Une cyberattaque majeure a frappé Gravy Analytics, une entreprise américaine connue pour collecter et vendre des données de localisation issues de smartphones. Un groupe de hackers russes affirme avoir infiltré les serveurs de l’entreprise et récupéré 17 téraoctets de données. Pour prouver leurs dires, ils ont publié un échantillon comprenant des bases de données avec plus de 300.000 adresses e-mail. En prime, ils menacent d’en divulguer davantage si Gravy ne paie pas une rançon.
Les hackers russes à l’assaut
Le problème ne s’arrête pas là : des chercheurs ont analysé les fichiers et confirmé leur authenticité. Baptiste Robert, expert français en protection des données et PDG de Predicta Lab, a déclaré que les informations révélées permettent de localiser des personnes dans environ 30 millions d’endroits à travers le monde. Ces données suivent des utilisateurs anonymes grâce à des identifiants publicitaires. Mais cet anonymat est tout relatif : avec un peu d’effort, il est possible de relier ces identifiants à des individus.
Gravy Analytics et sa filiale Venntel ne sont pas des acteurs inconnus du secteur. Ces entreprises revendiquent la collecte de plus de 17 milliards de signaux provenant de smartphones chaque jour. Ces données sont utilisées pour établir des « modèles de vie », une pratique prisée par les annonceurs et parfois par des agences gouvernementales. Par exemple, Venntel propose d’identifier des lieux comme la maison ou le lieu de travail des utilisateurs, et même leurs passages dans des bâtiments sensibles, comme des cliniques ou des églises.
Ce modèle d’affaires soulève des questions depuis des années, et la Federal Trade Commission (FTC) s’en est mêlée récemment. L’agence américaine accuse Gravy Analytics de collecter et vendre ces données sans obtenir le consentement explicite des utilisateurs, une pratique illégale selon elle.
Le piratage de Gravy Analytics est un nouveau rappel de la fragilité de nos données personnelles. Nos smartphones génèrent en permanence des informations sur nos déplacements, que ce soit via les antennes téléphoniques, le Wi-Fi ou les applications. Ces données, parfois vendues par des entreprises peu scrupuleuses, sont devenues un véritable marché pour les publicitaires et d’autres acteurs moins bien intentionnés.
L’absence de régulation fédérale aux États-Unis n’arrange rien. Même si des voix, comme celles de militants pour la vie privée ou même l’administration Biden, appellent à une loi nationale sur la protection des données, aucune législation d’envergure n’a vu le jour. Pendant ce temps, les entreprises continuent d’acheter et de vendre des informations sensibles, provenant parfois de militaires américains ou de citoyens ordinaires.
Pour Gravy Analytics, les ennuis ne font que commencer. Son site internet est hors service depuis plusieurs jours, et ses dirigeants n’ont pas souhaité commenter publiquement l’incident. Toutefois, des documents obtenus par la télévision norvégienne NRK montrent que l’entreprise a alerté les autorités locales, en reconnaissant un accès non autorisé à ses serveurs sur Amazon Web Services.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
