Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Datastream, l’autre courtier qui possède des données de géolocalisation très invasives

Suivis de près

Datastream, l’autre courtier qui possède des données de géolocalisation très invasives

Le Monde et huit autres médias ont collaboré pour éplucher un échantillon de données du courtier en données Datastream. Celui-ci, comme Gravy Analytics, est spécialisé dans les données de géolocalisation. Des millions de personnes sont suivies à la trace grâce aux données des publicités contenues par des applications couramment utilisées comme Le Bon Coin, Candy Crush, Vinted ou encore Grindr.

Le 15 janvier à 17h28

La semaine dernière, le courtier en données de géolocalisation Gravy Analytics a subi une fuite par un pirate. Une liste de plus de 12 000 applications utilisées par le databroker pour sa collecte était ensuite révélée, dont Vinted, Tinder ou encore celle du média people français Gala, celle du Bon Coin ou encore du programme TV Télé-Loisirs. La maison mère de Gravy Analytics, Unacast, a d'ailleurs confirmé à la Datatilsynet, l'autorité de protection des données norvégienne, la fuite [PDF], expliquait en fin de semaine le média public norvégien NRK.

Mais Gravy Analytics n'est pas le seul courtier en données à s'intéresser à la géolocalisation. Nos confrères du Monde, de netzpolitik.org et Bayerischer Rundfunk (Allemagne), de Wired (États-Unis), de SRF et RTS (Suisse), de NRK Beta (Norvège), de BNR Nieuwsradio (Pays-Bas) ainsi que de Dagens Nyheter (Suède) ont pu analyser un échantillon envoyé à des fins de présentation commerciale de Datastream.

Suivie sans s'en rendre compte

Par exemple, la NRK explique avoir rencontré Line, une habitante de la ville de Moss, dans le sud de la Norvège. L'application Kik Messaging & Chat qu'elle avait installée sur son smartphone partageait sept fois par jour sa localisation sans que Line ne s'en aperçoive. « Je pense que c'est terrible et tragique », a réagi la Norvégienne quand le média lui a expliqué l'avoir retrouvée grâce aux données partagées par cette application. L'entreprise responsable de l'application n'a pas répondu aux questions de la NRK.

Le média a montré à Line comment, après avoir récupéré un simple échantillon commercial, il avait pu avoir accès non pas à son numéro de téléphone ou à son adresse email, mais aux données de localisation GPS et à l'IP de son smartphone. Line s'est étranglée : « Quoi ? C'est si simple ? Que quelqu'un puisse s'asseoir là et en savoir autant ? »

47 millions d’identifiants publicitaires dans l'échantillon

NRK explique que le smartphone de Line fait partie des 17 000 téléphones norvégiens suivis pendant une journée de l'été dernier et qui ont envoyé leurs mouvements 160 000 fois.

En effet, la base de données récupérée par nos collègues correspond au seul 2 juillet 2024. En tout, elle contient plus de 47 millions d’identifiants publicitaires distincts dans 137 pays, dont plus d’un million pour la France, explique le Monde. Ces identifiants sont générés par leur smartphone (Android ou iOS) et liés au nom de l'application utilisée par Datastream.

NRK a cartographié toutes les données du fichier représentées en rouge vif ci-dessous :

Martin Gundersen/NRK

Le Monde a lui aussi pu suivre les déplacements d'une personne utilisant l'application Wordbit. Elle s'est trouvée « à proximité du village de Fussey (Côte-d’Or), en plein vignoble bourguignon, en début d’après-midi ». « Peu avant 15 heures, elle chemine le long de la départementale qui serpente dans les vignes, traverse Nuits-Saint-Georges et bifurque vers le nord, longeant certaines des parcelles viticoles les plus prestigieuses au monde avant d’entrer dans l’agglomération dijonnaise sur les coups de 15 h 30 », détaillent nos confrères.

