Tinder et Grindr font (i  nouveau) n’importe quoi avec toutes vos donnees, et c’est dangereux

« Hors de controle », voila De quelle fai§on le conseil norvegien des consommateurs qualifie des pratiques publicitaires d’aujourd’hui. L’agence gouvernementale a reclame a une entreprise de cybersecurite de se pencher sur les pratiques de gestion des donnees de 10 applications populaires. Leur conseil s’est porte dans des applications qui manipulent des precisions personnelles sensibles : suivi du cycle menstruel (MyDays, Clue), aide a J’ai priere (Muslim : Qibla Finder), rencontre amoureuses (Tinder, Grindr, OkCupid)… Le bilan est accablant : toutes communiquent une partie des donnees de leurs utilisateurs a des entreprises tierces, a des fins publicitaires.

Dans la majorite des cas, l’utilisateur n’a pas pu emettre un consentement eclaire sur ces confortables, tel le requiert pourtant la loi europeenne. Parmi ces mauvais eleves, l’application de rencontre Grindr se distingue par la exactitude des informations qu’elle communique, ainsi, le nombre de destinataires a qui elle les envoie — alors meme que ses millions d’utilisateurs appartiennent majoritairement a Notre communaute LGBTQ+, particulierement visee via des discriminations. Le conseil norvegien des consommateurs a donc choisi d’attaquer l’entreprise en justice, Afin de multiples violation du reglement europeen sur la protection des informations (RGPD). Ce genre d’infraction est passible d’une amende du montant le plus eleve entre 20 millions d’euros et 4 % du chiffre d’affaires annuel de l’entreprise.

Quelles informations seront concernees ?

Les donnees communiquees a des entreprises tierces par nos applications sont de deux types, au regard du RGPD :

• Les informations personnelles : date maternel, age, adresse IP [un 06 associe a un appareil electronique, ici au smartphone, ndlr], coordonnees GPS (localisation), l’advertising ID [un identifiant attribue avec Android qui permet de suivre une personne entre les applications, ndlr].
• Mes donnees sensibles, un sous-ensemble bien plus protege dans la loi, car elles peuvent servir a discriminer certains groupes : genre, orientation sexuelle, opinions religieuses.

Detail du type de donnees et du nombre de destinataires adresses avec nos applications. // Source : Forbrukerradet

Chacune des 10 applications communique votre plus ou moins large panel de ces donnees, de facon plus ou moins precise (cf. image ci-dessus), a des tiers. Les auteurs de l’etude insistent particulierement via Grindr, Tinder et OkCupid, qui fournissent nos precisions relatives a l’orientation sexuelle de leurs utilisateurs. Pourtant, Grindr s’etait deja fera epingle apres avoir partage le statut serologique de ses utilisateurs.

Qui recupere nos precisions ?

En bien, les auteurs de l’etude ont recense 135 entreprises destinataires Plusieurs precisions, dans une liste non-exhaustive. Elles ont des noms inconnus des non-specialistes comme AppsFlyer, LeanPlum, AdColony, mais on trouve aussi des filiales de Google, Facebook mais aussi Twitter. Notre majorite d’entre-elles sont des data-brokers : leur activite est d’agreger ainsi que combiner de grandes quantites de donnees de consommateurs, issues de diverses sources, publiques comme privees, afin de des revendre.

Elles partagent donc ces donnees a des entreprises de marketing, d’estimations des risques ou de prevention a Notre fraude. Vos renseignements se propagent ainsi de serveur en serveur de facon invisible, sans que vous ne puissiez donner ou retirer la consentement.

« Ces entreprises ont des pratiques de collecte et d’utilisation des donnees des consommateurs dont la legalite est questionnable. Notre colonne vertebrale de ce systeme publicitaire pourrait etre de facon systemique contraire au RGPD », ecrivent les auteurs de l’etude. D’apres un texte universitaire, quand un site demande de facon claire a ses visiteurs s’ils acceptent le partage de leurs informations a des acteurs tiers a des fins publicitaires, ils refusent dans 99,9 % des cas.

Que peut-on faire avec les informations ?

Plus un publicitaire — ou un hacker — aura 1 grand nombre de precisions sur une aussi personne, plus il lui sera facile de trouver les donnees qui lui manquent concernant completer 1 profil. Comme, si l’adresse IP parait etre une donnee a faible valeur, elle va permettre en fera de creer votre profil tracable un coup recoupee a d’autres.

« L’adresse IP n’est jamais un indicateur fort fiable. Mais elle permet, Prenons un exemple, de savoir que c’est la meme personne qui est revenue sur le site a 2 heures d’intervalle. Et si on combine l’adresse IP avec l’age et le genre d’la personne, on dispose d’une empreinte quasi unique. On peut ainsi traquer le comportement, sans avoir le nom ou un identifiant tel l’adresse email », previent Gaetan Le Guelvouit, responsable du laboratoire confiance & securite chez b<>com, interroge avec Cyberguerre de Numerama.

Cette empreinte permet Prenons un exemple aux annonceurs de personnaliser les publicites qu’ils vous afficheront en fonction de votre genre, de votre age ainsi que votre comportement, c’est-a-dire des autres pages internet que vous auriez pu visiter. Cette pratique a deja abouti a quantite de debordements. Par exemple, Facebook avait permis aux annonceurs de cibler des conspirationnistes antisemites qui pensaient que des Juifs preparaient un « genocide blanc ». Un an plutot, l’entreprise californienne un permettait d’exclure certaines ethnies de leur ciblage publicitaire.

Les precisions encore plus exposees a toutes les dangers

D’autres informations permettent a elles seules de deduire plusieurs renseignements. « Dans ces revelations, c’est l’acces a toutes les precisions GPS qui me derange le plus. Vous pourrez tomber sur plusieurs recurrences au sein des deplacements, ainsi, on peut sans probli?me identifier le lieu d’embauche et le domicile d’la personne. Ensuite, il faut juste Realiser le lien avec les pages blanches Afin de tomber sur son nom. Si on dispose de l’age ou une date maternel, on peut meme confirmer ce qu’on a achete », developpe le chercheur.

En terme de securite, il s’agit d’un bon desastre. Chaque fois que ces donnees sont partagees a une nouvelle entreprise, vous site de rencontres sexe russes etes exposes a votre nouveau risque de fuite ou d’ attaque. Or, si des acteurs malveillants mettent la main sur des donnees d’une telle valeur, ils pourront causer de nombreux dommages. Prenons un exemple, un hacker pourrait Realiser du chantage aupres d’individus homosexuelles n’ayant gui?re fait leur coming-out. Pire, il pourrait menacer leur life. Usurpation d’identite, espionnage, les menaces paraissent grandes.

Que puis-je faire Afin de abriter mes precisions ?

Notre meilleure solution est evidemment d’effacer toutes les precisions que vous pouvez ainsi que quitter l’application. Mais si vous souhaitez rester dans ces applications de rencontre, les possibilites sont limitees. « Il est des applications qui permettent d’effectuer des fausses precisions GPS, on va pouvoir mentir via son age ou le genre…. mais on perd alors l’interet de l’application », rappelle Gaetan Notre Guelvouit. A minima, vous pourrez utiliser un VPN pour masquer ce adresse IP, ce va etre i  chaque fois une donnee pertinente de moins.

« Le principal probleme, c’est que ces applications seront hypocrites. Pour les specialistes d’la cybersecurite, il va i?tre simple qu’elles vont revendre les donnees, car un valeur est importante. Mais puisque les utilisateurs seront confrontes constamment a ce genre de scandale, ils s’y habituent et ne considerent nullement les risques… », regrette L’expert.