La semaine dernière, une cyberattaque a révélé une fuite de données massive chez Gravy Analytics, une entreprise américaine spécialisée dans la revente de données basées sur la localisation. Cette fuite met en lumière les pratiques de collecte de données publicitaires, souvent effectuées à l’insu des utilisateurs et des développeurs des applications. Les informations de localisation recueillies via des smartphones se sont retrouvées entre les mains de cybercriminels, révélant non seulement les déplacements quotidiens des utilisateurs, mais aussi des détails très personnels comme leur lieu de résidence et leur lieu de travail.
Cyberattaque contre Gravy Analytics
Des cybercriminels ont réussi à pénétrer dans une base de données appartenant à Gravy Analytics et à extraire des informations de localisation recueillies via des smartphones. Ces données, bien que censées être anonymisées, contiennent des informations très sensibles sur les utilisateurs, telles que leur lieu de résidence, leur lieu de travail et leurs déplacements quotidiens. Initialement, ces informations devaient être utilisées pour des campagnes publicitaires ciblées, permettant aux entreprises de mieux cerner les comportements des consommateurs pour un ciblage plus précis de leurs publicités.
Quelques jours après la révélation de cette cyberattaque, Gravy Analytics a confirmé le vol de ses données dans un communiqué officiel. La société mère de Gravy Analytics, Unacast, a rapidement notifié cet incident aux autorités norvégiennes. En effet, Unacast, fondée en Norvège en 2004, avait fusionné avec Gravy Analytics en 2023, ce qui explique pourquoi les régulateurs norvégiens se sont impliqués dans cette affaire. Cette cyberattaque met en lumière les défis complexes auxquels est confrontée l’industrie de la technologie en matière de protection des données et de cybersécurité.
Détails de la Cyberattaque
D’après Unacast, la cyberattaque a été découverte le 4 janvier 2025 lorsqu’un accès non autorisé a été détecté dans un espace de stockage sur le cloud, fourni par Amazon. Cet accès a été rendu possible grâce à l’utilisation d’une clé d’accès détournée. Actuellement, les détails sur la manière dont les hackers ont obtenu cette clé demeurent inconnus. Les cybercriminels ont profité de cette faille de sécurité pour extraire une quantité massive de données, dont les conséquences sur la vie privée des utilisateurs restent encore à évaluer.
Unacast poursuit toujours ses investigations pour déterminer l’ampleur exacte de la violation et pour vérifier si des données personnelles ont été compromises. Par mesure de précaution, Unacast a pris contact avec les autorités britanniques compétentes, espérant ainsi renforcer la coopération internationale pour contrer les menaces de cybersécurité. Les résultats préliminaires de l’enquête montrent que les pirates informatiques ont réussi à contourner plusieurs couches de sécurité pour accéder aux données sensibles, soulevant des questions sur l’efficacité des mesures de protection mises en place.
Implication de 3 000 Applications
Pour démontrer la véracité de leurs affirmations, les pirates ont mis en ligne un échantillon de 30 millions d’identifiants d’utilisateurs de smartphones sur un forum russophone. Parmi ces applications responsables de la collecte de données, plusieurs sont très populaires. Le chercheur Baptiste Robert a analysé ces données et a dressé une liste exhaustive des applications impliquées. Parmi ces applications, on trouve des applications de rencontre comme Tinder et Grindr, des jeux populaires tels que Call of Duty et Candy Crush, des réseaux sociaux comme Tumblr, ainsi que des applications de fitness telles que MyFitnessPal. Des applications de suivi de la grossesse, comme My Period Calendar & Tracker, ont aussi été mentionnées.
Ces révélations ont mis en lumière l’ampleur du problème et l’énorme quantité de données collectées sans que les utilisateurs en soient conscients. Les développeurs d’applications, dans certains cas, semblent ignorer comment les données de leurs utilisateurs sont exploitées par des courtiers en données comme Gravy Analytics. Cette situation soulève des questions sur la transparence et la responsabilité des entreprises vis-à-vis de la protection des données des utilisateurs.
Démentis des Applications
Face à la divulgation de cette liste d’applications impliquées dans la collecte de données, plusieurs d’entre elles ont rapidement réagi en niant toute collaboration avec Gravy Analytics. Tinder, par exemple, contactée par Wired, a nié « toute relation avec Gravy Analytics » et affirme n’avoir « aucune preuve que ces données ont été obtenues à partir de l’application Tinder » . De son côté, Grindr assure n’avoir « jamais travaillé ou fourni de données à Gravy Analytics » . Ils insistent sur le fait qu’ils ne partagent pas de données avec des courtiers ou des agrégateurs de données et qu’ils n’ont pas partagé de données de géolocalisation avec des partenaires publicitaires depuis de nombreuses années.
Ces réfutations soulèvent des questions importantes sur la manière dont les données sont collectées et redistribuées dans l’écosystème technologique. Les utilisateurs se retrouvent souvent pris au piège entre des déclarations contradictoires des développeurs d’applications et des courtiers en données, accentuant la confusion et le sentiment d’impuissance. Il devient impératif de trouver des moyens pour rendre ce processus plus transparent et compréhensible pour les utilisateurs ordinaires.
Pratiques de Collecte de Données Publicitaires
Il est essentiel de noter qu’une grande partie de la collecte de données s’effectue via l’écosystème publicitaire plutôt qu’à travers le code intégré directement dans les applications elles-mêmes. Comme l’explique le chercheur Zach Edwards, c’est « la première fois » que nous avons « une preuve publique qu’un des plus grands courtiers de données, qui vend à des clients commerciaux et gouvernementaux, obtient ses informations à partir du “flux d’enchères” de la publicité en ligne, plutôt que via du code intégré directement dans les applications » . De nombreuses applications exploitent ces flux d’enchères pour afficher des publicités ciblées, permettant ainsi aux annonceurs d’accéder à des données de localisation qu’ils ne peuvent obtenir autrement.
En d’autres termes, les informations telles que la localisation des utilisateurs sont partagées de manière invisible avec des annonceurs pour déterminer quelles publicités afficher en priorité. Ce système de partage, généralement invisible pour les utilisateurs, est souvent exploité par des tiers, y compris des courtiers en données comme Gravy Analytics. Les ramifications de cette pratique soulèvent des inquiétudes quant à la sécurité et à la confidentialité des données des utilisateurs, d’autant plus que la plupart des utilisateurs ne sont pas conscients de la manière dont leurs informations sont utilisées.
Conséquences et Perspectives
La semaine dernière, une cyberattaque a exposé une fuite de données majeure chez Gravy Analytics, une société américaine spécialisée dans la vente de données de localisation. Cet incident met en exergue les pratiques de collecte de données publicitaires, souvent effectuées sans que les utilisateurs et les développeurs d’applications en soient conscients. Les informations de localisation recueillies par les smartphones ont été divulguées, tombant entre les mains de cybercriminels. Étant compromises, ces données révélaient non seulement les trajets quotidiens des utilisateurs, mais également des détails sensibles tels que l’adresse de leur domicile et leur lieu de travail. Cette situation pose de sérieuses questions sur la confidentialité et la sécurité des données personnelles dans une ère où presque tout le monde utilise des smartphones. La fuite souligne la nécessité d’une régulation plus stricte sur la manière dont les données sont collectées, stockées et partagées par les entreprises pour éviter de futures expositions similaires. De telles fuites peuvent avoir des répercussions graves sur la vie privée et la sécurité des individus concernés.
