La semaine dernière, nos confrères de 404 Media révélaient que Gravy Analytics, une entreprise spécialisée dans la revente de données basées sur la localisation, avait été victime d’une cyberattaque. Des cybercriminels sont parvenus à s’emparer d’une base de données appartenant au groupe américain, dont des données de localisation collectées via les smartphones. Ces données révèlent où les utilisateurs vivent, travaillent et se déplacent. Ces informations sont évidemment anonymisées et initialement destinées aux annonceurs publicitaires.
À lire aussi : une gigantesque fuite de données touche les États-Unis
Une cyberattaque confirmée
Quelques jours plus tard, Gravy Analytics a confirmé le vol des données recueillies par ses soins dans un communiqué. Unacast, la société mère de Gravy Analytics, a en effet déclaré la fuite auprès des autorités norvégiennes. Fondée en Norvège en 2004, Unacast a fusionné avec Gravy Analytics en 2023. C’est pourquoi la fuite des données est du ressort des régulateurs norvégiens.
Dans l’avis de violation, repéré par TechCrunch, Unacast indique avoir découvert l’attaque au cours de la journée du 4 janvier 2025. Selon l’enquête menée par l’entreprise, « un accès non autorisé » a été enregistré sur un espace de stockage sur le cloud proposé par Amazon. Cet accès a été rendu possible par l’utilisation d’une « clé d’accès détournée ». On ignore comment les hackers ont obtenu la clé d’accès à l’origine de la cyberattaque.
« Une personne non autorisée a pu accéder à certains fichiers, mais le contenu exact de ces fichiers et la présence éventuelle de données personnelles font toujours l’objet d’une enquête », explique Unacast, soulignant que l’avertissement a été mis à « titre préventif ».
Unacast précise que l’incident n’a été détecté que lorsque les pirates sont entrés en contact avec Gravy Analytics. La société norvégienne « enquête actuellement pour déterminer si des données personnelles ont été affectées ». En fonction des résultats de l’enquête, le groupe notifiera toutes les personnes touchées, conformément à la loi. Elle ajoute avoir pris contact avec les autorités britanniques compétentes.
Quelles applications ont compromis vos données de localisation ?
Pour prouver leurs assertions, les pirates ont mis en ligne un échantillon de 30 millions d’identifiants, sur un impressionnant total de sept milliards, sur un forum russophone. Chaque identifiant représente un smartphone sur la carte. En fouillant dans les échantillons fournis par les cybercriminels, des chercheurs ont établi une liste non exhaustive des applications concernées par la fuite. C’est vraisemblablement par le biais de ces applications que Gravy Analytics a pu recueillir une montagne de données de localisation.
L’expert Baptiste Robert, qui a longuement étudié les fichiers, a dressé une liste des applications impliquées sur Github. Selon les investigations menées par le chercheur français, la société s’est appuyée sur plus de 3 000 applications pour arriver à ses fins et pister des milliards de smartphones. Parmi les apps citées, on trouve des applications de rencontre comme Tinder et Grindr, des jeux comme Call of Duty ou Candy Crush, des réseaux sociaux comme Tumblr, ou des apps de fitness, telles que MyFitnessPal. On trouve aussi Yahoo Mail ou encore MooveIt. Des applications de suivi de grossesse sont aussi épinglées par le chercheur, dont My Period Calendar & Tracker.
Une collecte de données invisible
Plusieurs des applications recensées ont fermement démenti toute collusion avec Gravy Analytics, en dépit des dossiers trouvés dans les échantillons de données compromises. C’est le cas de Tinder. Contactée par nos confrères de Wired, l’application de dating dément « toute relation avec Gravy Analytics » et indique n’avoir « aucune preuve que ces données ont été obtenues à partir de l’application Tinder ». Même son de cloche du côté de Grindr, qui assure n’avoir « jamais travaillé ou fourni de données à Gravy Analytics »:
« Nous ne partageons pas de données avec des agrégateurs de données ou des courtiers et n’avons pas partagé de géolocalisation avec des partenaires publicitaires depuis de nombreuses années ».
Ce n’est pas vraiment une surprise. Il s’avère qu’une grande partie de la collecte de données se déroule par le biais l’écosystème publicitaire, et non par le code des créateurs d’applications. In fine, l’aspiration des données de localisation se passe souvent sans que les utilisateurs ou même les développeurs d’applications en soient conscients. Comme l’explique le chercheur Zach Edwards à Wired, c’est « la première fois » que nous avons « une preuve publique qu’un des plus grands courtiers de données, qui vend à des clients commerciaux et gouvernementaux, obtient ses informations à partir du “flux d’enchères” de la publicité en ligne, plutôt que via du code intégré directement dans les applications ».
« C’est un véritable cauchemar pour la vie privée : non seulement cette violation expose des données extraites des systèmes d’enchères en temps réel (RTB), mais elle révèle également l’existence d’une entreprise qui agit comme un prédateur global, manipulant et exploitant chaque donnée qui lui tombe entre les mains », analyse le chercheur.
Lorsqu’un utilisateur visite un site ou utilise une application, ses informations (comme sa localisation) sont partagées avec des annonceurs pour déterminer quelle publicité afficher en priorité. Ce partage de données, généralement invisible pour les utilisateurs, peut être exploité par des tiers comme des courtiers en données tels que Gravy Analytics.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : TechCrunch
