Des milliers d’applications mobiles populaires seraient exploitées pour collecter sans consentement des données de localisation sensibles, soulignant de sérieux enjeux de confidentialité. Une enquête a révélé un réseau vaste d’applications impliquées, de jeux à des services de rencontre, rendant la situation alarmante pour la protection des données personnelles.
Des milliers d’applications mobiles populaires sur Android et iOS sont apparemment exploitées pour collecter des données de localisation sensibles à une échelle inédite. Cette collecte de données, qui se produit à travers l’écosystème publicitaire, a probablement lieu sans la connaissance des utilisateurs ni même des développeurs d’applications eux-mêmes.
Les informations proviennent de fichiers piratés appartenant à Gravy Analytics, une entreprise spécialisée dans les données de localisation, dont la filiale, Venntel, a déjà vendu des données de localisation mondiales à des agences d’application de la loi américaines. Cette information a été rapportée par Wired, qui a collaboré avec 404 Media pour produire l’article.
La violation de données a exposé un réseau vaste d’applications, allant de jeux populaires comme Candy Crush à des applications de rencontre comme Tinder et Grindr. Elle englobe également des catégories sensibles telles que des applications de suivi de grossesse et de prière religieuse.
Un porte-parole de Tinder à ce sujet a apporté la réaction officielle suivante :
« La sécurité est une priorité absolue pour Tinder. Nous n’avons aucun lien avec Gravy Analytics et n’avons aucune preuve que ces données proviennent de l’application Tinder. »
« Pour la première fois publiquement, il semble que nous ayons la preuve que l’un des plus grands courtiers de données vendant à des clients commerciaux et gouvernementaux acquiert ses données depuis le ‘flux d’enchères’ publicitaire en ligne, plutôt que par un code intégré dans les applications elles-mêmes », a déclaré Zach Edwards, analyste senior des menaces chez la société de cybersécurité Silent Push, à 404 Media.
Cette révélation met en lumière le monde des enchères en temps réel (RTB), un processus où les entreprises enchérissent pour placer des publicités à l’intérieur des applications. Cependant, ce système a un effet secondaire dangereux : les courtiers de données peuvent intercepter ce processus et récolter les données de localisation des utilisateurs de téléphones mobiles.
Edwards a décrit cela comme « un scénario cauchemardesque pour la vie privée », ajoutant qu’« il y a une entreprise quelque part agissant comme un blaireau mondial, faisant ce qu’elle veut avec chaque morceau de données qui lui parvient ».
L’ampleur de cette collecte de données est stupéfiante. Les données piratées de Gravy incluent des dizaines de millions de coordonnées de téléphones mobiles provenant des États-Unis, de la Russie et de l’Europe. La liste des applications touchées est vaste, couvrant un large éventail de catégories, y compris les réseaux sociaux, les trackers de fitness, les clients de messagerie et même des applications VPN que les utilisateurs ont pu télécharger dans une tentative de protéger leur vie privée.
Bien que la violation de données semble impliquer Gravy Analytics, il reste flou si Gravy a collecté ces données de localisation elle-même ou les a obtenues d’une autre source. Le jeu de données, qui remonte à 2024, offre un rare aperçu du monde opaque de l’industrie des données de localisation.
Gravy Analytics joue un rôle clé dans cet écosystème, agrégeant les données de localisation des téléphones mobiles provenant de diverses sources et les vendant à des entités commerciales ou des agences gouvernementales via sa filiale, Venntel. Des enquêtes antérieures ont révélé que les clients de Venntel comprennent plusieurs agences gouvernementales américaines, telles que l’Immigration and Customs Enforcement (ICE), la Customs and Border Protection (CBP), l’IRS, le FBI et la DEA.
Les implications de cette collecte de données sont considérables, soulevant de sérieux problèmes de confidentialité et mettant en avant le potentiel d’utilisation de ces données de manière non intentionnelle ou sans consentement. Par exemple, 404 Media et d’autres médias ont précédemment démontré comment un outil appelé Locate X, alimenté par les données de Venntel, pourrait être utilisé pour surveiller les visiteurs de cliniques d’avortement hors de l’État.
La plupart des développeurs d’applications et des entreprises figurant sur la liste n’ont pas répondu aux demandes de commentaire. Cependant, Flightradar24 a déclaré dans un courriel qu’elle n’avait jamais entendu parler de Gravy mais a reconnu afficher des publicités pour « aider à garder Flightradar24 gratuit ».
Tinder a nié toute relation avec Gravy Analytics, tandis que Muslim Pro, l’une des applications de prière touchées, a affirmé qu’elle n’autorise pas les réseaux publicitaires à collecter des données de localisation de ses utilisateurs.
La découverte que ces données semblent provenir des enchères en temps réel est particulièrement significative. Cela déplace la responsabilité vers des acteurs malveillants de l’industrie publicitaire et les géants de la technologie qui la facilitent. Cela suggère également que de nombreux grands éditeurs d’applications pourraient ignorer que les données de leurs utilisateurs sont collectées, rendant difficile pour eux de prendre des mesures préventives.
Krzysztof Franaszek, fondateur de la société d’expertise numérique Adalytics, a examiné les données divulguées et a observé que « au moins certaines de ces données seraient probablement issues des enchères en temps réel liées à la publicité ». Il a noté des preuves que la plateforme publicitaire de Google sert certaines des publicités qui permettent ce suivi par des entreprises extérieures, y compris des contractants gouvernementaux potentiels.
La FTC a récemment pris des mesures contre des pratiques similaires. En décembre, l’agence a interdit à la société de données de localisation Mobilewalla de collecter des données consommateurs « lors d’enchères publicitaires en ligne à des fins autres que de participer à ces enchères ». La FTC a également ordonné à Venntel et Gravy Analytics de supprimer les données de localisation historiques et leur a interdit de vendre des données liées à des zones sensibles, telles que les cliniques de santé et les lieux de culte, sauf dans des circonstances limitées.