comment des militaires européens et américains ont pu être identifiés et localisés grâce à leurs profils sur Tinder

Chercher l’amour peut être plus dangereux que prévu. Des journalistes néerlandais ont réussi à suivre les déplacements et identifier plus de 400 militaires européens et américains… grâce à leurs profils Tinder. Et ça, sans même pirater l’application de rencontres. Si les soldats semblent peu conscients des risques, plusieurs agences de renseignement utilisent déjà ces plateformes pour les approcher.

Swiper à droite ou liker un profil peut parfois mettre en danger la sécurité nationale d’un pays. Une enquête de décembre 2024 du média d’investigation Follow the Money (FTM) révèle que l’identité et la position de centaines de militaires européens et américains ont pu être identifiés… grâce à leurs profils Tinder. Le tout, sans qu’ils en aient conscience.

Les journalistes néerlandais ont tenté l’expérience. Ils ont créé trois faux comptes Tinder: Jacky, Naomi et Daisy. Ils ont ainsi pu identifier les profils de centaines de militaires, un peu partout en Europe ou aux Etats-Unis. Des soldats français, allemands ou encore anglais sont concernés. Pire, ils ont réussi à suivre leurs déplacements de base militaire en base militaire. Au total, FTM a collecté plus de 100.000 profils Tinder. Au moins 400 soldats ont été identifiés en un temps record.

« C’est une menace directe pour la sécurité nationale », alerte le consultant en cybersécurité néerlandais Matthijs Koot, interrogé par FTM.

Une simple technique mathématique

Et pas besoin d’être un pirate informatique chevronné. Les journalistes ont simplement exploité une fonctionnalité clé de Tinder: l’affichage de la distance entre utilisateurs. En effet, l’application de rencontre masque la position exacte de ses utilisateurs. Seule une localisation approximative peut être déterminée à partir des données qu’elle envoie à ses serveurs. Mais dans des zones peu peuplées, comme les bases militaires (ou les villages olympiques), une localisation approximative suffit à identifier précisément quelqu’un.

Il a donc suffi aux journalistes d’utiliser une technique de trilatération, une méthode mathématique pour calculer les distances afin d’affiner les positions. Dans le détail, chaque fois qu’une personne utilise l’application, sa position est mise à jour. Surtout, la distance approximative entre deux profils est indiquée, et ça, même sans « match ».

FTM a donc créé un programme permettant de fournir à Tinder de fausses localisations pour Jacky, Naomi et Daisy. Ces comptes ont ensuite été associés numériquement à différentes bases militaires afin d’identifier et de collecter les profils des utilisateurs de la région. En déplaçant ces profils à plusieurs points d’une même zone et en comparant les distances affichées, les journalistes ont pu déterminer la position quasi exacte et suivre les déplacements des soldats sur plusieurs jours, voire plusieurs semaines. Le tout, sans avoir besoin de matcher avec la personne. Un simple like a suffi.

De l’Otan à l’ONU

Le cas le plus emblématique est celui de « Michael », un soldat américain. Le faux compte de Naomi, a découvert son profil Tinder mi-novembre alors que sa localisation était paramétrée près de la base aérienne américaine de Ramstein, dans le sud-ouest de l’Allemagne. Naomi ne lui a adressé aucun message, et pourtant…

En moins de dix jours, son trajet a été reconstitué. Le trentenaire spécialiste de la défense antimissile balistique s’est ainsi rendu de Ramstein à Francfort, puis à Londres, et enfin dans le nord de l’Espagne, avant de regagner sa base en Allemagne.

Les trois profils de FTM ont également identifié du personnel militaire sur la base militaire de Rukla en Lituanie, où est basé le groupement tactique de présence avancée renforcée de l’OTAN, et aux alentours de la base aérienne d’Ämari en Estonie. Dans un autre cas, un soldat américain a été suivi lors de son déplacement de la base aérienne de Ramstein jusqu’au Mali, où il a séjourné quelques jours près d’une ancienne base de maintien de la paix de l’ONU… avant de retourner en Allemagne. 

« Si l’on peut suivre les mouvements des soldats de manière aussi simple, structurée et sur le long terme, c’est un problème majeur », observe Matthijs Koot.

« Par exemple, si l’activité sur une application augmente soudainement de façon importante sur une base militaire, cela pourrait signifier qu’ils intensifient leurs opérations ou qu’un exercice est imminent. Dans certaines régions du monde, ce type d’information stratégique peut s’avérer crucial », poursuit-il.

