Mathis Hammel Profile picture
Nov 8 24 tweets 7 min read Twitter logo Read on Twitter
THREAD

Je me suis intéressé à la cybersécurité de Crush, l'appli de rencontres pour 10-21 ans qui fait beaucoup de bruit.

J'y ai découvert un réseau de sociétés fictives qui récolte activement les données de dizaines de milliers de mineur·es. Explications ⤵️ Capture de l'appli "Crush, trouve ton crush secret" sur le store iOS.
PARTIE 1. Le fonctionnement de l'appli

Crush est une appli dont le but est de découvrir ses admirateurs secrets au collège/lycée.

Elle a été renommée "Friendzy, sondages entre amis" depuis son bad buzz.
Le principe est simple : après avoir ajouté vos amis sur l'appli, vous répondez à des questions sur vos liens d'amitié.

Dans un autre onglet, vous pouvez savoir ce que les gens ont répondu sur vous, sans voir leur nom. Sondage "La discrétion est son superpouvoir" avec 4 choix parmi mes amis sur l'appli (j'ai masqué deux noms qui appartiennent potentiellement à des vraies personnes)
Crush est une copie quasi identique de l'appli américaine Gas (qui s'appelait d'ailleurs Crush à l'origine !). Gas était #1 des stores fin 2022 avec plus de 30 000 inscriptions par heure, mais a fermé ses portes il y a quelques semaines : une opportunité en or pour lancer Crush.
PARTIE 2. Une application sécurisée ?

Avant de vous annoncer les mauvaises nouvelles (😇), je vais commencer par quelques points positifs quant à la sécurité des utilisateurs de l'appli.
Malgré une limite légale à 13 ans, la tranche d'âge sur Crush était de 10-21 ans avant d'être restreinte aux 13-18 ans hier.

L'âge n'est jamais vérifié, j'ai pu créer un profil sans souci et envoyer des demandes d'amis à des inconnus. Liste de l'onglet pour ajouter des amis, avec plusieurs propositions (anonymisées)
Alors sur le principe, c'est une info qui peut faire réagir. Mais c'est moins grave qu'il n'en a l'air : aucune fonctionnalité ne permet de contacter directement les autres utilisateurs.
On peut tout de même récupérer quelques infos (prénom, photo de profil, etc.) mais ce sont des données qui se retrouvent souvent publiquement sur d'autres sites, notamment TikTok qui est très utilisé chez les mineur·es. Le profil de Louise, 84 amis et 16 flammes. La photo de profil, première lettre du nom de famille et nom d'utilisateur ont été masqués.
Côté cyber, je suis allé chercher des vulnérabilités sur le protocole client-serveur, qui pourraient permettre de voler les infos privées des utilisateurs (adresse, mot de passe, ...) ou modifier la base de données comme j'avais pu le faire sur Elyze
Je publierai plus tard les détails techniques du reverse-engineering de cette appli qui m'a pris 8 heures environ, avec une stack technique similaire à Elyze (GraphQL + Expo).

En résumé : j'ai extrait 64 endpoints du code de l'appli, aucun ne présente de faille critique. Une partie des requêtes GraphQL utilisées dans le code de l'app
J'ai quand même trouvé une manière d'automatiser la création de milliers de comptes par minute pour aspirer la liste complète des ~15 000 utilisateurs (prénom & photo de profil).

À noter que j'ai juste conçu et vérifié cette attaque, sans pour autant l'exécuter.
Pour conclure, je pense donc qu'il n'y a pas de raison d'alerter sur l'aspect cybersécurité de Crush. Je ne me prononcerai pas non plus sur la facilitation de relations amoureuses au collège/lycée, ce n'est pas mon rôle.

⚠️ Par contre, il y a un autre problème bien plus grave.
PARTIE 3. Les sociétés fictives

Comme beaucoup d'entre vous, j'ai entendu parler de Crush via le thread de @julienqueffelec qui mentionne notamment Ophenya, une influenceuse TikTok (4.8M abonné·es, très jeunes pour la plupart) ayant participé au lancement via un live sponsorisé. Marc et Ophenya dans un TikTok "Entretien avec le fondateur de l'appli Crush"
En allant fouiller qui est derrière Crush, on tombe rapidement sur le profil de Marc Allain, le développeur de l'application.

