Gravy Analytics est connue pour sa capacité à collecter et traiter plus de 17 milliards de signaux quotidiens provenant d’applications populaires comme Tinder, Spotify ou encore Citymapper. Ces données permettent de suivre les déplacements des utilisateurs et de dresser des profils détaillés. Selon les déclarations des hackers publiées sur un forum russe de cybercriminalité, 17 téraoctets de données sensibles ont été extraits, incluant des coordonnées géographiques précises, des habitudes de vie, et des informations sur les visites dans des lieux sensibles comme les bases militaires et les établissements de santé.
Les hackers ont exigé une réponse de Gravy Analytics sous 24 heures, faute de quoi les données seraient progressivement publiées. Bien que certaines données aient été temporairement mises en ligne, elles ont rapidement été supprimées, mais pas avant d’être téléchargées et analysées par des chercheurs en cybersécurité.
Ce piratage soulève des préoccupations importantes concernant la confidentialité des données et leur utilisation à des fins de surveillance. Baptiste Robert, spécialiste en cybersécurité et fondateur de Predicta Lab, a révélé que les échantillons de données analysés montrent des traces de localisation autour de 30 millions de points dans le monde entier. Ces informations, bien que pseudonymisées, permettent facilement d’identifier des individus grâce aux modèles de vie qu’elles dessinent.
L’accès à de telles données présente également un risque pour la sécurité nationale. Les données auraient permis d’identifier des militaires et des installations sensibles, ce qui pourrait être exploité par des acteurs malveillants.
Gravy Analytics n’a pas encore officiellement communiqué sur cet incident. Toutefois, des informations recueillies par la presse norvégienne indiquent que l’entreprise aurait détecté un accès non autorisé à son cloud Amazon Web Services, qui hébergeait ces données. La société a signalé l’incident aux autorités norvégiennes en raison de la présence de sa filiale locale, Unacast.
Certaines entreprises citées dans les données piratées, comme Tinder et Spotify, ont nié toute collaboration avec Gravy Analytics. Elles ont assuré qu’aucune donnée utilisateur n’avait été compromise par leur intermédiaire. Cependant, les hackers auraient pu accéder à ces informations via des kits de développement logiciels intégrés dans les applications tierces.
Ces entreprises collectent et agrègent des informations issues de multiples applications mobiles, souvent sans le consentement explicite des utilisateurs, pour les revendre à des annonceurs ou des agences gouvernementales. La Federal Trade Commission (FTC) avait déjà pointé du doigt Gravy Analytics pour des pratiques jugées illégales, notamment la collecte et la vente de données sans obtenir un consentement clair et éclairé.
Le business model des courtiers en données repose sur la pseudonymisation des informations, mais des recherches ont démontré qu’il est relativement facile de réidentifier les individus en croisant différents ensembles de données. Ce piratage illustre la fragilité de ces mécanismes de protection.
Face à ces incidents, les experts recommandent plusieurs actions pour limiter l’exposition des utilisateurs :
- Désactiver la localisation sur son smartphone lorsqu’elle n’est pas nécessaire.
- Supprimer ou limiter l’utilisation des applications qui demandent un accès excessif aux données de localisation.
- Modifier régulièrement l’identifiant publicitaire sur les appareils Android et iOS pour éviter un suivi prolongé.
- Configurer les paramètres de confidentialité pour empêcher les applications de suivre les utilisateurs sans leur autorisation explicite.
Cet incident met également en lumière l’absence d’une législation fédérale aux États-Unis pour protéger efficacement les données personnelles. Contrairement à l’Europe, où le RGPD impose des règles strictes, les États-Unis manquent d’un cadre réglementaire unifié. Les défenseurs de la vie privée appellent à une réforme urgente pour encadrer l’industrie des courtiers en données et prévenir de tels abus à l’avenir.
Lire aussi : Les cybercriminels les plus dangereux de l’histoire
