Il y a quelques jours, nous avons pu constater que le célèbre site de rencontre Adopte un mec disposait d'un code source un peu trop curieux sur les pages des profils de ses membres. En effet, on pouvait y trouver plusieurs informations qui n'avaient rien de publiques. Une faille discrètement corrigée depuis.
Nombreux sont les internautes qui utilisent chaque semaine un site de rencontre, de manière gratuite ou payante. Ils y diffusent des photos, des informations concernant leurs personnalités ou leurs goûts, ainsi que des choses plus personnelles pour le bon fonctionnement du service. Mais que se passerait-il si celles-ci étaient tout de même diffusées ?
C'est ce qui est arrivé récemment à Adopte un mec. En effet, en analysant le code source des pages des profils des membres, il était possible de trouver la présence d'une variable MemberData au sein d'un morceau de code JavaScript. Celle-ci ne devait seulement contenir des éléments anodins comme l'id, le pseudo, les badges obtenus, etc. Malheureusement, on pouvait y trouver aussi des éléments privés qui ne devaient se trouver que dans la base de données du site tels que le hash du mot de passe, la dernière adresse IP, les coordonnées géographiques, l'adresse email, le code postal, la date de naissance, la date du dernier échange par chat, etc.
Un extrait des données qui étaient diffusées dans le code source de la page des membres
Dès que nous avons eu connaissance de ce problème, nous avons bien entendu contacté le site à travers son service presse, afin de l'alerter et d'avoir plus d'explications. Et si nous n'avons pas reçu la moindre réponse à notre premier email, nous avons néanmoins pu constater que le code source ne contenait désormais plus que des informations volontairement rendues publiques par les utilisateurs.
Une preuve, s'il en était besoin, que les questions de sécurité ne se passent pas qu'au niveau des géants du web, des états et des outils tels qu'OpenSSL. Parfois, des failles bien plus discrètes et bien plus anodines peuvent aussi être l'occasion de voir des données personnelles s'éparpiller dans la nature. Malheureusement, rien n'incite pour le moment les sociétés touchées à avertir leurs utilisateurs, comme nous l'avions évoqué dans le cas de la faille Heartbleed, un point qui pourrait néanmoins rapidement changer au niveau européen. Contacté à nouveau sur le sujet, Adopte un mec ne nous a pas encore indiqué s'il allait, pour sa part, avertir ses membres.