Marc est un joueur accompli de pipeau sur LinkedIn, et visiblement dev qui sait coder des apps plutôt sécurisées. Mais ses qualités vont s'arrêter là 🙃 Deux publications de Marc bien bourrées de bullshit LinkedIn (je vous épargne la transcription mais c'est archi gênant) avec des photos de lui (??)
Crush est une application qui récolte le carnet de contacts, la localisation et le numéro de téléphone de milliers de mineur·es.

On est donc en droit de se demander qui est l'entité juridique responsable du traitement/stockage de ces données critiques. Et là, ça se complique.
Première étape, on va voir dans la politique de confidentialité de l'appli : il est bien fait mention d'une société Positive Tech SAS... qui n'existe pas juridiquement. Politique de confidentialité de Crush
On découvre sur le même site l'existence de la société EPIC SAS, qui serait enregistrée au RCS de Paris.

Cependant, le numéro d'immatriculation est faux (il correspond à une autre société) et aucune trace d'EPIC SAS n'existe dans les publications administratives en France. Politique de confidentialité de Epic
Le n° SIREN ci-dessus appartient à la société Comin, qui ne me semble pas liée directement à l'affaire.

En effet, les conditions de confidentialité de Comin sont quasi identiques, et Marc a donc probablement fait un gros copier-coller en oubliant de changer des bouts.
À gauche, la politique de confidentialité de Epic
À droite, la politique de confidentialité quasi identique de Comin, une appli de VTC.
Dans le code de l'application, j'ai aussi vu passer plusieurs mentions de "Likorn", notamment dans le nom de package Android. Sûrement un autre nom d'entreprise, qui n'est ici pas non plus une société déclarée (en plus d'être un nom de startup absolument cliché et naze).
Parlons enfin de MRA Tech, entité qui a publié les applis Crush (renommée Friendzy cet après-midi) et Epic sur Android.

Vous connaissez la chanson, aucune trace administrative n'existe à ce nom. Page Google Play de MRA Tech, qui liste les applis Friendzy et Epic
Je pense qu'on pourrait facilement creuser d'autres pistes pour trouver d'autres entreprises fictives dans ce réseau, mais on tient déjà un dossier suffisamment rempli 🙃 Le gars du meme de la théorie du complot (celui devant un mur avec plein de documents attachés avec de la ficelle rouge, et on dirait qu'il a les yeux injectés de sang)
En conclusion : les données privées de vos enfants sont récupérées par un gars qui gère au moins 4 "entreprises" dont aucune d'entre elles n'est déclarée.

C'est le moment de faire un peu de ménage sur les téléphones :)
Si vous appréciez mes threads, n'hésitez pas à me suivre sur Twitter ou BIueSky !

Un grand merci à @Guardia_School & @Logitech qui m'aident à garder ces publications 100% gratuites.

Pour lire une autre de mes enquêtes sur des sociétés fictives, par ici :
Et une petite exclu pour vous remercier d'avoir tenu jusqu'au bout du thread : en 2024, je passe consultant indépendant à plein temps !

Je ferai notamment de la formation à la cybersécurité et l'IA pour des équipes de développeurs·es, infos de contact dans ma bio 😉

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Mathis Hammel

Mathis Hammel Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @MathisHammel

Aug 1
Droite au Coeur est toujours en maintenance, mais j'ai réussi à contourner la fermeture de l'authentification donc j'ai toujours accès au site.

La vulnérabilité initiale a été corrigée, je peux donc légalement vous expliquer la pire faille de sécurité du monde. 🧵1/9
L'interface de Droite au Coeur, comme beaucoup de sites web depuis ~2010, est dynamique.

Cela signifie que votre navigateur va d'abord télécharger le code qui gère l'affichage de la page, mais sans télécharger le contenu.

Pendant qq secondes, la page ressemble en gros à ça : Image
C'est ce squelette de page qui va ensuite faire d'autres requêtes pour récupérer le contenu, ici les profils de dating.

Pour ça, l'interface va utiliser une API : c'est un programme hébergé côté serveur, qui va récupérer et formater les données qu'on lui demande. Image
Read 10 tweets
Jul 17
🧶THREAD - Un programme de 15 lignes de code Python arrive à rivaliser avec les meilleures intelligences artificielles !

Cette drôle de découverte vient d'être publiée par une équipe de chercheurs canadiens, et risque de bouleverser le monde du Machine Learning.

