Un piratage récent ciblant Gravy Analytics, un courtier américain spécialisé dans les données de localisation, a révélé les mouvements précis de millions d’utilisateurs d’applications populaires comme Tinder, Spotify ou Candy Crush. Selon les premières analyses, plus de 10 téraoctets d’informations auraient été dérobés. Les données incluent des coordonnées GPS détaillées, des historiques de déplacement et des horaires précis.
Mise à jour de 16h40 : Un porte-parole de Tinder nous rapporte la position de la société sur le sujet :
« La sécurité est une priorité absolue pour Tinder. Nous n'avons aucun lien avec Gravy Analytics et n'avons aucune preuve que ces données proviennent de l'application Tinder. »
Tinder
Quelles données ont été exposées ?
La fuite contient des informations permettant de localiser des individus dans des lieux sensibles, comme des bases militaires ou des gouvernements, mais aussi près de domiciles ou d’écoles. Baptiste Robert, fondateur de Predicta Lab, a confirmé qu’il est possible d’identifier des personnes avec ces données. Plus inquiétant, des applications de rencontre comme Grindr ou d’autres services ciblant des communautés spécifiques auraient vu leurs utilisateurs exposés, ce qui peut être dramatique dans des pays où certaines orientations sexuelles sont criminalisées.
Selon des experts, les applications concernées n’ont pas nécessairement transmis directement leurs données à Gravy Analytics. Les informations proviendraient plutôt de kits de développement publicitaire intégrés aux applications, qui collectent discrètement les données de localisation des utilisateurs.
Candy Crush fait partie des applications concernées
Un système qui inquiète les experts
Gravy Analytics vend ces données à des clients variés, allant d’entreprises commerciales à des agences gouvernementales, comme le FBI ou le département de la Sécurité intérieure des États-Unis. Graeme Stewart, expert en cybersécurité chez Check Point, estime lui que ce piratage est un tournant. « Ce ne sont pas seulement des informations basiques, mais des détails intimes sur la vie quotidienne des utilisateurs », explique-t-il.
Le piratage met également en lumière l’opacité des échanges dans l’industrie des données de localisation. Ces informations peuvent être revendues à des intermédiaires sans que les utilisateurs ou même les développeurs d’applications en soient conscients.
Tinder aussi est concerné
Comment se protéger ?
Pour limiter les risques, les utilisateurs sont invités à désactiver la géolocalisation lorsqu’elle n’est pas indispensable et à revoir les paramètres de confidentialité de leurs applications. Sur iOS, il est recommandé de refuser le suivi des apps via l’option « Autoriser les apps à demander un suivi ». Côté Android, il est conseillé de réinitialiser régulièrement l’identifiant publicitaire.
Ce piratage relance aussi les débats sur la régulation des courtiers en données. La Federal Trade Commission avait déjà imposé des restrictions à Gravy Analytics fin 2024, en interdisant en particulier la vente de données issues de lieux sensibles. Cet incident pourrait accélérer l’adoption de lois plus strictes pour encadrer la collecte et l’utilisation des données personnelles.
L’affaire Gravy Analytics rappelle à quel point la protection des données reste fragile face à des systèmes mal régulés. La confiance dans ces entreprises risque d’en prendre un coup.
