Lorsque Raw a fait irruption sur la scène en 2023, il promettait de bouleverser l'application de rencontres comme Bumble l'avait fait il y a quelques années. Pas de filtres. Pas de profils personnalisés. Juste des selfies quotidiens et des rencontres en temps réel basées sur la localisation, le tout au nom de l'authenticité. Il s'agissait d'une promesse audacieuse dans un monde accro aux personnalités numériques brillantes et aux coups de pouce à gauche ou à droite.
Mais le mois dernier, le modèle "trust-first" de Raw a été sérieusement mis à mal. Une faille de sécurité aurait exposé les données sensibles des utilisateurs à, eh bien... quiconque cherchait des données sur les dates. Il s'avère que la vie privée doit toujours être protégée, quelle que soit la fraîcheur de l'interface utilisateur.
Le problème de Raw représente plus qu'une simple panne technique, car l'application promettait une vulnérabilité et une confiance émotionnelles, ce qui rend l'expérience de la vulnérabilité d'autant plus poignante. La violation de données a été causée par des failles de sécurité de base plutôt que par des opérations complexes de piratage ou de logiciels malveillants. C'était beaucoup plus simple et probablement beaucoup plus dommageable.
Les rapports montrent que le backend de Raw n'était pas protégé, ce qui permettait un accès illimité aux profils des utilisateurs sans aucune exigence d'authentification. L'utilisation d'un navigateur web classique et d'un identifiant à 11 chiffres facile à deviner permettait d'accéder à des informations personnelles, notamment des noms, des dates de naissance, des orientations sexuelles et des données de localisation exactes, au niveau de la rue près. Ouch.
Une porte ouverte à tous
La vulnérabilité IDOR (Insecure Direct Object Reference) est une faille de cybersécurité qui revient à laisser des dossiers privés dans un classeur non verrouillé situé dans un couloir public accessible. Des équipes de recherche ont apparemment réussi à exploiter cette vulnérabilité en créant un faux profil par le biais de l'usurpation d'adresse.
Après avoir créé un profil fictif, ils ont accédé aux données d'autres utilisateurs de Raw en incrémentant les numéros d'identification des utilisateurs. Pas de mot de passe. Pas de connexion. Pas de cryptage. Juste un point de terminaison API ouvert : api.raw.app/users/[ID].
L'enquête n'a révélé aucune trace de chiffrement de bout en bout lors de la transmission ou du stockage des données, malgré les affirmations publiques de l'entreprise à ce sujet. L'application transmettait des données sensibles sans restriction sous de fausses allégations de cryptage qui se sont révélées être de simples techniques de marketing.
Les retombées de l'exposition
Après que le problème a été révélé, Raw a immédiatement fermé les points de terminaison exposés et a laissé entendre que les notifications nécessaires seraient faites. Sans faire preuve de diligence raisonnable, la société s'est concentrée sur la construction d'un produit de haute qualité tout en s'engageant auprès de sa communauté, selon sa déclaration. Traduction : La croissance d'abord, la sécurité ensuite.
La faille de sécurité a frappé la startup à un moment inopportun. Quelques jours auparavant, Raw avait annoncé sa prochaine grande idée : le Raw Ring est un dispositif portable qui suit les données relatives à la fréquence cardiaque ainsi que les signaux émotionnels et le ton de la voix afin d'identifier les indicateurs d'infidélité. L'idée ? La surveillance des relations en temps réel, pilotée par l'IA, permet de créer une "zone sans flirt".
De sérieuses questions ont été soulevées avant même que la bague ne soit mise à la disposition des consommateurs. Raw n'ayant pas réussi à protéger les photos de profil et les données GPS, comment pourra-t-elle garantir la sécurité des informations biométriques et des métadonnées émotionnelles ?
Le paysage est difficile
Raw n'est pas la seule application à essayer de réécrire les règles de la rencontre. Elle est confrontée à une vague de concurrentes fraîches et audacieuses, chacune avec ses propres particularités.
Thursday limite les rencontres à un jour par semaine, ce qui accélère les rencontres dans la vie réelle. Snack propose des vidéos de type TikTok pour les rencontres, en ciblant les utilisateurs de la génération Z, qui ont peur de glisser leur doigt dans l'appareil. Feeld mise sur l'inclusivité, en s'adressant aux relations non traditionnelles et ouvertes. Hinge s'appuie sur des connexions sérieuses avec son mantra "conçu pour être supprimé", tandis que Lox Club ajoute un air d'exclusivité et d'humour au mélange.
