Wired et 404 Media : Des milliers d'applications mobiles collecteront des données de localisation d'ici 2024, affectant la confidentialité de dizaines de millions d'utilisateurs

Des milliers d’applications mobiles populaires sur Android et iOS auraient été exploitées pour collecter des données de localisation sensibles à une échelle sans précédent. Cette collecte de données via l’écosystème publicitaire est probablement effectuée à l’insu des utilisateurs ou même des développeurs d’applications eux-mêmes.

Les informations proviennent de fichiers piratés de Gravy Analytics, une société de données de localisation dont la filiale Venntel vendait des données de localisation mondiales aux agences américaines chargées de l'application de la loi. Wired a rapporté l'information et a travaillé avec 404 Media pour produire cet article.

La violation de données a exposé un vaste réseau d'applications, allant des jeux populaires comme Candy Crush aux applications de rencontres comme Tinder et Grindr. Il comprend également des catégories sensibles telles que le suivi de la grossesse et les applications de prière religieuse.

« Nous avons ce qui semble être la première démonstration publique qu'un des plus grands courtiers en données vendant des données à des clients commerciaux et gouvernementaux semble récolter des données à partir de « flux d'enchères » publicitaires en ligne plutôt que d'intégrer du code dans les applications elles-mêmes », a déclaré à 404 Media Zach Edwards, analyste principal des menaces chez Silent Push, une société de cybersécurité.

Cette nouvelle jette un nouvel éclairage sur le monde des enchères en temps réel (RTB), le processus par lequel les entreprises soumissionnent pour placer des publicités dans des applications. Cependant, ce système a un effet secondaire dangereux : les courtiers en données peuvent intercepter le processus et obtenir les données de localisation des utilisateurs de téléphones portables.

Edwards a décrit cela comme un « cauchemar en matière de confidentialité », ajoutant : « Il y a des entreprises qui sont comme des blaireaux à miel mondiaux, qui font ce qu'elles veulent avec chaque élément de données. »

L’ampleur de la collecte de données est stupéfiante. Les données piratées de Gravy comprenaient des dizaines de millions de coordonnées de téléphones portables provenant d'appareils situés aux États-Unis, en Russie et en Europe. La liste des applications concernées est longue et couvre des catégories telles que les réseaux sociaux, les trackers de fitness, les clients de messagerie et même les applications VPN que les utilisateurs téléchargent pour protéger leur vie privée.

Bien que la violation de données semble impliquer Gravy Analytics, il n'est pas clair si Gravy a collecté les données de localisation lui-même ou les a obtenues d'une autre source. L'ensemble de données, qui remonte à 2024, offre un aperçu rare du monde opaque de l'industrie des données de localisation.

Gravy Analytics joue un rôle central dans cet écosystème en agrégeant les données de localisation des téléphones portables provenant de diverses sources et en les vendant à des entités commerciales ou à des agences gouvernementales via sa filiale Venntel. Des enquêtes antérieures ont montré que les clients de Venntel incluent plusieurs agences gouvernementales américaines, telles que l'Immigration and Customs Enforcement (ICE), le Customs and Border Protection (CBP), l'Internal Revenue Service (IRS), le Federal Bureau of Investigation (FBI) et la Drug Enforcement Administration (DEA).

Les implications de cette collecte de données sont de grande portée, soulevant de graves préoccupations en matière de confidentialité et soulignant la possibilité que ces données puissent être utilisées à des fins que les utilisateurs n’ont jamais envisagées ou auxquelles ils n’ont jamais consenti. Par exemple, les médias ont montré comment un outil appelé « Locate X » utilisait les données de Venntel pour surveiller les visiteurs des cliniques d’avortement hors de l’État.

La plupart des développeurs d’applications et des entreprises figurant sur la liste n’ont pas répondu aux demandes de commentaires. Cependant, Flightradar24 a déclaré dans un e-mail qu'il n'avait jamais entendu parler de Gravy, mais a reconnu que les publicités étaient affichées pour « aider à garder Flightradar24 gratuit ».

Tinder a nié toute relation avec Gravy Analytics, tandis que Muslim Pro (l'une des applications de prière concernées) a affirmé qu'elle n'autorisait pas le réseau publicitaire à collecter les données de localisation de ses utilisateurs.

Il est particulièrement significatif de constater que ces données semblent provenir d’enchères en temps réel. Elle rejette la faute sur les mauvais acteurs du secteur de la publicité et sur les géants de la technologie qui le facilitent. Cela suggère également que de nombreux grands éditeurs d’applications ne sont peut-être pas conscients que les données de leurs utilisateurs sont volées, ce qui rend difficile la prise de mesures préventives.

Krzysztof Franaszek, fondateur de la société de criminalistique numérique Adalytics, a examiné les données divulguées et a noté qu'« au moins une partie de ces données est probablement dérivée d'enchères en temps réel liées à la publicité ». Il a souligné des preuves selon lesquelles la plateforme publicitaire de Google diffuse des publicités qui permettent ce type de suivi par des sociétés extérieures, y compris des sous-traitants potentiels du gouvernement.

La Commission fédérale du commerce des États-Unis a récemment pris des mesures contre des pratiques similaires. En décembre, l’agence a interdit à la société de données de localisation Mobilewalla de collecter des données sur les consommateurs « à des fins autres que la participation à des enchères publicitaires en ligne ». La FTC a également ordonné à Venntel et Gravy Analytics de supprimer les données de localisation historiques et leur a interdit de vendre des données relatives à des zones sensibles, telles que les cliniques médicales et les lieux de culte, sauf dans des circonstances limitées.

De la station d'information de l'industrie chinoise