[Résolue] – Une vulnérabilité critique pour la vie privée sur Couchsurfing

(Last Updated On: 17 septembre 2021)
Le problème décrit dans cet article a été résolu par l’équipe technique de Couchsurfing.com, qui a été réactive à mes sollicitations. Si vous avez un compte sur Couchsurfing, il n’y plus aucune raison de s’inquiéter !
English version is available : click here
TL;DR
Après avoir cliqué sur le bouton « Télécharger les données » sur le site de Couchsurfing.com, vos données sont exportées dans un fichier .json. Dans ce fichier et avant le correctif, vous pouviez voir les adresses des hôtes que vous avez contacté pour des demandes d’hébergement. Dans les cas où ces hôtes ont donné leur adresse complète sur le site (dans le cade d’une vérification d’adresse, ou à la création du compte par exemple), ce fichier .json contenait aussi la rue et le numéro de rue de l’hôte. Vous aviez accès à l’adresse complète des hôtes, même si ces derniers n’ont pas répondu ou ont refusé vos demandes d’hébergement.

C’est quoi Couchsurfing.com ?

Un service tendance

Couchsurfing.com, c’est le principal site pour la pratique du couch-surfing, littéralement « surf sur canapé ». Le site permet de mettre en contact des voyageurs pour héberger et se faire héberger gratuitement. Oui oui, gratuitement. En échange de son canapé, d’une chambre en rab ou d’un matelas gonflable, l’hôte ne demandera pas un sous au voyageur qu’il/elle héberge. Pour le voyageur, il est tout de même recommander de cuisiner quelque chose, ramener un cadeau, participer aux tâches ménagères et aux activités proposées par l’hôte.

logo de Couchsurfing.com

Côté voyageur, cela permet de trouver gratuitement un endroit où dormir et de rencontrer un local qui pourra aider à trouver les meilleures choses à faire et à voir dans les parages.

Côté hôte, c’est une opportunité parfaite pour faire des rencontres de voyageurs du monde entiers, perfectionner son apprentissage d’une nouvelle langue, découvrir des nouvelles recettes, avoir l’opportunité de se faire héberger en retour, ou tout simplement partager de bons moments.

Une relation de confiance

Héberger gratuitement un inconnu, dit comme ça, c’est plutôt effrayant et certains témoignages évoquent une expérience assez difficile voire traumatisante sur la plateforme 12. Couchsurfing.com met en place un système de profil, de photos, d’avis et de vérifications. Par exemple, la vérification par moyen de paiement permet de soutenir le fonctionnement du site et prouver l’origine géographique du paiement. On peut également faire vérifier son numéro de téléphone, sa pièce d’identité et son adresse postale. De quoi rassurer un peu plus les utilisateurs.

Votre adresse personnelle dans le fichier d’un inconnu

Sachez que jusqu’à la semaine dernière (du 21 au 27 octobre 2019), si vous avez renseigné votre adresse complète sur Couchsurfing, que ce soit pour une vérification ou lors de la création de votre compte, n’importe qui vous ayant déjà adressé une demande d’hébergement pouvait y avoir accès.

Couchsurfing a mis en place un bouton spécifique pour exporter les données de votre compte : Paramètres -> Compte et paramètres -> Confidentialité -> Paramètres liés au données -> Télécharger les données.

Ces données sont donc exportées dans un format .json pour être utilisées sur un autre service. Dans ce .json, et avant le correctif de couchsurfing, n’importe quel surfeur pouvait retrouver dans ce fichier l’adresse complète des personnes qu’il a contacté pour réaliser des demandes d’hébergement. Il n’y avait pas seulement la rue et le numéro de rue, mais aussi des coordonnées GPS très précices ! Ques les hôtes aient accepté, refusé ou n’aient pas répondu à la demande d’hébergement n’a pas d’incidance sur la présence de l’adresse. Encore faut il que ces hôtes aient renseigné leur adresse complète sur la plateforme.

