Vinted, Tinder, Le Bon Coin… des milliers d’apps utilisées pour récupérer la géolocalisation

Photo de Desola Lanre-Ologun sur Unsplash
Cette semaine, le courtier en données spécialisé dans la géolocalisation Gravity Analytics a été victime d'une fuite. 404 Media et Wired révèlent une liste figurant dans la masse de données récupérée par les pirates et énumérant plus de 12 000 applications utilisées par le databroker pour sa collecte.
Le 10 janvier à 17h06
4 min
Logiciel
Logiciel
Mardi, une fuite de données chez le databroker Gravy Analytics, spécialiste de la géolocalisation, était revendiquée par des pirates. Ils montraient un fichier censé contenir l'historique de géolocalisation de smartphones avec latitude, longitude et heure précises. Gravy Analytics et sa filiale Venntel ont récemment été visées par la FTC pour la vente de données de localisation sensibles. Venntel a été notamment prestataire de l'Immigration and Customs Enforcement et du FBI.
Candy Crush, Vinted, Tumblr et des milliers d'autres
Mais 404 Media, dont le journaliste Joseph Cox travaille depuis longtemps sur le sujet, a obtenu un autre fichier de cette fuite. Celui-ci établit une liste de plus de 12 000 applications Android et iPhone qui auraient été utilisées par Gravy Analytics pour récupérer ces données de géolocalisation. Le média, qui a collaboré avec Wired, a partagé cette liste dans un classeur Google.
Parmi cette liste d'applications, certaines sont internationalement connues comme Candy Crush, Tinder, MyFitnessPal, le client de messagerie de Yahoo, l'application de bureautique 365 de Microsoft, Tumblr, des applications de suivi des règles comme « My Calendar - Period Tracker », Call of Duty: Mobile Season 5, Grindr ou encore Vinted. D'autres sont plus utilisées localement. On peut retrouver, par exemple, celle du média people français Gala, celle du Bon Coin ou encore du programme TV Télé-Loisirs.
Une preuve d'un passage par la publicité
À 404 Media, l'analyste en cybersécurité de l'entreprise Silent Push, Zach Edwards, affirme que « pour la première fois publiquement, nous semblons avoir la preuve que l'un des plus grands courtiers en données vendant à des clients commerciaux et gouvernementaux semble acquérir ses données à partir du "flux d'enchères" de la publicité en ligne, plutôt qu'à partir d'un code intégré dans les applications elles-mêmes ».
Wired explique que, pendant un temps, les entreprises qui revendent des données de localisation (par exemple, à l'armée américaine) payaient les développeurs pour intégrer des lignes de code pour collecter les données des utilisateurs. Mais les courtiers en données peuvent donc maintenant récupérer ces données de localisation via les flux d'enchères en temps réel liés à la publicité.
Wired explique que la liste effectuée par les deux médias contient à la fois des applications Android et iOS. Le média américain précise ne pas être sûr de savoir si Gravy Analytics a collecté ces données elle-même ou si elle les a obtenues par une autre entreprise et entre quelles mains elles sont, en fin de compte, passées.
Des données récentes
Les données récupérées ne sont pas datées dans le fichier, mais la présence de Call of Duty: Mobile Season 5, fait dire à Wired qu'elles datent de 2024, puisque cette saison a été lancée en mai 2024.
Contactée par Wired, Tinder affirme : « Tinder prend la sûreté et la sécurité très au sérieux. Nous n'avons aucune relation avec Gravy Analytics et n'avons aucune preuve que ces données ont été obtenues à partir de l'application Tinder », mais nos confrères insistent sur le fait que l'application n'a pas répondu à leurs questions concernant les publicités.
Du côté de Grindr, l'appli affirme qu'elle « n'a jamais travaillé avec Gravy Analytics et ne lui a jamais fourni de données ». Elle ajoute : « Nous ne partageons pas de données avec des agrégateurs de données ou des courtiers et n'avons pas partagé la géolocalisation avec des partenaires publicitaires depuis de nombreuses années. La transparence est au cœur de notre programme de protection de la vie privée, c'est pourquoi les tiers et les fournisseurs de services avec lesquels nous travaillons sont répertoriés sur notre site web », mais Wired rappelle que Grindr a été pris sur le fait en 2022. Google et Apple n'ont pas répondu à Wired.
