La recherche de l’âme sœur est un business très lucratif. Avec 72,7 millions d’utilisateurs en Europe en 2021, le marché devrait générer 7,6 milliards de dollars en 2022.
Vous avez peut-être déjà ressenti cette douce euphorie juste avant d’entamer la conversation avec un parfait inconnu ? Si la promesse d’une nouvelle idylle peut faire palpiter votre cœur, gardez une chose en tête : la personne derrière cet amour naissant est-elle vraiment ce qu’elle prétend être ?
Tous les moments passés à rechercher en ligne votre partenaire de vie sont autant d’occasions pour les escrocs de passer à l’action. Basés un peu partout dans le monde, ils affûtent leurs techniques d’arnaque afin de soutirer de l’argent aux âmes vulnérables. Comment s’y prennent-ils ?
C’est ce que nous allons voir dans cet article en examinant les types d’usurpation d’identité possibles sur la Toile. Nous reviendrons aussi sur de récentes violations de sécurité qui posent un réel danger pour vos données.
Quand les "doxers" volent votre identité
Les applications de rencontre en ligne n’ont jamais eu autant de succès. Les utilisateurs sont aujourd’hui plus nombreux qu’avant la pandémie. Comme le montre un rapport de Sensor Tower Usage Intelligence, en janvier 2022, Tinder, Bumble et Hinge enregistraient collectivement une hausse de 17 % de leur utilisation par rapport à janvier 2019.
Les applications de rencontre comme Tinder, Meetic ou Bumble offrent aux pirates une porte d’accès aux données personnelles de leurs membres. Ces géants du « dating » se sont bien entendu saisis de la question et font tout leur possible pour protéger les données de leurs utilisateurs. Dans une étude publiée en juin 2021, Karspersky révélait les craintes des utilisateurs de ces applis, et les menaces auxquelles ils avaient été exposés. Les chiffres étaient édifiants. L’étude montrait qu’en France, 10 % des utilisateurs avaient été victimes de « doxing » , une technique qui consiste à rechercher des informations en ligne sur l’identité et la vie privée d’une personne, et à les divulguer dans le but de lui nuire.
Pain bénit pour les « arnacoeurs », ces plateformes regorgent de données d’identification que les escrocs peuvent aisément exploiter pour enquêter sur leurs cibles. Les « doxers », comme on les appelle, ont potentiellement accès à votre nom, votre lieu de travail, votre numéro de téléphone, les détails de votre carte de crédit ou même votre adresse postale.
« Avec les réseaux sociaux et les applications, faire des rencontres amoureuses est devenu plus facile », explique Anna Larkina, experte en sécurité chez Kaspersky. « On peut parfois trouver l’amour de sa vie en ligne, mais les plateformes de dating abritent de nombreux bots et fraudeurs, à l’affût de leurs proies. Pour protéger la confidentialité des données numériques, il est donc impératif de respecter certaines règles de base lorsque l’on discute sur ces apps et ces sites. Pour flirter sans danger en ligne, je vous recommande de ne pas communiquer d’informations d’identification personnelle, comme votre numéro de téléphone, votre lieu de résidence, votre adresse personnelle et professionnelle, etc. Prévenir les menaces en amont vous permettra de profiter de vos rencontres en ligne sans crainte. Mais attention aux arnaques sentimentales (romance fraud) qui représentent le plus gros risque pour les utilisateurs de ces applications. »
De faux profils pour faire croire au grand amour ?
L’arnaque amoureuse consiste à contacter une victime via une application de rencontre, et à la séduire dans le but de lui soutirer, dans la plupart des cas, d’importantes sommes d’argent.
« Généralement, les fraudeurs passent plusieurs semaines à gagner la confiance de leurs victimes, en leur racontant des histoires montées de toute pièce sur qui ils sont et sur leur vie. Au départ, ils ne laissent rien paraître de leurs intentions vénales, afin que la victime croie à l’authenticité des sentiments de leur nouvel amour », explique le surintendant-détective Matt Bradford, de la police de Londres.
Le problème est manifestement mondial. L’an dernier, le FBI a révélé que ce type d’escroquerie était la deuxième forme de cybercriminalité la plus lucrative signalée en 2020, avec des pertes qui s’élevaient à 600 millions de dollars.
Ces escrocs de l’amour ne reculent devant rien et, prétextant avoir besoin d’aide, ils demandent à leurs victimes de payer pour les soutenir financièrement, pour investir dans de (fausses) cryptomonnaies ou même pour régler de prétendus frais médicaux.
Pour protéger au mieux leurs utilisateurs, ces applications de rencontre, à l’instar du site web Meetic.fr, proposent un guide de la sécurité en ligne dans leur charte de confiance. Cette charte invite les personnes en quête d’amour à la prudence, et les enjoint à ne jamais envoyer d’argent, à ne pas partager d’informations financières et à se méfier des relations à distance.
Les « faux profils » sont un véritable fléau. Ils ont envahi les grands sites de rencontre. Créés à partir de photos et de profils d’autres personnes, ces profils factices sont conçus pour attirer les victimes afin de leur soutirer des sommes d’argent toujours plus importantes.
