Données privées : l'application de rencontre Grindr a partagé le statut sérologique de ses utilisateurs
à des entreprises tierces

Le , par Stéphane le calme, Chroniqueur Actualités
Après Facebook et le scandale provoqué par l’exploitation des données des utilisateurs du réseau social à des fins politiques par Cambridge Analytica, voici venu un autre scandale qui concerne cette fois-ci Grindr.

Grindr est une application de rencontres destinée aux hommes homosexuels, bisexuels ou bicurieux disponible sur iOS, BlackBerry OS et Android. Cette application permet de discuter et d'échanger des photos avec des hommes géolocalisés autour de soi.

Le site américain BuzzFeed News a révélé ce lundi 2 avril que l’application, « qui compte plus de 3,6 millions d’utilisateurs actifs à travers le monde », aurait transmis le statut VIH des personnes inscrites sur ce réseau à deux entreprises : Apptimize et Localytics. Ces deux sociétés, spécialisées dans l’amélioration d’applications, recevaient donc de nombreuses informations concernant les profils inscrits sur Grindr, qui permet aux utilisateurs de renseigner si leur test du VIH est positif, négatif, ou s’ils sont sous PrEP (une pilule préventive contre les risques de contractions du VIH). Avec le numéro de téléphone ou l’e-mail de l’utilisateur, ce dernier devient facilement identifiable.

« Grindr est un lieu permettant une liberté de parole assez unique au sujet du sida. Savoir que ces données sont ensuite partagées avec des tierces parties sans que vous ayez reçu une notification particulière, au risque de mettre en danger votre santé et votre sécurité, c’est une énorme rupture des conditions d’utilisation que nous n’aurions jamais cru voir de la part d’une entreprise qui se présente comme défenseuse de la communauté queer [altersexuelle] », juge James Krellenstein, d’Act Up New York, cité par BuzzFeed.

Parce que les informations sur le VIH sont envoyées avec les données GPS, les numéros de téléphone et les e-mails des utilisateurs, elles pourraient identifier des utilisateurs spécifiques et leur statut VIH, selon Antoine Pultier, chercheur à l'association norvégienne SINTEF.

« Le statut VIH est lié à toutes les autres informations. C'est le problème principal » , a déclaré Pultier à BuzzFeed News. « Je pense que c'est l'incompétence de certains développeurs qui envoient tout, y compris le statut VIH ». Il faut rappeler que le statut VIH peut mettre en danger l’emploi d’un utilisateur ou lui faire courir un risque dans certains pays.


En France, l’association de lutte contre le sida Aides a appelé mardi au boycott total de l’application, tandis que se répandait, sur Twitter, le mot-clé #DeleteGrindr (« supprimez Grindr »). « Les entreprises qui font leur beurre sur la sexualité de leurs clients se doivent a minima d’être exemplaires. Exemplaires sur la protection des données de leurs clients ET sur les enjeux évidents de prévention et de santé publique », accuse Aides, qui « invite les utilisateurs actuels à changer d’application », dans un communiqué publié mardi.

L'analyse de SINTEF a également montré que Grindr partageait la position GPS précise de ses utilisateurs et d’autres informations comme le statut relationnel ou l'appartenance ethnique et l'identité téléphonique à d'autres agences de publicité tierces. Et cette dernière information, contrairement aux données sur le VIH, était parfois partagée en « texte clair », qui peut donc être facilement piraté.

« Cela permet à tous ceux qui dirigent le réseau ou qui peuvent surveiller le réseau – comme des pirates informatiques ou des criminels ayant un peu de connaissances technologiques, votre fournisseur de services Internet et même votre gouvernement – de voir où vous vous trouvez », a estimé Cooper Quintin de l'Electronic Frontier Foundation.

« Lorsque vous combinez cela avec une application comme Grindr qui est principalement destinée aux personnes qui peuvent être à risque – en particulier en fonction du pays où elles vivent ou en fonction de l'homophobie de la population locale –, c'est une pratique particulièrement mauvaise qui peut mettre leur sécurité des utilisateurs à risque », a-t-il ajouté.


La réaction de l’entreprise

Dans une publication sur Tumblr, Scott Chen, le CTO de l’application, a reconnu que « la révélation d’un statut VIH peut être un sujet sensible ». Il évoque notamment les « inquiétudes » suscitées par Apptimize et Localytis, deux éditeurs de logiciels tiers chargés de tester l’application Grindr, qui en reçoivent des données à cette fin.