Explications ⤵️ "Qui gagne ?"  À gauche, un réseau de neurones ultra perfectionné avec 340 millions de paramètres  À droite, 15 lignes de Python
La classification de texte est l'un des domaines de recherche les plus actifs en intelligence artificielle : elle consiste à trier automatiquement des textes courts dans un ensemble de catégories pré-définies. Quelques phrases classées par catégorie :  Le briquet a été inventé 3 ans avant l'allumette (Histoire)  Les crocodiles ne peuvent pas tirer la langue (Nature)  Le miel ne périme jamais (Cuisine)  Les amandiers et les pêchers sont dans la même famille d'arbres (Nature)  (Instant culture inutile : toutes ces phrases sont vraies)
Pour évaluer la performance d'un modèle, on va travailler avec des datasets spécifiques.

L'un des plus connus est basé sur 1.4 millions de questions posées sur le site Yahoo Answers, réparties en 10 catégories : Plusieurs questions triées dans un tableau par catégorie. Voici par exemple les questions de la catégorie "Société" :  Comment ont été inventés les gros mots ? Comment devenir gothique ? SI DIEU NOUS A FAIT QUI A FAIT DIEU !? Est-ce que bisexuel est plus fun ? Croyez-vous en le nouvel an chinois ? Sens de la vie ?  (oui, ces questions existent vraiment dans le dataset)
Read 33 tweets
Jul 7
Bon, j'ai trouvé une manière de cracker le nouveau shadowban Twitter 🥳

Déroulez pour + de détails ⤵️ Image
Vous le savez peut-être, certains mots sont devenus "interdits" sur Twitter : les mentionner appliquera sur vos tweets un facteur qui pénalisera généralement votre visibilité de 80% en moyenne.
Sans surprise, parmi ces termes bannis on retrouve
ВIuеsky et Τhrеads, deux réseaux sociaux concurrents de Twitter.

Normal de vouloir éviter que les utilisateurs se barrent chez la concurrence, mais Musk n'aurait pas besoin de faire ça si Twitter était en bonne santé... Image
Read 9 tweets
Jun 22
Mini-thread pour vous expliquer cette formule magique capable de détecter si un nombre est premier⤵️
Cette chaîne de caractères assez cryptique est une expression régulière (ou regex).

C'est une manière de décrire des motifs de caractères pour qu'un ordinateur puisse les détecter dans un texte.

Commençons par un exemple plus simple :
La sous-partie en jaune nous indique qu'il faut chercher 3 un motif de la forme suivante :
- Un chiffre (caractère entre 0 et 9)
- Un autre chiffre
- Éventuellement un point ou un espace (le point d'interrogation indique que le dernier groupe est optionnel)
Read 23 tweets
May 29
THREAD #OSINT - Comment j'ai découvert un réseau d'entreprises fictives sur LinkedIn qui administre des centaines de faux profils.

La semaine dernière, j'ai reçu une invitation LinkedIn de ce profil qui m'a tout de suite paru suspect.

Je vous explique ⤵️ Profil LinkedIn de Richard ...
Pas de chance pour Richard, j'ai beaucoup travaillé sur les faux visages générés par intelligence artificielle et je sais les reconnaître en un coup d'oeil.

L'indicateur le plus évident, c'est la position des yeux : certaines IA vont toujours les placer au même endroit. Photo de profil de Richard ...
Par curiosité, je vais jeter un oeil à la page de Digitize, l'entreprise pour laquelle travaille Richard.

Et là, énorme surprise : parmi les 43 employés de l'entreprise, la quasi-totalité présente une photo de profil qui semble générée par une IA ! 6 comptes LinkedIn avec des...
Read 33 tweets
Feb 8
Je suis à Stockholm cette semaine pour la conférence @Jfokus, et j'ai décidé de participer au quiz de l'un des sponsors. Je crois que j'ai gagné 😇

Petit thread de cybersécurité appliquée dans lequel je vous explique comment j'ai fait ⤵️ @MathisHammel (moi) premier...
En voyant que le classement est basé sur la rapidité, j'ai eu envie de l'automatiser pour avoir un temps surhumain.

Mais ça, c'était avant de découvrir trois failles dans l'appli ! (restez jusqu'au bout du thread, j'ai une technique de hacking ultra puissante à vous montrer)
Avant toute chose, on doit commencer par une phase de reconnaissance : comprendre le fonctionnement du site, sa surface d'attaque, les technos utilisées côté serveur, etc.

Ici très simple, je regarde simplement les requêtes envoyées par mon ordi en faisant le quiz normalement. From which company does Kot...
Read 26 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(