Je me suis intéressé à la cybersécurité de Crush, l'appli de rencontres pour 10-21 ans qui fait beaucoup de bruit.
J'y ai découvert un réseau de sociétés fictives qui récolte activement les données de dizaines de milliers de mineur·es. Explications ⤵️
PARTIE 1. Le fonctionnement de l'appli
Crush est une appli dont le but est de découvrir ses admirateurs secrets au collège/lycée.
Elle a été renommée "Friendzy, sondages entre amis" depuis son bad buzz.
Le principe est simple : après avoir ajouté vos amis sur l'appli, vous répondez à des questions sur vos liens d'amitié.
Dans un autre onglet, vous pouvez savoir ce que les gens ont répondu sur vous, sans voir leur nom.
Crush est une copie quasi identique de l'appli américaine Gas (qui s'appelait d'ailleurs Crush à l'origine !). Gas était #1 des stores fin 2022 avec plus de 30 000 inscriptions par heure, mais a fermé ses portes il y a quelques semaines : une opportunité en or pour lancer Crush.
PARTIE 2. Une application sécurisée ?
Avant de vous annoncer les mauvaises nouvelles (😇), je vais commencer par quelques points positifs quant à la sécurité des utilisateurs de l'appli.
Malgré une limite légale à 13 ans, la tranche d'âge sur Crush était de 10-21 ans avant d'être restreinte aux 13-18 ans hier.
L'âge n'est jamais vérifié, j'ai pu créer un profil sans souci et envoyer des demandes d'amis à des inconnus.
Alors sur le principe, c'est une info qui peut faire réagir. Mais c'est moins grave qu'il n'en a l'air : aucune fonctionnalité ne permet de contacter directement les autres utilisateurs.
On peut tout de même récupérer quelques infos (prénom, photo de profil, etc.) mais ce sont des données qui se retrouvent souvent publiquement sur d'autres sites, notamment TikTok qui est très utilisé chez les mineur·es.
Côté cyber, je suis allé chercher des vulnérabilités sur le protocole client-serveur, qui pourraient permettre de voler les infos privées des utilisateurs (adresse, mot de passe, ...) ou modifier la base de données comme j'avais pu le faire sur Elyze
Je publierai plus tard les détails techniques du reverse-engineering de cette appli qui m'a pris 8 heures environ, avec une stack technique similaire à Elyze (GraphQL + Expo).
En résumé : j'ai extrait 64 endpoints du code de l'appli, aucun ne présente de faille critique.
J'ai quand même trouvé une manière d'automatiser la création de milliers de comptes par minute pour aspirer la liste complète des ~15 000 utilisateurs (prénom & photo de profil).
À noter que j'ai juste conçu et vérifié cette attaque, sans pour autant l'exécuter.
Pour conclure, je pense donc qu'il n'y a pas de raison d'alerter sur l'aspect cybersécurité de Crush. Je ne me prononcerai pas non plus sur la facilitation de relations amoureuses au collège/lycée, ce n'est pas mon rôle.
⚠️ Par contre, il y a un autre problème bien plus grave.
PARTIE 3. Les sociétés fictives
Comme beaucoup d'entre vous, j'ai entendu parler de Crush via le thread de @julienqueffelec qui mentionne notamment Ophenya, une influenceuse TikTok (4.8M abonné·es, très jeunes pour la plupart) ayant participé au lancement via un live sponsorisé.
En allant fouiller qui est derrière Crush, on tombe rapidement sur le profil de Marc Allain, le développeur de l'application.
Marc est un joueur accompli de pipeau sur LinkedIn, et visiblement dev qui sait coder des apps plutôt sécurisées. Mais ses qualités vont s'arrêter là 🙃
Crush est une application qui récolte le carnet de contacts, la localisation et le numéro de téléphone de milliers de mineur·es.
On est donc en droit de se demander qui est l'entité juridique responsable du traitement/stockage de ces données critiques. Et là, ça se complique.
Première étape, on va voir dans la politique de confidentialité de l'appli : il est bien fait mention d'une société Positive Tech SAS... qui n'existe pas juridiquement.
On découvre sur le même site l'existence de la société EPIC SAS, qui serait enregistrée au RCS de Paris.
Cependant, le numéro d'immatriculation est faux (il correspond à une autre société) et aucune trace d'EPIC SAS n'existe dans les publications administratives en France.
Le n° SIREN ci-dessus appartient à la société Comin, qui ne me semble pas liée directement à l'affaire.
En effet, les conditions de confidentialité de Comin sont quasi identiques, et Marc a donc probablement fait un gros copier-coller en oubliant de changer des bouts.