Le Bon Coin et Vinted en bonnes places

Dans les données à leur disposition, nos collègues ont pu constater que les applications du Bon Coin et de Vinted étaient de « gros pourvoyeurs de données personnelles ». En effet, la première a partagé 177 630 données de géolocalisation fine et la deuxième 71 609 données de localisation approximative. Mais comme pour Gravy Analytics, ils ont retrouvé d'autres applications populaires comme Grindr ou Candy Crush.

Nos confrères expliquent que les données de géolocalisation fine sont collectées après que les applications ont demandé aux utilisateurs l'autorisation de les géolocaliser pour affiner les recommandations publicitaires ou leur fonctionnement. Si l'accès à celles-ci peut être refusé, l’adresse IP de l’appareil est toujours disponible pour enregistrer des données de localisation approximative.

Le Monde montre dans son article qu'un trajet d'un utilisateur peut être facilement surveillé. On peut aisément déduire son domicile ou surveiller ses déplacements dans une zone précise, comme sur le campus de l'École polytechnique à Paris-Saclay.

Netzpolitik.org précise que plus de 40 000 applications sont listées dans cet échantillon commercial de Datastream, aussi bien sur des smartphones Android que des iPhone.

Une « énorme perte de contrôle »

Interrogé par Netzpolitik.org, Martin Baumann, de l'association noyb, parle d'une « énorme perte de contrôle ». Et il constate qu'il est « pratiquement impossible pour les individus de savoir où leurs données aboutissent. [...] Les utilisateurs sont en fait privés du contrôle de leurs données ».

La plupart des entreprises responsables des applications en question n'ont pas répondu au Monde. « Le Bon Coin se borne à rappeler son attachement à "la protection des données et la sécurité des informations de ses utilisateurs", ainsi qu’au respect des réglementations en la matière », expliquent nos confrères. Du côté de Vinted, l'entreprise assure examiner le sujet « déterminer comment [ses] utilisateurs ont pu être affectés, y compris de manière indirecte via des services tiers ».

Commentaires (15)

votre avatar
Ce que je ne comprends pas c'est comment ça finit par arriver dans les mains d'un courtier ?

Oui Tinder utilise la géolocalisation, c'est d'ailleurs le cœur de son business model car faire un Like à une personne qui vit en Australie, pas sûr d'arriver à conclure rapidement et de l'utilité... :fumer:

Mais ensuite ? Donc les data sont revendues par Tinder par exemple ? Légale cette pratique ? Écrite dans les conditions d'utilisation de l'appli ?

Pas sûr...:censored:
votre avatar
Les fonctionnalités des applications en question ne sont pas le problème. Les courtiers récupèrent les données via les agences de publicités qui codent elles-mêmes leurs pubs et donc peuvent insérer du code pour récupérer les données.
votre avatar
Ce que je ne comprends pas c'est comment ça finit par arriver dans les mains d'un courtier ?
Le financement par la publicité, qui au prétexte d'être "plus pertinent" veut non seulement polluer ton cerveau mais aussi collecter un maximum d'informations.
Différents acteurs s'empilent donc tout en se lavant individuellement les mains du problème. Schéma classique de déresponsabilisation.
votre avatar
hmm.... C'est moi où il suffit d'un clic pour désactiver la localisation sur un smartphone ?
votre avatar
Je m'autocite mais " Si l'accès à celles-ci [les données de géoloc du GPS] peut être refusé, l’adresse IP de l’appareil est toujours disponible pour enregistrer des données de localisation approximative."
votre avatar
Lire mon commentaire juste en-dessous que j'ai écris avant de lire celui-ci.
votre avatar
Nos confrères expliquent que les données de géolocalisation fine sont collectées après que les applications ont demandé aux utilisateurs l'autorisation de les géolocaliser pour affiner les recommandations publicitaires ou leur fonctionnement. Si l'accès à celles-ci peut être refusé, l’adresse IP de l’appareil est toujours disponible pour enregistrer des données de localisation approximative.
C'est Le Monde qui affirme ce que j'ai mis en gras ? Il faudrait qu'ils s'appuient sur des experts Telecom.

