Tinder, Grindr, Candy Crush... des millions de données de géolocalisation ont été piratées

Gravy Analytics. Ce nom ne vous dit sûrement rien. Pourtant, cette entreprise est chargée de collecter vos données de géolocalisation pour des milliers de sociétés à travers le monde et de les revendre. Le problème, c'est qu'elle a été piratée par des hackers.

Résultat, plus de 10 téraoctets d’informations, soit environ 30 millions d'identifiants de localisation, ont été dérobés et mis en ligne sur un forum de hackers russes. Les données incluent des coordonnées GPS détaillées, des historiques de déplacement et des horaires précis. Le site 404media a eu accès, ce 7 janvier dernier, à plusieurs captures d'écran des données de localisations mises en ligne par le pirate, qui réclamait une rançon à l'entreprise.

Identifier des particuliers, des politiques ou des militaires

Le hacker a ainsi récupéré des données d'une multitude d'applications à travers le monde comme Tinder, Grindr, Candy Crush ou encore Tumblr, Yahoo Mail et MyFitnessPal. Et surtout, plusieurs des identifiants auraient été localisés à la Maison Blanche à Washington, au Kremlin à Moscou, à la Cité du Vatican et dans plusieurs bases militaires à travers le monde.

Grâce à ces données, il est possible de connaître la position exacte de plusieurs smartphones, par exemple la localisation des utilisateurs de Tinder au Royaume-Uni, voire de connaître le trajet des internautes tout au long de la journée. Il est également possible d'utiliser ces informations pour récupérer l’identité d’un utilisateur et l'identifier.

Dans un message sur X, ex-Twitter, Baptiste Robert, de la société de sécurité numérique Predicta Lab, montre que les données retracent par exemple le parcours d'un utilisateur en voyage à New-York jusqu'à son domicile dans le Tennessee. L'expert explique qu'il est également possible d'identifier des individus susceptibles de servir dans l’armée en superposant les données de localisation volées avec les emplacements d’installations militaires connues.

Des applications de rencontre, comme Grindr auraient vu leurs utilisateurs exposés. Leurs données de localisation pourraient par exemple être utilisées pour identifier ces internautes dans des pays qui criminalisent l'homosexualité.

"Une menace pour la sécurité nationale"

"Ce n'est pas une fuite de données classique. C'est une menace pour la sécurité nationale", insiste-t-il.

"Le piratage d'un courtier en données de localisation comme Gravy Analytics est un scénario cauchemardesque. Si toutes les données de localisation des Américains finissent par être vendues sur des marchés noirs, cela créera d'innombrables risques de désanonymisation et des problèmes de traçage", confirme Zach Edwards, analyste pour l'entreprise de cybersécurité Silent Push, auprès de 404media.

Les applications concernées n'ont pas nécessairement directement transmis ces données à Gravy Analytics. L'entreprise récupère une grande partie de ces informations via des publicités qui collectent des données des utilisateurs. En décembre dernier, l'Agence américaine de protection des consommateurs, la FTC, a d'ailleurs accusé la société de vendre illégalement des informations sur des Américains à des agences gouvernementales. Elle traite plus de 17 milliards de signaux provenant des smartphones d'utilisateurs chaque jour, selon la plainte de la FTC.

Selon la chaîne publique norvégienne NRK, qui a obtenu une notification de violation de données envoyée à l'autorité norvégienne de protection des données de Gravy Analytics et Uncacast - la société mère de Gravy Analytics - le pirate aurait utilisé une "clé détournée" pour acquérir plusieurs fichiers stockés dans le cloud Amazon de l'entreprise. D'après les informations de TechCrunch, une "enquête est en cours".

De son côté, Tinder, interrogé par Wired, a assuré "prendre la sécurité et la protection des utilisateurs très au sérieux. Nous n’avons aucune relation avec Gravy Analytics et aucune preuve que ces données proviennent de l’application Tinder."

La base de données contenant tous les identifiants volés a depuis été retirée du forum de hackers. Elle a tout aussi bien pu être rachetée par Gravy Analytics ou par une autre entreprise ou un pirate.