Dans le code de l'application, j'ai aussi vu passer plusieurs mentions de "Likorn", notamment dans le nom de package Android. Sûrement un autre nom d'entreprise, qui n'est ici pas non plus une société déclarée (en plus d'être un nom de startup absolument cliché et naze).
Parlons enfin de MRA Tech, entité qui a publié les applis Crush (renommée Friendzy cet après-midi) et Epic sur Android.
Vous connaissez la chanson, aucune trace administrative n'existe à ce nom.
Je pense qu'on pourrait facilement creuser d'autres pistes pour trouver d'autres entreprises fictives dans ce réseau, mais on tient déjà un dossier suffisamment rempli 🙃
En conclusion : les données privées de vos enfants sont récupérées par un gars qui gère au moins 4 "entreprises" dont aucune d'entre elles n'est déclarée.
C'est le moment de faire un peu de ménage sur les téléphones :)
Si vous appréciez mes threads, n'hésitez pas à me suivre sur Twitter ou BIueSky !
Un grand merci à @Guardia_School & @Logitech qui m'aident à garder ces publications 100% gratuites.
Pour lire une autre de mes enquêtes sur des sociétés fictives, par ici :
🧶THREAD - Un programme de 15 lignes de code Python arrive à rivaliser avec les meilleures intelligences artificielles !
Cette drôle de découverte vient d'être publiée par une équipe de chercheurs canadiens, et risque de bouleverser le monde du Machine Learning.
Explications ⤵️
La classification de texte est l'un des domaines de recherche les plus actifs en intelligence artificielle : elle consiste à trier automatiquement des textes courts dans un ensemble de catégories pré-définies.
Pour évaluer la performance d'un modèle, on va travailler avec des datasets spécifiques.
L'un des plus connus est basé sur 1.4 millions de questions posées sur le site Yahoo Answers, réparties en 10 catégories :
Bon, j'ai trouvé une manière de cracker le nouveau shadowban Twitter 🥳
Déroulez pour + de détails ⤵️
Vous le savez peut-être, certains mots sont devenus "interdits" sur Twitter : les mentionner appliquera sur vos tweets un facteur qui pénalisera généralement votre visibilité de 80% en moyenne.
Sans surprise, parmi ces termes bannis on retrouve
ВIuеsky et Τhrеads, deux réseaux sociaux concurrents de Twitter.
Normal de vouloir éviter que les utilisateurs se barrent chez la concurrence, mais Musk n'aurait pas besoin de faire ça si Twitter était en bonne santé...
Cette chaîne de caractères assez cryptique est une expression régulière (ou regex).
C'est une manière de décrire des motifs de caractères pour qu'un ordinateur puisse les détecter dans un texte.
Commençons par un exemple plus simple :
La sous-partie en jaune nous indique qu'il faut chercher 3 un motif de la forme suivante :
- Un chiffre (caractère entre 0 et 9)
- Un autre chiffre
- Éventuellement un point ou un espace (le point d'interrogation indique que le dernier groupe est optionnel)
THREAD #OSINT - Comment j'ai découvert un réseau d'entreprises fictives sur LinkedIn qui administre des centaines de faux profils.
La semaine dernière, j'ai reçu une invitation LinkedIn de ce profil qui m'a tout de suite paru suspect.
Je vous explique ⤵️
Pas de chance pour Richard, j'ai beaucoup travaillé sur les faux visages générés par intelligence artificielle et je sais les reconnaître en un coup d'oeil.
L'indicateur le plus évident, c'est la position des yeux : certaines IA vont toujours les placer au même endroit.
Par curiosité, je vais jeter un oeil à la page de Digitize, l'entreprise pour laquelle travaille Richard.
Et là, énorme surprise : parmi les 43 employés de l'entreprise, la quasi-totalité présente une photo de profil qui semble générée par une IA !
Je suis à Stockholm cette semaine pour la conférence @Jfokus, et j'ai décidé de participer au quiz de l'un des sponsors. Je crois que j'ai gagné 😇
Petit thread de cybersécurité appliquée dans lequel je vous explique comment j'ai fait ⤵️
En voyant que le classement est basé sur la rapidité, j'ai eu envie de l'automatiser pour avoir un temps surhumain.
Mais ça, c'était avant de découvrir trois failles dans l'appli ! (restez jusqu'au bout du thread, j'ai une technique de hacking ultra puissante à vous montrer)
Avant toute chose, on doit commencer par une phase de reconnaissance : comprendre le fonctionnement du site, sa surface d'attaque, les technos utilisées côté serveur, etc.
Ici très simple, je regarde simplement les requêtes envoyées par mon ordi en faisant le quiz normalement.