Tinder et Grindr font (i  nouveau) n’importe quoi avec toutes vos precisions, et c’est dangereux

« Hors de controle », voila comment le conseil norvegien des consommateurs qualifie des confortables publicitaires contemporaines. L’agence gouvernementale a demande a une entreprise de cybersecurite de se pencher i  propos des confortables de gestion des donnees de 10 applications populaires. Leur conseil s’est porte concernant des applications qui manipulent des donnees personnelles sensibles : suivi du cycle menstruel (MyDays, Clue), aide a la priere (Muslim : Qibla Finder), retrouve amoureuses (Tinder, Grindr, OkCupid)… Notre bilan reste accablant : l’ensemble de communiquent une partie des donnees de leurs utilisateurs a des entreprises tierces, a des fins publicitaires.

Dans la majorite des cas, l’utilisateur n’a pas pu emettre un consentement eclaire concernant ces pratiques, tel le requiert pourtant la loi europeenne. Parmi ces mauvais eleves, l’application de rencontre Grindr se distingue par la exactitude des precisions qu’elle communique, ainsi, le nombre de destinataires a qui elle les envoie — alors meme que ses millions d’utilisateurs appartiennent majoritairement a la communaute LGBTQ+, particulierement visee par les discriminations. Le conseil norvegien des consommateurs a donc decide d’attaquer l’entreprise en justice, pour multiples violation du reglement europeen sur la protection des donnees (RGPD). Cette categorie d’infraction reste passible d’une amende du montant le plus eleve entre 20 millions d’euros et 4 % du chiffre d’affaires annuel de l’entreprise.

Quelles donnees seront concernees ?

Mes precisions communiquees a des entreprises tierces par des applications sont de deux types, au regard du RGPD :

  • Mes donnees personnelles : date de naissance, age, adresse IP [un 06 associe a 1 appareil electronique, ici au smartphone, ndlr], coordonnees GPS (localisation), l’advertising ID [un identifiant attribue avec Android qui permet de suivre un individu entre les applications, ndlr].
  • Mes donnees sensibles, un sous-ensemble encore plus protege dans la loi, car elles peuvent servir a discriminer certains groupes : genre, orientation sexuelle, opinions religieuses.

Detail du type de precisions et du nombre de destinataires s’inscrire sur chatib adresses avec nos applications. // Source : Forbrukerradet

Chacune des 10 applications communique 1 plus ou moins grand nombre de ces precisions, de facon plus ou moins precise (cf. image ci-dessus), a des tiers. Les auteurs de l’etude insistent particulierement concernant Grindr, Tinder et OkCupid, qui fournissent des donnees relatives a l’orientation sexuelle de leurs utilisateurs. Pourtant, Grindr s’etait deja fait epingle apres avoir partage le statut serologique de l’ensemble de ses utilisateurs.

Qui recupere nos informations ?

En bien, les auteurs de l’etude ont recense 135 entreprises destinataires Plusieurs informations, dans une liste non-exhaustive. Elles ont des noms inconnus des non-specialistes comme AppsFlyer, LeanPlum, AdColony, mais on trouve aussi des filiales de Google, Facebook ou bien Twitter. Notre majorite d’entre-elles sont des data-brokers : un activite est d’agreger et de combiner de grandes quantites de donnees de consommateurs, issues de plusieurs sources, publiques comme privees, pour des revendre.

Elles partagent donc vos donnees a des entreprises de marketing, d’estimations des dangers ou de prevention a Notre fraude. Vos renseignements se propagent ainsi de serveur en serveur de facon invisible, sans que vous ne puissiez donner ou retirer ce consentement.

« Ces entreprises ont des pratiques de collecte et d’utilisation des donnees des consommateurs dont la legalite est questionnable. La colonne vertebrale de ce systeme publicitaire pourrait etre de facon systemique contraire au RGPD », ecrivent les auteurs de l’etude. D’apres un article universitaire, quand un site demande de facon claire a ses visiteurs s’ils acceptent le partage de leurs informations a des acteurs tiers a des fins publicitaires, ils refusent dans 99,9 % des cas.

Que peut-on Realiser avec mes donnees ?

Plus un publicitaire — ou 1 hacker — aura votre large panel de precisions sur une meme personne, plus il lui sera facile de denicher les donnees qui lui manquent concernant completer 1 profil. Par exemple, si l’adresse IP parait etre une donnee a faible valeur, elle permet en fait de coder un profil tracable un coup recoupee a d’autres.

« L’adresse IP n’est jamais un indicateur fort fiable. Mais elle permet, Prenons un exemple, de savoir que c’est la meme personne qui est revenue sur le website a 2 heures d’intervalle. Et si on combine l’adresse IP avec l’age et le genre en personne, on dispose d’une empreinte quasi unique. On peut ainsi traquer le comportement, sans avoir son nom ou votre identifiant tel l’adresse email », previent Gaetan Notre Guelvouit, responsable du laboratoire confiance & securite chez b<>com, interroge via Cyberguerre de Numerama.

Cette empreinte va permettre comme aux annonceurs de personnaliser les publicites qu’ils vous afficheront en fonction de la genre, de ce age ainsi que votre comportement, c’est-a-dire des autres pages internet que vous auriez pu visiter. Cette fonctionnel a deja abouti a maints debordements. Entre autres, Facebook avait permis a toutes les annonceurs de cibler des conspirationnistes antisemites qui pensaient que des Juifs preparaient un « genocide blanc ». Un an plutot, l’entreprise californienne un permettait d’exclure certaines ethnies de un ciblage publicitaire.

Les informations encore plus exposees aux risques

D’autres donnees peuvent permettre a elles seules de deduire quelques informations. « Dans ces revelations, c’est l’acces aux donnees GPS qui me derange le plus. Il faut juste trouver plusieurs recurrences en deplacements, et on peut sans probli?me identifier le lieu de travail et le domicile une personne. Ensuite, il suffit de faire l’adresse avec les pages blanches Afin de tomber sur son nom. Quand on dispose de l’age ou d’une date maternel, on va pouvoir aussi confirmer votre qu’on a trouve », developpe le chercheur.

En terme de securite, il s’agit d’un grand desastre. Chaque fois que les informations sont partagees a une nouvelle entreprise, vous etes exposes a 1 nouveau risque de fuite ou d’ attaque. Or, si des acteurs malveillants mettent mon tour sur des donnees d’une telle valeur, ils pourront causer de nombreuses dommages. Notamment, 1 hacker pourrait faire du chantage aupres d’individus homosexuelles n’ayant jamais fera un coming-out. Pire, il pourrait menacer leur life. Usurpation d’identite, espionnage, des menaces seront nombreuses.

Que puis-je Realiser Afin de proteger mes informations ?

J’ai meilleure solution est evidemment d’effacer l’integralite des precisions que vous pouvez ainsi que quitter l’application. Mais si vous souhaitez rester sur ces applications de rencontre, les possibilites seront limitees. « Il existe des applications qui permettent d’effectuer des fausses precisions GPS, on va pouvoir mentir via le age ou son genre…. mais on perd aussi l’interet de l’application », rappelle Gaetan Notre Guelvouit. A minima, vous pourrez utiliser un VPN pour masquer votre adresse IP, ce va i?tre toujours une donnee pertinente de moins.

« Le principal probleme, c’est que ces applications sont hypocrites. Pour les specialistes en cybersecurite, Cela reste simple qu’elles vont revendre les precisions, car un valeur reste consequente. Mais puisque des utilisateurs sont confrontes constamment a ce genre de scandale, ils s’y habituent et ne considerent gui?re les dangers… », regrette le specialiste.