Un piratage massif a exposé les données de localisation de millions d’utilisateurs. Des applications comme Tinder, Grindr, Flightradar24 et des jeux comme Temple Run ont été touchés.
Le partage des données de localisation avec les applications pour smartphones implique une inévitable dose de confiance, même lorsqu’il s’agit d’applications populaires que nous utilisons en permanence. Le revers de la médaille est que des entreprises malhonnêtes sont toujours prêtes à profiter de la situation pour accéder à des données qu’elles ne devraient jamais voir. Un récent piratage massif a mis en lumière un autre cas dans lequel un courtier en données a mis en péril les données de localisation de millions de personnes.
Presque toutes les applications populaires affichent des publicités. Ces publicités servent à soutenir financièrement les développeurs, tandis que les utilisateurs peuvent utiliser les applications gratuitement. Dans le passé, pour obtenir des données de localisation, les entreprises spécialisées devaient payer les développeurs pour qu’ils intègrent un code spécifique dans leurs applications. Mais comme le rapporte le journaliste d’investigation Joseph Cox dans Wired et 404 Media, les parties intéressées n’ont désormais plus besoin d’utiliser cette méthode et s’appuient plutôt sur un processus appelé RTB, ou enchères en temps réel.
Avec le RTB, les sociétés de publicité sont en concurrence pour attirer l’attention de l’utilisateur dans une application donnée. Le RTB implique que les applications partagent certaines données avec les annonceurs, y compris, entre autres, vos données de localisation. Le piratage révèle que Gravy Analytics, une société spécialisée dans les données de localisation, détient une grande quantité de données sur les utilisateurs, notamment les coordonnées des smartphones, et qu’elle est prête à les vendre au plus offrant. Gravy compte parmi ses clients des entités gouvernementales et commerciales, ce qui soulève de nouvelles inquiétudes quant à la surveillance illégale.
Krzysztof Franaszek, chercheur en sécurité, a déclaré à 404 Media que la plupart des données de géolocalisation piratées avaient été obtenues par le biais d’adresses IP et non de données GPS. Le volume et le type d’applications concernées par cette situation, ainsi que le fait que tout semble s’être déroulé à l’insu des développeurs, sont des facteurs alarmants.
Les pirates ont publié sur XSS, un forum de cybercriminalité, une capture d’écran de messages postés sur deux sites web de Gravy.
La liste complète des applications touchées est très longue (plus de 12 000), mais parmi les principaux noms figurent des applications de rencontres telles que Tinder et Grindr, l’application de suivi des vols Flightradar24, plusieurs applications de suivi des cycles menstruels, des applications VPN, ainsi que des jeux tels que Temple Run, Subway Surfers et Candy Crush. L’équipe de 404 Media a compilé une feuille de calcul avec certaines de ces applications.
“Un courtier en données de localisation comme Gravy Analytics victime d’un piratage informatique représente le scénario cauchemardesque que craignent tous les défenseurs de la vie privée. Les dommages potentiels pour les individus sont inquiétants et si toutes les données de localisation des Américains finissaient par être vendues sur des marchés souterrains, cela créerait d’innombrables risques de désanonymisation et des problèmes de traçage pour les individus et les organisations à haut risque”, a déclaré Zach Edwards, analyste principal des menaces chez Silent Push, à 404 Media.
Certains développeurs d’applications tels que Tinder et Grindr (tous deux détenus par Match Group) ont déclaré à 404 Media qu’ils n’avaient aucune relation avec Gravy Analytics. L’accumulation des données de localisation des utilisateurs concerne à la fois les appareils Android et iOS. Google et Apple n’ont pas encore commenté ce rapport, mais nous pensons qu’ils le feront bientôt.
Les pirates qui ont révélé cette histoire ont téléchargé des échantillons de données qui prouvent la culpabilité de Gravy Analytics. Le groupe de pirates a posté des messages sur deux sites web de Gravy qui décrivent brièvement la nature du piratage. Des captures d’écran de ces messages ont ensuite été publiées sur le forum de cybercriminalité XSS, inaccessible au public. Une source de 404 Media a réussi à y accéder et les a communiquées à la publication.