« Dans un effort pour éliminer toute désinformation, nous estimons nécessaire d'énoncer ceci :
  • Grindr n'a jamais, et ne vendra jamais, à des tiers ou à des annonceurs, d'informations personnellement identifiables sur les utilisateurs – en particulier des informations sur le statut VIH ou la date du dernier test ;
  • en tant que pratique standard de l'industrie, Grindr travaille avec des fournisseurs réputés pour tester et optimiser la manière dont nous déployons notre plateforme. Ces fournisseurs sont soumis à des conditions contractuelles strictes qui garantissent le plus haut niveau de confidentialité, de sécurité des données et de confidentialité des utilisateurs ;
  • lorsque vous travaillez avec ces plateformes, nous limitons les informations partagées sauf si nécessaire ou approprié. Parfois, ces données peuvent inclure des données de localisation ou des données provenant de champs de statut VIH, mais ces informations sont toujours transmises de manière sécurisée avec cryptage, et des politiques de conservation des données sont en place pour protéger davantage les renseignements personnels de nos utilisateurs ;
  • il est important de se rappeler que Grindr est un forum public. Nous donnons aux utilisateurs la possibilité d'afficher des informations sur eux-mêmes, y compris le statut VIH et la date du dernier test, et nous indiquons clairement dans notre politique de confidentialité que si vous choisissez d'inclure cette information dans votre profil, l'information sera également publique. Par conséquent, vous devez examiner attentivement les informations à inclure dans votre profil.

Lundi soir, Grindr a déclaré qu'il cesserait de partager les informations sur le statut VIH avec d'autres entreprises.

Source : BuzzFeed, AIDES

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Facebook frôle un énième scandale dans le sillage de l'affaire Cambridge Analytica à cause du mémo controversé de l'un de ses vice-présidents
Enregistrement des données d'appels et de SMS : Facebook frôle un nouveau scandale, alors que la firme peine à calmer la tempête Cambridge Analytica
Facebook : un tribunal allemand déclare illégale l'utilisation des données privées, après une plainte d'un défenseur des droits des consommateurs


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Anselme45 Anselme45 - Membre éprouvé https://www.developpez.com
le 03/04/2018 à 21:56
Cela démontre exactement ce qui se passera quand les dossiers "patients" seront numériser. Les assurances vont se goinfrer... Vive les assurés en bonne santé... Que les vieux et les malades crèvent!

Et comme d'habitude, une fois pris la main dans le sac, on s'excuse et on promet que l'on ne recommencera plus...

Je sens qu'ils vont se prendre des "class actions" dans les dents
Avatar de Ryu2000 Ryu2000 - Membre extrêmement actif https://www.developpez.com
le 04/04/2018 à 8:43
Citation Envoyé par Stéphane le calme Voir le message
Lundi soir, Grindr a déclaré qu'il cesserait de partager les informations sur le statut VIH avec d'autres entreprises.
Les applications smartphone sont souvent utilisé pour récupérer et vendre des informations personnelles.
C'est bien que certaines se fassent prendre.

Au bout d'un moment il faut se dire que toutes les informations qu'on a rentré dans des formulaires peuvent potentiellement se retrouver vendu à une entreprise.
Avatar de lvr lvr - Membre éprouvé https://www.developpez.com
le 10/04/2018 à 14:39
Faut quand même être naïf pour laisser ce type d'info sur une app, quelle qu'elle soit.
Ca fait combien d'année qu'on nous serine avec ça ????
Avatar de Ryu2000 Ryu2000 - Membre extrêmement actif https://www.developpez.com
le 10/04/2018 à 15:02
Citation Envoyé par lvr Voir le message
Faut quand même être naïf pour laisser ce type d'info sur une app, quelle qu'elle soit.
Si c'est une application de rencontre homosexuelle je trouve que c'est sympa que les utilisateurs informent du résultat de leur test VIH. (surtout si le gars prévient qu'il est séropositif ou sous pilule préventive contre les risques de contractions du VIH)

Le SIDA est plus présent dans la communauté homosexuelle.
« Chemsex »: Rangé des drogues, un militant alerte sur les liens entre le sida et cette pratique sexuelle
Avatar de lvr lvr - Membre éprouvé https://www.developpez.com
le 13/04/2018 à 10:35
Citation Envoyé par Ryu2000 Voir le message
Si c'est une application de rencontre homosexuelle je trouve que c'est sympa que les utilisateurs informent du résultat de leur test VIH. (surtout si le gars prévient qu'il est séropositif ou sous pilule préventive contre les risques de contractions du VIH)
Bien sûr, mais tu protèges ton profile, tu fais en sorte que cela ne soit pas liable à d'autres données personnelles, ... Tu te protèges, quoi.
Avatar de Ryu2000 Ryu2000 - Membre extrêmement actif https://www.developpez.com
le 13/04/2018 à 11:01
Citation Envoyé par lvr Voir le message
Bien sûr, mais tu protèges ton profile, tu fais en sorte que cela ne soit pas liable à d'autres données personnelles, ...
Si tu utilises une application en ligne toutes tes données peuvent être utilisé par ton gouvernement ou vendu à des entreprises.
Pour te protéger du vol de données personnelles, il faut ne pas donner d'informations personnelles sur internet !

Je viens de voir une vidéo qui est un peu en rapport avec ça :

À un moment il y a le paradoxe des faux positifs de Jean-Philippe Rennard (ça explique pourquoi la surveillance de masse ne sert à rien contre le terrorisme), ça vient du livre Darknet Mythes et Réalités, mais bref c'est pas le sujet.

