Les utilisateurs des principales plateformes de rencontre sont de nouveau dans le viseur des cybercriminels. Match Group, le titan propriétaire de Tinder, Meetic, Hinge et OkCupid, ainsi que son concurrent Bumble, ont confirmé avoir subi des incidents de sécurité. Le mode opératoire pointe vers le groupe de hackers bien connu, Shiny Hunters, qui aurait déjà tenté de monnayer son butin en réclamant une rançon.
Comment les pirates ont-ils réussi à pénétrer les systèmes ?
L'attaque ne provient pas d'une faille technique directe dans les applications elles-mêmes, mais d'une manipulation humaine habile. Les pirates ont eu recours à des techniques d'ingénierie sociale très ciblées. Ils ont créé de faux portails internes pour tromper des employés ou des sous-traitants, les amenant à divulguer leurs identifiants de connexion.
Plus précisément, la porte d'entrée a été la compromission de comptes Okta, un système d'authentification unique (SSO) utilisé par de nombreuses grandes entreprises comme Match Group. Une fois ce compte obtenu via une campagne de phishing, les hackers se sont retrouvés à l'intérieur du réseau, leur donnant accès à une partie des systèmes. Chez Bumble, c'est le compte d'un sous-traitant qui a servi de cheval de Troie.
Quelles sont les données qui ont réellement été volées ?
Les deux groupes se veulent rassurants sur la nature des informations compromises. Match Group affirme que l'incident concerne un « volume limité de données utilisateur ». Le groupe précise qu'aucun élément ne suggère que les identifiants de connexion, les informations financières ou les communications privées des membres aient été affectés.
De son côté, Bumble indique que les attaquants ont eu un accès bref au réseau mais n'ont pas pu atteindre la base de données principale contenant les comptes des membres, leurs profils ou leurs messages. Les informations compromises seraient donc principalement des données personnelles de contact. Shiny Hunters prétend cependant avoir volé 1,7 Go de fichiers compressés contenant des informations sur les utilisateurs de Hinge, Match et OkCupid.
Comment se protéger face à ce type de menaces ?
Cet incident met en lumière la vulnérabilité des systèmes d'authentification traditionnels. La société de cybersécurité Mandiant, filiale de Google, souligne que cette campagne est toujours active et vise plus d'une centaine d'organisations. L'enjeu est de renforcer la sécurité au-delà des simples mots de passe pour les applications de rencontre et autres services.
Les experts recommandent vivement l'adoption de méthodes d'authentification multifacteur (MFA) résistantes au phishing. Les solutions comme les clés de sécurité FIDO2 ou les passkeys sont citées comme des remparts efficaces, car elles ne peuvent pas être compromises par de simples attaques d'ingénierie sociale. Les entreprises sont également appelées à surveiller de près les activités anormales sur leurs réseaux.