Vinted, Tinder, Le Bon Coin… des milliers d’apps utilisées pour récupérer la géolocalisation
-
Candy Crush, Vinted, Tumblr et des milliers d'autres
-
Une preuve d'un passage par la publicité
-
Des données récentes
Commentaires (49)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 10/01/2025 à 17h55
Faudrait retrouver le nom de la société française qui proposait son SDK à installer dans des app comme Carrefour, TF1, etc. pour récupérer le cache de la géoloc sans la demander clairement.
Son dirigeant n'avait pas peur de la loi RGPD à l'époque.
Le 10/01/2025 à 18h07
Le 10/01/2025 à 20h29
Le 10/01/2025 à 20h30
Le 10/01/2025 à 21h14
Le 10/01/2025 à 22h18
Le 10/01/2025 à 21h17
Le 10/01/2025 à 22h11
Le 11/01/2025 à 02h03
Faire le lien avec les sociétés qui se planquent dans l’ombre d’une application pour récupérer toutes les données de géolocalisation (et autre ?) à mon sens ce n’est vraiment pas donné à tout le monde.
On est sur un site spécialisé ici ne l’oublions pas.
Le 11/01/2025 à 09h59
Et j'ai vérifié suite à cet article mes application autorisées à y accéder, elles sont très peu nombreuses et je ne vois aucun risque pour celles que j'ai laissées.
Le 11/01/2025 à 11h26
Le 11/01/2025 à 12h14
La dernière l'utilise uniquement pour savoir si je suis chez moi ou pas (appli de gestion de chauffage).
Quant à la géolocalisation par IP, elle est largement imprécise surtout sur mobile.
Le 11/01/2025 à 12h50
Le 12/01/2025 à 23h06
Le 11/01/2025 à 19h39
Maintenant la question est, est-ce qu'ils revendent ces données ou pas. Selon tes choix d'autorisation ou non ça peut influer. Dans tous les cas ça sera donné au gouvernement état unien s'il le souhaite, donc à ses alliés aussi.
La seule donnée qui n'est pas utilisée est celle qu'il n'est pas techniquement possible de récolter, c'est à dire dont l'application a été conçue de manière à ne pas la récolter (cf applications libres)
Le 11/01/2025 à 13h50
Le 12/01/2025 à 17h51
Le 12/01/2025 à 22h24
Le 13/01/2025 à 09h43
Par contre sur mon téléphone je vois la différence en activant le mode Economie d'énergie : je passe de 36-48h d'autonomie à plus de 5 jours, avec la géoloc activée et malgré le blocage de la charge à 80% (pour ne pas user la batterie).
Le 27/01/2025 à 15h39
C'est quoi ce FUD ? N'importe quoi xd
Le 28/01/2025 à 11h13
Android, ne recherche pas les appareils BLE et ne les apaires pas automatiquement les appareils quand la géolocalisation est désactivée.
Modifié le 28/01/2025 à 18h11
Soit tu FUD, 100%. Soit Google garde la géolocalisation activée même quand l'option est désactivée en interface.
Pro-tip : c'est la première option qui est la bonne. Je vois trèèèès nettement la différence de décharge quand la géolocalisation est activée, donc je le saurais si on ne pouvait vraiment pas la désactiver.
Modifié le 29/01/2025 à 16h50
Mon expérience, c'est qu'il faut appairer manuellement les écouteurs à chaque fois si la géolocalisation est désactivé sur Android depuis au moins 2-3 ans. Que ce soit sur google Pixel ou Samsung. Si la géolocalisation est active les écouteurs sont détectés et appairé automatiquement. A priori il y a aussi quelques restriction sur l'usage des appareils en Bluetooth 5 low energy, qui demande l'activation de la géoloc mais je n'en utilise pas.
Le 29/01/2025 à 17h38
Il faut donc activer la géolocalisation et ensuite ne l'autoriser que pour les applis qui gèrent le BLE si on ne veut pas que les autres appli te localisent précisément. Par exemple, l'appli StopAntiCovid qui mesurait la distance approximativement avec Bluetooth indiquait bien qu'il fallait accepter la localisation.
