telle ou telle rue. Un cambrioleur pourrait l’utiliser pour s’assurer que le propriétaire d’un appartement n’est plus chez lui, ou un partenaire abusif pourrait s’en servir pour suivre sa compagne.

Pour rendre inopérante la technique du chercheur, il faudrait que Happn mette en place des barrières plus strictes contre le GPS spoofing, ce à quoi les développeurs nous ont dit être ouverts.

Donner ses données GPS à une app expose toujours l’utilisateur dans une certaine mesure. Il s’agit, pour chaque utilisateur et utilisatrice, d’être conscient des risques, avant de prendre le choix de lancer l’application.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !