Gravy Analytics, une entreprise spécialisée américaine spécialisée dans la collecte, l’exploitation et la revente de données basées sur la localisation, vient de subir une intrusion informatique. La société propose surtout ses données anonymisées aux annonceurs publicitaires cherchant à affiner leurs stratégies marketing. C’est l’un des principaux mastodontes de l’industrie des données de localisation.
Elle est aussi connue pour avoir vendu des données de localisation de smartphones au gouvernement des États-Unis. Gravy Analytics dispose d’une filiale spécialisée dans le courtage de données, qui collabore avec la police américaine des contrôles aux frontières (Immigration and Customs Enforcement, ICE) et avec le FBI, Venntel.
À lire aussi : Les données de 800 000 voitures électriques ont été exposées suite à un bug
Une quantité massive de données sensibles
Selon les informations obtenues par 404Media, des pirates affirment avoir mis la main sur une quantité massive de données appartenant à Gravy Analytics, notamment des listes de clients, des informations sur divers secteurs d’activité et des données de localisation collectées via les smartphones.
Pour prouver leurs dires, les cybercriminels ont d’abord publié une série de captures d’écran sur le forum criminel russe XSS. Dans leur message, ils menacent de publier les données de localisation volées à Gravy Analytics sur la toile. Dans un premier temps, ils ont mis en vente la base de données, avant d’exiger une rançon à la société américaine.
D’après les informations de Reuters, les pirates ont partagé 1,4 gigaoctet de données de localisation pour convaincre leurs pairs de leurs méfaits. Les cybercriminels prétendent avoir volé plus de 10 To de données confidentielles.
Le cauchemar des défenseurs de la vie privée
Les fichiers volés comprennent des données de géolocalisation de smartphones, incluant la latitude, la longitude et l’heure précises, avec des exemples montrant des positions enregistrées dans des pays comme le Mexique, le Maroc, les Pays-Bas, la Corée du Nord, le Pakistan et la Palestine. Comme l’explique Zach Edwards, chercheur en sécurité chez Silent Push, c’est un véritable cauchemar pour la confidentialité des données :
« Le piratage d’un courtier de données de localisation comme Gravy Analytics représente un scénario cauchemardesque redouté par les défenseurs de la vie privée. Les conséquences pour les individus sont alarmantes : si les données de localisation massives des Américains sont revendues sur des marchés illégaux, cela entraînerait des risques majeurs de désanonymisation et de surveillance ciblée, touchant à la fois les personnes et les organisations vulnérables »
Les documents dérobés évoquent les noms de plusieurs des clients de Gravy Analytics, dont Apple, Comcast, Equifax, Gannett, LexisNexis, ou encore Uber. Interrogés par Reuters, Marley Smith, chercheur chez RedSense, et John Hammond, expert de Huntress, estiment que les données sont légitimes. Les pirates ne bluffent pas.
À lire aussi : Vol de données sur Android – le redoutable virus espion FireScam menace votre smartphone
Une menace pour la sécurité nationale
Pour Baptiste Robert, un spécialiste français de la cybersécurité, les exemples de données partagés par les pirates montrent « des dizaines de millions de points de données de localisation dans le monde entier », dont « la Maison-Blanche, le Kremlin, le Vatican, les bases militaires ». C’est une « menace pour la sécurité nationale » de nombreux pays.
Hackers claim to have breached Gravy Analytics, a US location data broker selling to government agencies.
They shared 3 samples on a Russian forum, exposing millions of location points across the US, Russia, and Europe.
It’s OSINT time! 👇 pic.twitter.com/sVlEEgEFcF
— Baptiste Robert (@fs0c131y) January 8, 2025
Par ailleurs, l’expert souligne que des millions d’individus vivant en Europe sont affectés par la fuite, en dépit des réglementations mises en place par l’Union européenne. Pour protéger de la collecte abusive de votre localisation, Baptiste Robert recommande aux internautes de « désactiver la localisation et le Wi-Fi lorsque vous n’en avez pas besoin pour éviter d’être suivi ».
Notez que les pratiques de Gravy Analytics et Venntel ont déjà attiré l’attention des régulateurs américains par le passé. La Federal Trade Commission (FTC) avait en effet interdit aux deux entreprises d’exploiter les données collectées sans l’accord des principaux intéressés. Surtout, la FTC avait ordonné la suppression des données, estimant que l’industrie, pesant plusieurs milliards de dollars et centrée sur la « publicité ciblée, pourrait actuellement exposer de manière alarmante les données sensibles des Américains ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : 404 Media