En 4 étapes simples, voici le modèle d’attaque qui était possible :

  1. L’attaquant (Bob) et la victime (Alice) ont tous deux un compte sur Couchsurfing. Nous assumerons qu’Alice a renseigné son adresse complète sur le service. Sur le profil d’Alice, que Bob ou n’importe quel autre surfer peut voir ne figure que la mention « Bruxelles, Belgique ».
  2. Bob formule un demande d’hébergement à Alice. Alice refuse sa demande et clique sur le bouton approprié (par politesse, elle lui envoi aussi un message de refus).
  3. Bob se rends dans les paramètres de son compte et télécharge une copie des ses données dans un fichier .json, qu’il ouvre sans difficultés avec un simple éditeur de texte. Bob recherche l’attribut formatted_address. Il obtient ainsi les coordonnées GPS de l’adresse d’Alice, son numéro et son nom de rue, en plus de la ville et le pays, qu’il connaissait déjà.
  4. Bob se rend à l’adresse d’Alice et la harcèle pour qu’elle l’héberge. Si Alice a refusé car elle est partie en vacances, Bob peut la cambrioler sans difficulté.
4 étapes pour le modèle d'attaque possible avant la correction de la faille sur couchsurfing.
Modèle d’attaque possible avant la correction de la faille.

Contexte

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) – le même règlement qui a fait que vous devez accepter les cookies de partout – Les services que vous utilisez sont obligés de vous fournir une copie des données qu’ils possèdent vous concernant.

Couchsurfing propose son service en Europe et se doit d’être conforme à ce RGPD sous peine de (lourdes) sanctions.

Pour se conformer au Chapitre 3, Section 3, Article 20 de ce RGPD, « Droit à la portabilité des données », Couchsurfing a mis en place ce bouton « Télécharger mes données »

Article 20

Droit à la portabilité des données

1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle […]RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL

Dans le cas de Couchsurfing, cela montre un résultat complètement opposé à l’objectif de la mesure. En implémentant des moyens de protection des données pour se conformer au RGPD, comme ce bouton de téléchargement, Couchsurfing a pu mettre en danger les adresses de ses utilisateurs.

Qui donne son adresse complète sur Couchsurfing ?

J’ai réalisé 61 demandes d’hébergement à travers l’Europe. J’ai été en mesure de récupérer 27 adresses complètes dans mon fichier .json (ratio de 40% et +). Il y a probablement un effet lié à la position géographique. J’ai effectué 5 demandes d’hébergement à Leuven. Pour ces 5 demandes, j’ai pu accéder à l’adresse complète de… toutes ces personnes.

5 adresses complètes d’hôtes à Leuven.

Couchsurfing ayant plus de 12 millions de membres 3, cela aurait permis à un attaquant de récupérer plus de 4 millions d’adresses !

Pour effectuer un nombre de demandes d’hébergement illimité, il faut avoir réalisé la vérification par paiement proposé par la plateforme (54 euros en 2018). Les comptes qui n’ont pas effectué cette vérification sont limités à 10 demandes par semaine.

Une personne expérimentée et malveillante utilisant un compte vérifié pourrait écrire un script et envoyer des demandes d’hébergement par milliers et constituer une base de données avec un prénom, parfois un nom de famille incluant une adresse complète. Il peut revendre ces précieuses données sur des réseaux criminels (cambriolages…)

Heureusement, l’équipe de Couchsurfing.com a été en mesure de corriger rapidement le problème. Elle fait également part qu’il existe un certain nombre de mécanismes pour bloquer les attaques qui consisterait à récupérer des informations en masse, ce qui limiterait l’impact de la faille.

Pour protéger la vie privée des hôtes que j’ai contacté, je ne suis plus en possesion du fichier .json utilisé pour découvrir la vulnérabilité.

Licences

Icones du l’infographie réalisée par Freepik and Vectors Market de www.flaticon.com (licence de base).
Couchsurfing.com n’est PAS affilié à ce site. Leurs logos sont utilisés sur cette page dans un but purement académique et dans le cadre d’une étude d’impact sur la vie privée sur le site Couchsurfing.com

Remerciements

Merci à G. Acar et C. Diaz pour leur aide concernant la marche à suivre pour effectuer une Divulgation responsable et pour la rédaction de cet article.

Pour toutes réclamations, merci d’utiliser le formulaire de contact.

Sources

  1. Creeped Out by Couchsurfing, Jennifer Katanyoutanant, 19/05/2014, https://narratively.com/creeped-out-by-couchsurfing/
  2. Traveller website rapist jailed, BBC NEWS, 29/10/2019, http://news.bbc.co.uk/2/hi/uk_news/england/west_yorkshire/8332140.stm
  3. About | Couchsurfing https://www.couchsurfing.com/about/about-us/