Dans un espace régi par la nouveauté, la confiance et l'ambiance, la concurrence est féroce et, pour des applications comme Raw, il y a peu de place pour l'erreur.
Dernier coup de griffe : Quand la vulnérabilité cesse d'être romantique
Les failles de sécurité de Raw s'inscrivent dans une tendance plus large du secteur. Les applications mobiles explosent souvent en popularité bien avant d'être conçues pour résister à de réelles menaces de sécurité. Les développeurs, poussés par l'ambition, l'inexpérience ou le simple mépris, traitent souvent la cybersécurité comme une réflexion après coup, jusqu'à ce que quelque chose se brise. Et lorsque la panne survient, elle est coûteuse.
Dans le cas de Raw, les utilisateurs ont découvert que leur comportement amoureux, leur orientation sexuelle et même leurs données de localisation en temps réel étaient exposés en ligne. Pour une application qui s'adresse à des communautés vulnérables et à des personnes soucieuses de leur vie privée, les conséquences pourraient être bien plus graves qu'un simple embarras.
Raw avait le vent en poupe. Plus d'un demi-million de téléchargements sur Android et une base d'utilisateurs fidèles et en pleine croissance, attirés par son côté non filtré et en temps réel. Mais la confiance dans les applications de rencontre ne vient pas de l'esthétique ou de la viralité. Elle se forge dans le silence, grâce à des systèmes sécurisés que les utilisateurs ne voient jamais mais sur lesquels ils s'appuient totalement.
Raw est désormais un avertissement. Dans le monde des applications de rencontres, votre sécurité est limitée à votre backend. La vulnérabilité est peut-être essentielle en amour, mais pas dans le code.
Commentaires
La fuite de données de Raw transforme la réalité des rencontres en risque
Table des matières
Lorsque Raw a fait irruption sur la scène en 2023, il promettait de bouleverser l'application de rencontres comme Bumble l'avait fait il y a quelques années. Pas de filtres. Pas de profils personnalisés. Juste des selfies quotidiens et des rencontres en temps réel basées sur la localisation, le tout au nom de l'authenticité. Il s'agissait d'une promesse audacieuse dans un monde accro aux personnalités numériques brillantes et aux coups de pouce à gauche ou à droite.
Mais le mois dernier, le modèle "trust-first" de Raw a été sérieusement mis à mal. Une faille de sécurité aurait exposé les données sensibles des utilisateurs à, eh bien... quiconque cherchait des données sur les dates. Il s'avère que la vie privée doit toujours être protégée, quelle que soit la fraîcheur de l'interface utilisateur.
Le problème de Raw représente plus qu'une simple panne technique, car l'application promettait une vulnérabilité et une confiance émotionnelles, ce qui rend l'expérience de la vulnérabilité d'autant plus poignante. La violation de données a été causée par des failles de sécurité de base plutôt que par des opérations complexes de piratage ou de logiciels malveillants. C'était beaucoup plus simple et probablement beaucoup plus dommageable.
Les rapports montrent que le backend de Raw n'était pas protégé, ce qui permettait un accès illimité aux profils des utilisateurs sans aucune exigence d'authentification. L'utilisation d'un navigateur web classique et d'un identifiant à 11 chiffres facile à deviner permettait d'accéder à des informations personnelles, notamment des noms, des dates de naissance, des orientations sexuelles et des données de localisation exactes, au niveau de la rue près. Ouch.
Une porte ouverte à tous
La vulnérabilité IDOR (Insecure Direct Object Reference) est une faille de cybersécurité qui revient à laisser des dossiers privés dans un classeur non verrouillé situé dans un couloir public accessible. Des équipes de recherche ont apparemment réussi à exploiter cette vulnérabilité en créant un faux profil par le biais de l'usurpation d'adresse.
Après avoir créé un profil fictif, ils ont accédé aux données d'autres utilisateurs de Raw en incrémentant les numéros d'identification des utilisateurs. Pas de mot de passe. Pas de connexion. Pas de cryptage. Juste un point de terminaison API ouvert : api.raw.app/users/[ID].
