Un vrai cauchemar pour les plus coquins d'entre nous: près de 1,5 million de photos intimes issues des applications de rencontres ont fuité pendant des mois sur Internet, se retrouvant à la portée de tous. Parmi celles–ci, cinq applications du développeur M.A.D Mobile sont concernées: BDSM People, l'app de sugar daddy Chica ainsi que les apps LGBT Pink, Translove et Brish.
Selon la BBC, ces applications sont utilisées par 800'000 à 900'000 personnes. Bien sûr, de nombreuses photos contenaient des images explicites.
«Un homme nu d'une trentaine d'années»
Cette faille informatique a heureusement été détectée par l'expert en sécurité Aras Nazarovas, du portail d'information cybernews.com. En analysant le code source, il est tombé sur des données d'accès à une mémoire numérique, consultables sans protection ni mot de passe. «La première application que j'ai analysée était BDSM People. Sur la première image disponible, il y avait un homme nu d'une trentaine d'années», raconte Aras Nazarovas à la BBC. «J'ai alors tout de suite compris que ce dossier ne devait en aucun cas être public.»
Le plus grave dans cette affaire est que parmi les clichés intimes et les photos intimes se trouvaient aussi des enregistrements de messages privés et même des images retirées par les modérateurs pour infraction des règles de l'application.
En d'autres termes, les cybercriminels pourraient utiliser ces images pour faire du chantage. Une situation particulièrement dangereuse pour les utilisateurs issus de pays où l'homosexualité est illégale, car de telles images pourraient mettre leur vie en danger. Même si les images n'ont pas encore été associées à des noms d'utilisateur ou à des noms en clair, les criminels pourraient découvrir l'identité des personnes concernées à l'aide de logiciels d'analyse de données biométriques bien établis.
Une réponse très tardive du développeur
M.A.D Mobile a été informé du problème dès le 20 janvier 2025, mais a réagi seulement vendredi dernier, après avoir été contacté par la BBC. La faille de sécurité a entre–temps été comblée. L'entreprise n'a pas donné d'explications sur ce temps d'attente de plusieurs mois.
Cette affaire rappelle le piratage de la plateforme de rencontres extraconjugales Ashley Madison en 2015. Des données de clients avaient alors été volées et publiées, détruisant la vie des personnes concernées. Ce piratage avait touché 160'000 clients en Suisse.
