Mardi, une fuite de données chez le databroker Gravy Analytics, spécialiste de la géolocalisation, était revendiquée par des pirates. Ils montraient un fichier censé contenir l'historique de géolocalisation de smartphones avec latitude, longitude et heure précises. Gravy Analytics et sa filiale Venntel ont récemment été visées par la FTC pour la vente de données de localisation sensibles. Venntel a été notamment prestataire de l'Immigration and Customs Enforcement et du FBI.

Candy Crush, Vinted, Tumblr et des milliers d'autres

Mais 404 Media, dont le journaliste Joseph Cox travaille depuis longtemps sur le sujet, a obtenu un autre fichier de cette fuite. Celui-ci établit une liste de plus de 12 000 applications Android et iPhone qui auraient été utilisées par Gravy Analytics pour récupérer ces données de géolocalisation. Le média, qui a collaboré avec Wired, a partagé cette liste dans un classeur Google.

Parmi cette liste d'applications, certaines sont internationalement connues comme Candy Crush, Tinder, MyFitnessPal, le client de messagerie de Yahoo, l'application de bureautique 365 de Microsoft, Tumblr, des applications de suivi des règles comme « My Calendar - Period Tracker », Call of Duty: Mobile Season 5, Grindr ou encore Vinted. D'autres sont plus utilisées localement. On peut retrouver, par exemple, celle du média people français Gala, celle du Bon Coin ou encore du programme TV Télé-Loisirs.

Une preuve d'un passage par la publicité

À 404 Media, l'analyste en cybersécurité de l'entreprise Silent Push, Zach Edwards, affirme que « pour la première fois publiquement, nous semblons avoir la preuve que l'un des plus grands courtiers en données vendant à des clients commerciaux et gouvernementaux semble acquérir ses données à partir du "flux d'enchères" de la publicité en ligne, plutôt qu'à partir d'un code intégré dans les applications elles-mêmes ».

Wired explique que, pendant un temps, les entreprises qui revendent des données de localisation (par exemple, à l'armée américaine) payaient les développeurs pour intégrer des lignes de code pour collecter les données des utilisateurs. Mais les courtiers en données peuvent donc maintenant récupérer ces données de localisation via les flux d'enchères en temps réel liés à la publicité.

Wired explique que la liste effectuée par les deux médias contient à la fois des applications Android et iOS. Le média américain précise ne pas être sûr de savoir si Gravy Analytics a collecté ces données elle-même ou si elle les a obtenues par une autre entreprise et entre quelles mains elles sont, en fin de compte, passées.

Des données récentes

Les données récupérées ne sont pas datées dans le fichier, mais la présence de Call of Duty: Mobile Season 5, fait dire à Wired qu'elles datent de 2024, puisque cette saison a été lancée en mai 2024.

Contactée par Wired, Tinder affirme : « Tinder prend la sûreté et la sécurité très au sérieux. Nous n'avons aucune relation avec Gravy Analytics et n'avons aucune preuve que ces données ont été obtenues à partir de l'application Tinder », mais nos confrères insistent sur le fait que l'application n'a pas répondu à leurs questions concernant les publicités.

Du côté de Grindr, l'appli affirme qu'elle « n'a jamais travaillé avec Gravy Analytics et ne lui a jamais fourni de données ». Elle ajoute : « Nous ne partageons pas de données avec des agrégateurs de données ou des courtiers et n'avons pas partagé la géolocalisation avec des partenaires publicitaires depuis de nombreuses années. La transparence est au cœur de notre programme de protection de la vie privée, c'est pourquoi les tiers et les fournisseurs de services avec lesquels nous travaillons sont répertoriés sur notre site web », mais Wired rappelle que Grindr a été pris sur le fait en 2022. Google et Apple n'ont pas répondu à Wired.