L'enquête n'a révélé aucune trace de chiffrement de bout en bout lors de la transmission ou du stockage des données, malgré les affirmations publiques de l'entreprise à ce sujet. L'application transmettait des données sensibles sans restriction sous de fausses allégations de cryptage qui se sont révélées être de simples techniques de marketing.
Les retombées de l'exposition
Après que le problème a été révélé, Raw a immédiatement fermé les points de terminaison exposés et a laissé entendre que les notifications nécessaires seraient faites. Sans faire preuve de diligence raisonnable, la société s'est concentrée sur la construction d'un produit de haute qualité tout en s'engageant auprès de sa communauté, selon sa déclaration. Traduction : La croissance d'abord, la sécurité ensuite.
La faille de sécurité a frappé la startup à un moment inopportun. Quelques jours auparavant, Raw avait annoncé sa prochaine grande idée : le Raw Ring est un dispositif portable qui suit les données relatives à la fréquence cardiaque ainsi que les signaux émotionnels et le ton de la voix afin d'identifier les indicateurs d'infidélité. L'idée ? La surveillance des relations en temps réel, pilotée par l'IA, permet de créer une "zone sans flirt".
De sérieuses questions ont été soulevées avant même que la bague ne soit mise à la disposition des consommateurs. Raw n'ayant pas réussi à protéger les photos de profil et les données GPS, comment pourra-t-elle garantir la sécurité des informations biométriques et des métadonnées émotionnelles ?
Le paysage est difficile
Raw n'est pas la seule application à essayer de réécrire les règles de la rencontre. Elle est confrontée à une vague de concurrentes fraîches et audacieuses, chacune avec ses propres particularités.
Thursday limite les rencontres à un jour par semaine, ce qui accélère les rencontres dans la vie réelle. Snack propose des vidéos de type TikTok pour les rencontres, en ciblant les utilisateurs de la génération Z, qui ont peur de glisser leur doigt dans l'appareil. Feeld mise sur l'inclusivité, en s'adressant aux relations non traditionnelles et ouvertes. Hinge s'appuie sur des connexions sérieuses avec son mantra "conçu pour être supprimé", tandis que Lox Club ajoute un air d'exclusivité et d'humour au mélange.
Dans un espace régi par la nouveauté, la confiance et l'ambiance, la concurrence est féroce et, pour des applications comme Raw, il y a peu de place pour l'erreur.
Dernier coup de griffe : Quand la vulnérabilité cesse d'être romantique
Les failles de sécurité de Raw s'inscrivent dans une tendance plus large du secteur. Les applications mobiles explosent souvent en popularité bien avant d'être conçues pour résister à de réelles menaces de sécurité. Les développeurs, poussés par l'ambition, l'inexpérience ou le simple mépris, traitent souvent la cybersécurité comme une réflexion après coup, jusqu'à ce que quelque chose se brise. Et lorsque la panne survient, elle est coûteuse.
Dans le cas de Raw, les utilisateurs ont découvert que leur comportement amoureux, leur orientation sexuelle et même leurs données de localisation en temps réel étaient exposés en ligne. Pour une application qui s'adresse à des communautés vulnérables et à des personnes soucieuses de leur vie privée, les conséquences pourraient être bien plus graves qu'un simple embarras.
Raw avait le vent en poupe. Plus d'un demi-million de téléchargements sur Android et une base d'utilisateurs fidèles et en pleine croissance, attirés par son côté non filtré et en temps réel. Mais la confiance dans les applications de rencontre ne vient pas de l'esthétique ou de la viralité. Elle se forge dans le silence, grâce à des systèmes sécurisés que les utilisateurs ne voient jamais mais sur lesquels ils s'appuient totalement.
Raw est désormais un avertissement. Dans le monde des applications de rencontres, votre sécurité est limitée à votre backend. La vulnérabilité est peut-être essentielle en amour, mais pas dans le code.
Rester informé et sécurisé
Rédigé par
Jon Samsel
Head of Cybersecurity Business and Global Marketing
Partager ces informations sur la cybersécurité
Autres informations sur la cybersécurité
Cybersecurity Threat Roundup #22 : Copybara, Crocodilus, Lucid, etc.
SparkKitty : Une menace silencieuse dans les applications "de confiance
La faille de WestJet montre pourquoi les temps d'arrêt tuent les entreprises
Le manuel de jeu numérique de Darcula : L'escroquerie mondiale qui redéfinit les menaces mobiles