Par contre, dans la page que tu as mise en lien plus haut, il est dit : Ils ont donc corrigé le défaut que tu pointes sur Android 12 (octobre 2021).
Modifié le 11/01/2025 à 11h55
Le 11/01/2025 à 12h16
Modifié le 11/01/2025 à 14h46
Pas tant ici où c'est plutôt du sérieux mais sur le Figaro par exemple (étant abonné, oui personne n'est parfait, mais pour avoir essayé Libé il y a bien bien longtemps, j'ai finalement arrêté... trop tout naze...).
Les commentaires du Figaro sont aussi un florilège de désinformation par des gens qui n'y connaissent rien ou bien qui VOLONTAIREMENT ne veulent rien n'y connaître (les articles sur l'Ukraine/ Joe Biden/ Trump Superman regorgent comme par hasard de désinformation... mais on s'égard du sujet ici...,)
Régulièrement j'y cite et répète:
"Ce qui est affirmé sans preuve peut être aussi démenti sans preuve" ... mais rien n'y fait.
Je suis 100% d'accord avec toi (ni source, ni date, ça craint...,)
Bon, aussi si je cite ce fait ici, ce n'est pas juste pour le plaisir de l'avoir purement inventé ou créé de toute pièce de mon imagination et pour générer du buzz mais j'ai dû forcément l'avoir lu quelque part quelques années auparavant...
Mais je creuse, je creuse: la source & la date...
Si rien trouvé d'ici la fin du weekend, mon devoir de démentir et renier mon post pour dire que c'était en fait une grosse connerie et que je me suis lamentablement trompé.
Wait & See...
Le 11/01/2025 à 17h13
Si c’est le cas, le comportement a sûrement été modifié dans des versions ultérieures d’android.
Le 11/01/2025 à 17h43
Le 14/01/2025 à 06h46
Le 11/01/2025 à 19h55
En dessous, le matériel des ordiphones est connu pour être un problème systémique puisque les brevets de la 3 4 et 5G ne permettent pas de développer facilement des firmwares libres et ainsi, on a collectivement du mal à documenter l'étendue des fonctions des smartphones. On peut raisonnablement supposer que certains appareils permettent un deuxième root depuis le modem et ainsi sont suceptibles de faire fuiter un maximum d'infos en cas de compromission de l'opérateur par exemple.
Sans compter que les fonctions vicieuses des réseaux mobiles (SS7) sont connues et
Les data-brokers c'est la partie comique et immergée de l'iceberg. Dans un monde où tout est fait pour pathologiser l'utilisateur final il ne faut pas s'étonner que la traduction en des mots simples des fonctions réelles de certains équipements choquent jusqu'au déni des faits les plus élémentaires.
Le 13/01/2025 à 10h22
Où il avait été demandé à Google de proposé une option pour ne pas tracker en permanence. Et quelques temps plus tard un chercheur avait démontré que l'option ne changeait rien. Suite à cela Google avait promis de corrgier le bug. Puis plus de nouvelle, donc potentiellement réellement corrigé.
Après, utiliser le système d'enchère pour localiser l'utilisateur, c'est fort! Bravo!
PS: en fait ça paraît plus frais où le sujet n'a jamais été clos:
https://www.frandroid.com/marques/google/524573_desactiver-lhistorique-des-positions-sur-google-ne-sert-a-rien-voici-pourquoi
Ne pas confondre GPS et AGPS: https://www.sciencesetavenir.fr/high-tech/google-android-detecte-en-permanence-la-localisation-du-telephone_116061
Le 13/01/2025 à 10h54
Ton premier lien est intéressant. Il m'a permis de vérifier que j'avais bien désactivé aussi l'Activité sur le Web et les applications.
Ce qui est décrit dans ton dernier lien, ce n'est pas l'AGPS mais la localisation par Wi-Fi (les google cars qui enregistraient (enregistrent toujours ?) le positionnement des points accès Wi-Fi permet de faire cela assez précisément). Mais quand tu désactives la localisation, tu désactives aussi cela.
Pour mémoire l'A-GPS permet de récupérer rapidement par réseau (réseau mobile ou Internet) la table d'éphémérides des satellites plutôt que à bas débit venant d'un satellite. (
Le 13/01/2025 à 14h16
C'est pratique pour prendre des photos loin des bornes WiFi et 3G. Que des zigotos s'en servent aussi… juste à dire que cela ne m'étonne pas.