Des armées mal préparées au risque numérique

Certaines applications concurrentes du groupe Match, comme Meetic ou Plenty of Fish, utilisent une localisation moins précise. De quoi réduire fortement les risques. Tinder, lui, a fait un autre choix. Contacté par le média, l’application de rencontre assure que « la confidentialité et la sécurité » de ses membres sont primordiales. « Nous avons mis en place des mesures rigoureuses pour garantir qu’aucun utilisateur ne puisse être suivi de manière précise via l’application », poursuit Tinder.

Si les plateformes posent problème, les règles imposées aux militaires sont elles aussi jugées insuffisantes. Après les scandales Strava et Polar en 2018, qui ont dévoilé l’emplacement de bases militaires secrètes, plusieurs pays ont placé des applications sur liste noire. C’est par exemple le cas aux Pays-Bas, où les millitaires ont interdiction de télécharger Strava sur leurs téléphones professionnels. Mais les applications de rencontre, elles, restent autorisées. Parfois même sur les téléphones professionnels.

Aux États-Unis, le Pentagone se contente de simples recommandations. Il conseille par exemple d’éviter de parler de son travail, ou, au contraire, de souscrire à un abonnement payant pour plus de confidentialité, de vérifier les paramètres de géolocalisation et de lire les conditions d’utilisation. En Allemagne, les consignes sont tout aussi souples. Les militaires sont libres d’utiliser les réseaux sociaux et les applications de rencontre comme Tinder. 

Des recommandations qui n’ont aucune portée contraignante… et qui peinent à être respectées. Dans les profils Tinder analysés par FTM, beaucoup n’hésitaient pas à préciser dans leur biographie qu’ils travaillaient dans l’armée. Ils incluaient même leurs divisions ou leur rôle. Pire, les photos les montraient en uniforme militaire. Or, les soldats américains ont généralement leur nom de famille imprimé sur leur treillis.

Une pluie d’infos personnelles

En croisant les informations visibles sur Tinder, comme les photos ou la biographie, avec des données publiques issues de LinkedIn, Instagram ou Facebook, les journalistes sont allés encore plus loin. Ils ont pu trouver les dates de naissance, l’adresse personnelle, les centres d’intérets et plusieurs informations familiales. En quelques recherches, il est ainsi possible de reconstituer une vie entière.

« Cette situation offre de sérieuses opportunités aux services de renseignement étrangers », analyse Matthijs Koot. « La seule limite à l’abus que peuvent exercer les personnes mal intentionnées est leur propre imagination ».

Dans le cas de Michael, les journalistes ont réussi à trouver sa date de naissance, ont découvert son passé d’organisateur de tournées des bars à Séoul ainsi que des informations sur son père, qui a également servi dans l’armée américaine.  Un travail accessible… à n’importe quel service de renseignement.

Selon plusieurs agences de renseignement occidentales, des espions russes, chinois ou iraniens utilisent déjà des applications de rencontre pour approcher des militaires, des diplomates et même des responsables politiques.

« Bien sûr, ils ne demandent pas immédiatement les codes de lancement. Il s’agit d’un processus de préparation minutieuse, qui peut être précédé d’une longue phase de travail, afin d’obtenir des informations précises sur la cible. Même des détails apparemment insignifiants peuvent en réalité s’avérer très précieux », insiste l’expert. 

« Les informations que l’on peut obtenir via Tinder et à partir de sources publiques facilitent l’engagement d’une conversation, l’établissement d’un climat de confiance et la création d’un lien, et permettent finalement de tenter d’extorquer des informations sensibles sous prétexte d’amour, de sexe, d’amitié ou d’argent », ajoute-t-il.

Un « honey trap » 2.0.

Mais les militaires sont loin d’être les seuls concernés. Policiers, diplomates, fonctionnaires et analystes peuvent également être traqués en cherchant l’amour. FTM a ainsi pu suivre les déplacements d’un diplomate canadien en Ukraine et identifier plusieurs agents publics néerlandais à partir de leur profil Tinder.

« Si ces informations tombent entre de mauvaises mains, les conséquences pour les personnes et les groupes concernés peuvent être considérables », alerte le chercheur belge en cybersécurité Karel Dhond. 

La méthode est loin d’être nouvelle. Elle est même connue depuis la guerre froide. C’est ce qu’on appelle le « honey trap », ou piège affectif. L’objectif était de séduire par la flatterie (ou d’autres moyens…) des agents ou des militaires pour leur soutirer des informations. Sauf qu’aujourd’hui, la technique ne se joue plus dans des bars feutrés, mais sur des applications grand public.