Piratage Gravy Analytics : les données de géolocalisation de milliers d'applications populaires ont été dérobées
Une entreprise de collecte et de revente de données de géolocalisation a été piratée. Les informations d'utilisateurs de plus de 12 000 applications populaires ont été dérobées. Une situation particulièrement délicate, pour les particuliers comme les gouvernements.
C'est un scénario jugé cauchemardesque par les experts en cybersécurité qui vient de se produire, et pourtant nous avons été gâtés dernièrement, avec les vagues de piratages successives ! Des cybercriminels russes sont parvenus à pirater Gravy Analytics, une entreprise américaine peu connue du grand public, mais chargée de collecter vos données de géolocalisation pour des milliers de sociétés à travers le monde et de les revendre. Un fichier gigantesque contenant les déplacements de millions d'utilisateurs à travers le monde – dont la France –, par le biais de leurs smartphones, a été dérobé et mis en vente sur le Dark Web. Des informations particulièrement sensibles, qui peuvent permettre de connaître le trajet des utilisateurs tout au long de la journée et de les identifier, qu'il s'agisse de particuliers ou de militaires et de politiques.
Selon les informations publiées par 404 Media et Wired, plus de 12 000 applications Android et iOS, dont les entreprises travaillaient directement ou à travers des partenaires avec Gravy Analytics, ont servi à la récupération des données, comme Candy Crush, Tinder, MyFitnessPal, Tumblr, Vinted, Yahoo Mail, MyFitnessPal et Call of Duty: Mobile. Des applications françaises comme Gala, Leboncoin et Télé-Loisirs font également partie de cette liste. Les documents dérobés évoquent aussi les noms de plusieurs clients du groupe, dont Apple, Comcast, Equifax, Gannett, LexisNexis, ou encore Uber. Les pirates menacent de publier l'intégralité des données s'ils ne reçoivent pas la rançon demandée. Une annonce jugée crédible par de nombreux experts en cybersécurité et qui serait une véritable catastrophe.
Piratage Gravy Analytics : 7 milliards d'identifiants de localisation dérobés
La fuite est tout simplement gigantesque. Les pirates affirment s'être emparés de plus de 10 To de données. Ils ont d'ailleurs publié un échantillon de 30 millions d'identifiants de localisation, sur un total de 7 milliards. Ces informations incluent la latitude, la longitude et l'heure exacte des déplacements des utilisateurs. Des exemples fournis par les pirates montrent des positions de téléphones dans divers pays, dont le Mexique, le Maroc, les Pays-Bas, la Corée du Nord, le Pakistan et la Palestine. Et, surtout, plusieurs des identifiants ont été localisés à la Maison-Blanche à Washington, au Kremlin à Moscou, à la Cité du Vatican et dans plusieurs bases militaires à travers le monde.
Hackers claim to have breached Gravy Analytics, a US location data broker selling to government agencies.
— Baptiste Robert (@fs0c131y) January 8, 2025
They shared 3 samples on a Russian forum, exposing millions of location points across the US, Russia, and Europe.
It's OSINT time! pic.twitter.com/sVlEEgEFcF
Voici la liste des principales applications mentionnées au travers de la fuite – une liste plus complète, avec plus de 3 000 noms, est disponible sur une page GitHub. On y trouve des applications de rencontres, des réseaux sociaux, des applications de sport, mais aussi des milliers de jeux (solitaire, sudoku, poker...) :
- Tinder
- Grindr
- 9GAG
- MooveIt
- Vinted
- Flightradar24
- Yahoo Mail
- Yahoo Finance
- Candy Crush
- Temple Run
- Subway Surfers
- Harry Potter : Puzzles & Spells.
