Certaines des applications les plus populaires au monde sont impliquées dans un système massif de collecte de données de localisation à grande échelle, souvent à l’insu des utilisateurs. Ces informations, récupérées via les écosystèmes publicitaires, ont été revendues par une filiale de la société Gravy Analytics, spécialiste des données de localisation. Parmi les milliers d’applications concernées figurent des jeux célèbres comme Candy Crush, des plateformes comme Tinder, mais aussi des outils sensibles tels que des applications de suivi de grossesse ou de prière, disponibles sur iOS et Android. Cette collecte, rendue possible par des flux publicitaires et non par le code des applications, échappe à la vigilance des utilisateurs comme des développeurs.
Des pratiques révélées par un analyste en cybersécurité
« Pour la première fois, nous disposons d’une preuve publique montrant qu’un des plus grands courtiers de données, qui travaille aussi bien avec des entreprises privées qu’avec des agences gouvernementales, récupère ses données par des flux publicitaires en ligne, et non par le code des applications », explique Zach Edwards, analyste senior chez Silent Push, lors d’une déclaration à 404 Media, le média qui a révélé l’affaire.
Ce scandale offre un aperçu troublant du fonctionnement du Real-Time Bidding (RTB), un mécanisme de publicité numérique en temps réel. Habituellement, les entreprises spécialisées dans la localisation rémunèrent les développeurs pour intégrer des codes spécifiques dans leurs applications afin de collecter ces données. Désormais, certaines préfèrent détourner les informations disponibles dans les écosystèmes publicitaires, une stratégie discrète mais invasive. Cette méthode permet aux courtiers en données d’accéder directement aux informations des téléphones des utilisateurs.
Des millions de téléphones et des milliers d’applications concernés
Le piratage de Gravy Analytics a révélé que les données d’emplacements de dizaines de millions d’utilisateurs provenant des États-Unis, de Russie et d’Europe ont été compromises. Ces informations sont associées aux applications par lesquelles elles ont été collectées. Parmi celles identifiées figurent :
- des applications de rencontre comme Tinder et Grindr ;
- des jeux mondialement populaires tels que Candy Crush, Temple Run, Subway Surfers ou encore Harry Potter: Puzzles & Spells ;
- des outils pratiques comme Moovit (transports), MyFitnessPal (fitness), et Flightradar24 (suivi des vols) ;
- des plateformes comme Tumblr, le client de messagerie Yahoo Mail, et Microsoft 365.
Quand publicité et géants de la tech flirtent avec l’illégalité
Ces révélations soulignent la responsabilité des acteurs de l’industrie publicitaire et des géants technologiques qui facilitent ces pratiques. Bien que certains développeurs d’applications soient probablement complices, beaucoup ignorent que leurs produits sont exploités pour aspirer les données de leurs utilisateurs.
Comment protéger ses données personnelles ?
Pour se prémunir contre ces dérives, les utilisateurs peuvent restreindre les autorisations des applications installées et envisager de bloquer les publicités via des outils spécialisés. Toutefois, cette affaire met en lumière un problème plus profond : l’absence de régulation stricte dans le secteur de la publicité numérique et la nécessité urgente de renforcer les lois pour protéger la vie privée des utilisateurs.
Maxime Lefèvre : Rédacteur, passionné de high-tech et de gaming, fan de science-fiction et amateur de bon café.