J'aimerais bien que l'on m'explique comment une adresse IP sur mobile permet de suivre un utilisateur même de façon approximative. L'adresse IP attribuée est Nattée en IP V4 (et plusieurs utilisateurs présentent la même) et qu'elle soit en V4 ou V6, elle ne change pas quand on se déplace.

Que sur un abonnement Internet fixe, ça soit le cas, pourquoi pas mais actuellement les différents sites que je viens d'interroger me situent à Bordeaux alors que je suis dans le département au-dessus, donc assez loin, un me localise près de l'Allemagne, un autre (en IP V6) à Toulouse...

Et quand je fais un essai sur mobile (en ayant supprimé la connexion Wi-Fi), je tombe à Boulogne-Billancourt sur 3 sites qui s'appuient sur l'IP V6 !

Donc, c'est bien plus qu'approximatif, C'est franchement faux.

Heureusement que pour ceux qui exploitent les localisations, les utilisateurs ne refusent pas que l'on utilise leur localisation !
votre avatar
S'ils arrivent à récupérer d'une manière ou d'une autre les IP des smartphone associées aux identifiants des antennes mobiles, il y a un très gros problème.
votre avatar
Je vois assez mal comment ils pourraient faire ça. Ce sont des données qui n'ont rien à voir entre elles.

Un opérateur peut probablement le faire (sur demande des autorités) mais ça se fait en 2 temps : identifier l'abonné ayant telle adresse IP à un moment donné puis ensuite récupérer sa localisation à ce même moment (en utilisant effectivement l'information de l'antenne sur laquelle il était connecté à ce moment).
Quelqu'un d'extérieur au réseau de l'opérateur ne peut a priori pas le faire sans avoir piraté l'opérateur.
votre avatar
oui on est d'accord.
votre avatar
Il serait intéressant de savoir si les utilisateurs d’android sont plus impactés que iOS
votre avatar
Pourquoi mettre une capture de Pokemon Go?
L'appli est impactée ?
votre avatar
Je propose un petit jeu histoire de faire bouger nos politiques là-dessus.

Si les informations dont disposent les brokers permettent de déterminer beaucoup de chose au sujet des personnes, connaître des choses (notamment les localisations) devrait permettre de retrouver les personnes.

Si on prend (totalement au hasard), un personnage politique, dont on connait plus ou moins certains déplacement, il doit être possible de le retrouver et l'identifier dans la liste de toutes les personnes dont le broker a des données. Puis on lui envoi. On serait ainsi en mesure de retracer l'ensemble des déplacements qui ont été "suivi".

Avec un ministre ou un chef, d'état, cela serait très "rigolo".
votre avatar
On aurait du proposer cette technique pour suivre Paul Bismuth !
votre avatar
Si les données sont accessibles en "public", il "suffit" de regarder les gens qui se font geolocaliser au niveau de l'assemblée nationale pour avoir une grande probabilité de tomber sur un élu.
Après, ça peut aussi être "rigolo" de faire ça avec les élus locaux, qui sont probablement beaucoup plus ignorants de ces choses et qui pourraient être bien embêtés que leur passage chez tel industriel en semaine soit rendue publique.

En tous cas, ça peut être une sacré source de scoops.

Next ne voudrait pas faire la Une nationale en étant "le média d'investigation qui a indiqué au Canard enchaîné la liaison extraconjugale de XXX via ses données de géo-localisation accessibles en ligne" ? 😁

Datastream, l’autre courtier qui possède des données de géolocalisation très invasives

  • Suivie sans s'en rendre compte

  • 47 millions d’identifiants publicitaires dans l'échantillon

  • Le Bon Coin et Vinted en bonnes places

  • Une « énorme perte de contrôle »

Fermer