- Tumblr
- Kik
- Wattpad
- Leboncoin
- Télé-loisirs
- Radio France
- Ouest-France
- Muslim Pro
- Bible apps
- MyFitnessPal
- My Period Calendar & Tracker
- Call of Duty (Mobile)
Piratage Gravy Analytics : une fuite aux lourdes conséquences
"Les données de géolocalisation sont hautement personnelles et sensibles. Si elles sont généralement utilisées à des fins de marketing, elles peuvent être détournées à des fins d'espionnage. Elles peuvent également être utilisées dans des contextes géopolitiques, notamment sur des terrains de guerre", alerte Benoît Grunemwald, expert en cybersécurité chez ESET France. Grâce aux données collectées, il est possible de suivre des identifiants propres à un smartphone à travers son utilisation de l'application. Cela ne permet pas en soit d'obtenir l'identité des utilisateurs, puisqu'il s'agit seulement de "points" placés à divers endroits, mais les tiers les plus persévérants – comme les agences de renseignements, à tout hasard – peuvent regrouper ces données avec d'autres informations pour récupérer l'identité d'un utilisateur particulier, et ainsi le suivre à la trace. Une façon d'en apprendre plus sur ses habitudes, ses trajets, ses lieux de résidence et de travail, et même sur son entourage.
Benoît Grunemwald y voit là deux dangers principaux pour les particuliers : "un risque accru de cyberattaques combinant les informations de localisation avec d'autres données (issues de fuites antérieures) [qui] peuvent alimenter des attaques de phishing ultra-ciblées" et "un sentiment de violation de sa vie privée, de stress ou de peur chez les victimes [qui] peut se transformer en défiance envers le numérique et les entreprises qui l'opèrent ainsi qu'envers les pouvoirs publics." Notons que les utilisateurs européens sont également concernés, malgré les réglementations mises en place par l'Union européenne.
De plus, la présence de données militaires et gouvernementales dans le fichier volé augmente les risques pour la sécurité nationale. En effet, la société fournit des informations à plusieurs agences gouvernementales, dont le FBI et l'Immigration and Customs Enforcement. Avec ces données, il est tout à fait possible d'identifier des individus susceptibles de servir dans l'armée en superposant les données de localisation volées avec les emplacements d'installations militaires connues, comme le souligne Baptiste Robert, de la société de sécurité numérique Predicta Lab. Quant aux données issues d'applications comme Grindr, elles peuvent être utilisées pour identifier les utilisateurs dans des pays qui criminalisent l'homosexualité.
This isnt your typical data leak, its a national security threat.
— Baptiste Robert (@fs0c131y) January 8, 2025
By mapping military locations in Russia alongside the location data, I identified military personnel in seconds.
Again, this is just a "sample". pic.twitter.com/bHkmc6yROv
Piratage Gravy Analytics : une collecte de données massive qui pose problème
Un autre point suscite des inquiétudes. Il se trouve que les applications concernées n'ont pas nécessairement directement transmis ces données à Gravy Analytics. L'entreprise les a en grande partie récupérées via des publicités qui collectent des données des utilisateurs. Une méthode qui permet aux courtiers en données d'accéder à des informations précises sur les déplacements des utilisateurs sans leur consentement explicite.
D'ailleurs, en décembre dernier, l'Agence américaine de protection des consommateurs, la FTC, avait accusé la société de vendre illégalement des informations sur des Américains à des agences gouvernementales et lui avait interdit d'exploiter les données collectées sans l'accord des principaux intéressés. Pire, elle lui avait ordonné de supprimer les données, estimant que l'industrie, pesant plusieurs milliards de dollars et centrée sur la "publicité ciblée, pourrait actuellement exposer de manière alarmante les données sensibles des Américains". Voilà qui lui donne raison...
La base de données a depuis été retirée du forum. Impossible de savoir si elle a été rachetée par Gravy Analytics, qui aurait payé la rançon, ou par un tiers malveillant. Si jamais vous utilisez une de ces applications, vérifiez qu'elle soit bien à jour, modifiez-en l'accès et soyez prudents vis-à-vis des mails et des SMS que vous recevrez afin d'éviter d'éventuelles tentatives de phishing. Pour vous protéger de la collecte abusive de votre localisation, pensez à désactiver la localisation et le Wi-Fi lorsque vous n'en avez pas besoin. Pensez à vous rendre dans les paramètres de votre smartphone. Sur Android, allez dans Paramètres < Sécurité et confidentialité < Publicités < Supprimer l'identifiant publicitaire. Sur iOS, allez dans Paramètres < Sécurité et confidentialité < Tracking < Autoriser mes applications à me suivre