Le 12/01/2025 à 19h37
Modifié le 13/01/2025 à 09h19
Ça reste de l'Android et ça permet un contrôle fin des autorisations que vous accordez ou pas à une appli. Surtout, Google récupère rien si vous utilisez des profils sans Google, ou des profils où l'infra Google est limitée à ce que vous voulez bien donner comme droits.
Attention, certaines applis étant codées expressément pour récupérer des infos, ne fonctionnent pas sans les accès aux infos attendues... Une seule appli bancaire dans mon cas + une appli de payement de stationnement dépendantes de quelque chose de chez Google que je n'ai pas identifié - et que les développeurs ne communiquent pas - => j'ai appris à me passer des applis développées avec les pieds.
On peut utiliser Android en ayant sa maîtrise et sans Google, je vous l'assure... le plus compliqué est de trouver un téléphone sur lequel on puisse déployer une version AOSP car les dépendances avec le matos restent la chasse gardée des fabricants... Pour Graphene, il faut passer - assez ironique - par un Pixel de chez Google...
Le 13/01/2025 à 10h03
Notre adresse n'est pas secrète que je sache ... même le facteur la connait.
Non, le danger c'est l'utilisation qui en est faite : j'ai un samsung et ça m'énerve quand j'arrive dans un centre commercial où il y a une boutique de cette marque de recevoir un sms ma rappelant qu'il y a une boutique...
Le problème est donc bien l'utilisation de la donnée et non pas son captage qui peut avoir plein de bonne raison.
Par contre quand je cherche un plombier, on me propose des artisans à l'autre bout de la France et non pas ceux qui sont à proximité (réellement à proximité), là pourtant je verrai un intérêt à utiliser la géoloc.
Pour le bon coin, si je veux les annonces dans un rayon de x km, il faut bien savoir où je suis, non ?
Le 13/01/2025 à 10h59
L'utilisation éphémère de ta localisation à ta demande sans stockage n'est effectivement pas un problème.
Modifié le 14/01/2025 à 07h03
Ça vaut vraiment le coup de tuner tout ça.
Déjà tu vas halluciner sur les droits de certaines applis, même si ça se passe mieux qu'avant, mais surtout tu vas gagner en batterie et même si ton gps est activé, l'appli n'y aura pas accès !
Le 16/01/2025 à 06h28
Le 16/01/2025 à 10h10
demander un accord séparés'appuyer sur une des 6 conditions légales du RGPD pour chaque usage. J'ai reformulé parce que ce n'est pas forcément le consentement.Ceux qui ne le font pas sont donc en infraction.
Le 17/01/2025 à 10h06
Le 13/01/2025 à 16h30
Le 16/01/2025 à 06h25
Le 16/01/2025 à 09h14
Le 17/01/2025 à 10h04
Le 17/01/2025 à 10h50
Une donnée captée pourra toujours être utilisée et détournée de l'usage pour lequel elle a été collectée. Le seul et unique moyen de s'en protéger à coup sûr, c'est que la donnée ne soit pas collectée, en tout cas, pas de manière quasi-permanente et totalement transparente (=sans interaction de l'utilisateur).
Si tu as besoin d'un plombier et que tu veux qu'on te propose un plombier près que chez toi, c'est lors de la recherche que tu dois transmettre ta géolocalisation, et uniquement durant la recherche. L'information de la géolocalisation n'a pas a être transmise en permanence sans contrôle.
Le 14/01/2025 à 07h42
On peut déduire des choses de la première, et bien plus de la 2e, avec moins d'erreurs.
On peut te nuire aussi bcp plus facilement
De plus, le facteur n'a pas vocation à te profiler.
Un problème pour les gens lambda le plus souvent assez diffus : établir un profil de tes orientations politiques et influer sur tes choix électoraux (voir Cambrioladge Analytica et les efforts que mettent les russes pour faire monter l'extrême droite dans les pays occidentaux via les RS)
Un problème pour les gens lambda plus palpable :
https://www.telerama.fr/debats-reportages/droit-a-l-avortement-aux-etats-unis-smartphones-et-applis-se-retournent-contre-les-femmes-7010524.php
Le 16/01/2025 à 06h29