Ces profils sont la bête noire des géants de la rencontre. La majorité de ces sites n’a toujours pas adopté d’authentification suffisamment forte pour garantir l’authenticité d’un profil — à l’exception de Tinder, qui a peut-être trouvé la solution. Tinder a en effet décidé de s’attaquer direment au problème des faux profils. Depuis quelques mois, l’application propose de vérifier votre profil en établissant une correspondance entre un selfie et les photos de votre compte. Tout cela est possible grâce à l’authentification biométrique. Cette technologie de reconnaissance faciale permet de vérifier l’identité d’une personne en mesurant son visage et sa tête.
Sur son site web, Tinder explique que le processus de vérification s’opère en deux temps. Une vérification de la pose, puis un contrôle du visage. Une fois ces informations collectées, l’intelligence artificielle sera capable de déterminer si votre selfie correspond à votre profil.
Mais, même si cette méthode permet de sécuriser votre identité, comment être certain que vos données sont en sécurité et protégées ?
Vos données sont-elles bien protégées ?
Vous êtes-vous demandé si les données que vous partagez sur ces applications sont efficacement protégées contre les intrusions ? Posez-vous la question. L’incident survenu sur l’application de rencontre japonaise Omiai prouve que beaucoup reste à faire sur le front de la sécurisation des données en ligne. En mai 2021, l’application de rencontre a subi une attaque qui a entraîné le vol des données d’1,7 million d’utilisateurs. Les pirates ont pu accéder à l’un des serveurs de l’entreprise pendant une courte période. Leur adresse IP a cependant été rapidement bloquée, indiquait Omiai, en précisant qu’aucune donnée bancaire n’avait été volée.
Cette mésaventure n’est pas sans rappeler l’attaque de MeetMindful survenue quelques mois plus tôt. En janvier 2021, le groupe de pirates ShinyHunters avait mis la main sur 2,28 millions de données d’utilisateurs qu’il avait ensuite diffusées. Le mode opératoire du groupe reste inconnu à ce jour, même si selon Avihai Ben-Yossef, expert en cybersécurité et directeur technique de Cymulate, une mauvaise configuration du cloud de l’entreprise serait à l’origine de l’attaque :
« Le groupe de hackers ShinyHunters… montre un penchant pour les attaques contre les entreprises “cloud-first”, celles qui déploient leur infrastructure dans le cloud dès le début. » [....] « Beaucoup reste à faire pour rendre le cloud plus sûr : authentification multifacteur, gestion rigoureuse des certificats et des magasins d’identité, amélioration de la configuration et du contrôle des comptes, meilleure segmentation de la charge de travail, etc., sans oublier l’évaluation continue de la sécurité. »
Tout cela est rendu possible grâce à l’authentification biometrique. Cette technologie de reconnaissance faciale permet de vérifier l’identité d’une personne grâce aux mesures de son visage et de sa tête.
Sur son site, Tinder explique que le processus de vérification se fait en deux étapes. La vérification de la pose puis celle du visage. En collectant ces informations, l’intelligence artificielle va pouvoir déterminer si votre selfie correspond à votre profil.
Ces informations sont en fait compilées dans un « modèle » qui sera comparé à celui réalisé à partir des photos de votre profil. Si le modèle match, le profil est alors certifié.
Les grandes applications de rencontre ne sont toutefois pas les seules dans le viseur des pirates, comme en témoigne le petit site de dating français, Waiter, également victime d’une attaque en décembre 2020. S’ils n’ont, fort heureusement, pas réussi à mettre la main sur un grand nombre de données sensibles, les hackers ont pu accéder à des informations communiquées sur le profil des utilisateurs — comme l’âge, le sexe, le pays de résidence, le poids, la taille, etc. Les noms de famille, les adresses e-mail ou les numéros de téléphone étaient stockés séparément, et ne figuraient pas dans la base de données.
Une fois encore, la faille de sécurité a été rapidement identifiée. La cause : un serveur ElasticSearch qui était resté ouvert, erreur très courante.
On n’insistera jamais assez sur la prudence dont les utilisateurs doivent faire preuve pour protéger leurs données en ligne. Soulignons toutefois que la protection des données des utilisateurs relève de la responsabilité des entreprises. Ce sont elles qui doivent mettre en place des défenses fiables afin de garantir l’impénétrabilité de leurs serveurs. Cela pourrait bientôt devenir une obligation. Comme le souligne ce récent article du Wall Street Journal, les gouvernements à travers le monde commencent à perdre patience face à des entreprises qui n’investissent pas suffisamment dans leurs défenses cyber.
Amusez-vous mais soyez prudent !!!
Amour et données en ligne ne semblent pas faire bon ménage. Dans le cyberespace, protégez-vous et ne faites pas confiance à la première personne que vous rencontrez. Ne vous lancez pas tout feu tout flamme dans la première aventure, au risque que cela vous coûte bien plus qu’un cœur brisé. Comme nous l’avons vu, les cybercriminels ne reculent devant rien pour soutirer de l’argent à leurs victimes. Par conséquent, soyez prudent quand vous échangez des informations sur les applications de rencontre et faites attention au type d’informations que vous divulguez.
