Il y a quelques jours, le grossiste de la donnée en ligne Gravy Analytics a été piraté : cette entreprise spécialisée dans la géolocalisation récupère des infos sur les utilisateurs avant de les revendre à des partenaires. La collecte passe par les espaces de réclames des apps Android / iOS et s’est faite à l’insu des utilisateurs comme (probablement) des développeurs. Wired a pu voir une partie des données et révèle que celles-ci ont été moissonnées à partir d’apps diverses et très connues, allant de Candy Crush à Tinder en passant par des apps religieuses ou des VPN.
Si un utilisateur accepte de partager son emplacement avec une app, certaines entreprises spécialisées dans la revente de données peuvent utiliser ses espaces publicitaires pour récupérer sa localisation. Gravy et d’autres entreprises surveillent ces emplacements, que s’arrachent des courtiers en données se battant pour afficher leurs réclames sur une certaine période. Sans même avoir à vendre une publicité, elles peuvent ainsi récolter des informations sur les appareils comme sa position approximative. Un business très juteux… impliquant de grandes responsabilités étant donné qu’il peut permettre d’obtenir des données précises avec quelques croisements.
Un groupe russe annonce avoir piraté un grossiste de données de géolocalisation
Les données piratées chez Gravy Analytics comportent des dizaines de millions de coordonnées de smartphones, situés aux États-Unis comme en Europe ou en Russie. Certains fichiers indiquent la provenance des données et l’app dont elle été tiré : 404 Media en a fait une liste visible à ce lien. On peut y voir que les applications touchées sont nombreuses et se comptent en milliers.
On y trouve des jeux comme Temple Run, Subway Surfers mais aussi des apps de fitness, d’entraînement sportif ou de suivi de vols comme Flightradar24. Le client mail de Yahoo ou les apps de bureautique Microsoft 365 sont visiblement concernés, tout comme des applications de Bible ou de prières. La présence d’éléments liés à la 5e « saison » de Call of Duty: Mobile montre que la récolte a eu lieu courant 2024.
Rappelons que ces apps n’étaient pas directement clientes de Gravy Analytics : l’entreprise a récolé des données via leur système d’espace publicitaire. Tout est un peu nébuleux, et il est difficile de dire si celle-ci a fait appel à un tiers pour récupérer toutes les informations du document en fuite. Wired a interrogé quelques développeurs touchés, qui ont tous affirmé ne pas avoir de lien avec Gravy Anaylitcs et ne pas revendre les données de localisation. Malheureusement, de nombreuses entreprises ne se privent pas pour faire de l’argent sur cette information.
Mise à jour le 10 janvier à 14:40 : un porte-parole de Tinder nous a affirmé que l’entreprise n’avait aucun lien avec Gravy Analytics, et indique n’avoir aucune preuve que ces données proviennent de l'application Tinder. « La sécurité est une priorité absolue pour Tinder », ajoute-t-il.