En France en 1930 dans le recensement on demandait la religion des citoyens et du coup pendant l'occupation, les allemands, qui avaient pris le pouvoir, ont pu avoir accès à la liste de tous les juifs de France recensé.
Et c'est un exemple qui montre que des fois avoir trop de renseignement sur les gens ça peut prendre une mauvaise tournure si le pouvoir change.

Sauf que le recensement c'était officiel et la surveillance de masse c'est caché...
Donc c'est pas exactement pareil... Mais la fin peut être la même.
Si le gouvernement US possède la liste de tous les sidéens (ou sidatiques) des USA et qu'un jour un groupe prend le pouvoir et veut tuer tous les personnes atteintes du SIDA des USA, il aura la liste.

Les entreprises ne peuvent pas refuser de collaborer avec le gouvernement US, Yahoo a essayé et il a eu des problèmes...
Toutes les grosses entreprises du web US, collaborent avec le gouvernement. Ils n'ont pas le choix.
Avatar de Stan Adkens Stan Adkens - Chroniqueur Actualités https://www.developpez.com
le 17/09/2018 à 15:30
Confidentialité : l'API Grindr continue d’exposer l'emplacement de ses utilisateurs
Ainsi que d’autres informations de profil y compris le statut VIH

L’application Grindr est encore impliquée dans une affaire de divulgation des données des utilisateurs. C’est en effet, ce qu’a fait savoir le site Internet Queer Europe dans un article et dans une publication sur Twitter, le jeudi dernier en mettant l’accent sur le risque d’atteinte à la vie privée des utilisateurs de l’application. Grindr est une application de rencontres disponible sur iOS, BlackBerry OS et Android destinée aux hommes homosexuels, bisexuels et qui leur permet de discuter et d'échanger des photos avec leurs homologues géolocalisés.

En avril dernier, Grindr, qui compte plus de 3,6 millions d’utilisateurs actifs à travers le monde, a partagé le statut VIH des personnes inscrites sur son réseau avec deux entreprises : Apptimize et Localytics. Après la révélation de l’affaire, Grindr avait reconnu que « la révélation d’un statut VIH peut être un sujet sensible » et avait interrompu le partage de ces données.


Cependant, environ 6 mois après, Queer Europe a publié que l’applique continue d’exposer l’emplacement précis, les informations de statut sérologique et bien d’autres informations de profil de ses utilisateurs. Toutefois, cette fois-ci, Grindr ne révèle pas délibérément les emplacements de ses utilisateurs. Par contre, l’application expose les données utilisateur par le biais d’une API (interface de programmation d’application) privée dont elle laisse l’accès libre aux applications tierces.

Selon Queer Europe, il est facile d’accéder aux emplacements précis des utilisateurs de l’application et Grindr le sais depuis plusieurs années. En effet, Wardle, le chercheur en sécurité, en utilisant la technique de « trilatération », l’a démontré en 2014 et a partagé le problème avec Grindr. C’est ainsi que Fuckr, une application tierce téléchargeable gratuitement et non affiliée à Grindr a pu accéder aux emplacements précis des utilisateurs de Grindr. Fuckr utilise, sans autorisation, l’API privée de Grindr qui lui permet d’utiliser les informations de sa base de données. « Le niveau élevé de précision des données collectées et partagées par Grindr permet aux applications comme Fuckr de localiser les utilisateurs », selon le chercheur en sécurité Patrick Wardle.

Néanmoins, depuis la publication de Queer Europe, qui a révélé l’accès non autorisé de l’application à l’API privée de Grindr, Github a désactivé l’accès public à Fuckr qui est hébergé sur GitHub depuis sa date de sortie en 2015, a rapporté BuzzFeed. Cependant, l’application reste toujours en utilisation et peut toujours lancer des procédures de trilatération pour accéder à jusqu’à 600 emplacements précis d’utilisateurs de Gindr en une seule fois. Malgré la désactivation de l’accès public, plusieurs applications similaires (des versions modifiées de Fuckr) ont eu le temps d’être développées et sont disponible sur GitHub.

Scott Chen, président de Grindr, dans une adresse à BuzzFeed, a montré que la fonctionnalité de géolocalisation était « essentielle à notre plateforme et à notre expérience utilisateur » tout en reconnaissant qu’« il existe des défis inhérents à l'utilisation de toute application qui utilise ou repose sur des informations de localisation ». Chen a jouté également qu’« en outre, nous utilisons actuellement un système « Geohash », qui se rapproche, plutôt que de « repérer » toutes les informations de localisation. » Scott a annoncé l’intention de Grindr de continuer d’évoluer et d’améliorer sa plateforme.

Cependant, dans l’amélioration annoncée par Gindr, on pourrait croire difficilement à un blocage de l’API aux applications tierces et en particulier à Fuckr étant donné que, pour se connecter à cette dernière l’application, les utilisateurs saisissent leur nom d’utilisateur et leur mot de passe légitimes de Grindr.

Pour l’heure et selon Queer Europe, Fuckr ne se contente pas de détecter et utiliser les emplacements précis des utilisateurs de Grindr dans le simple objectif de se rapprocher d’eux, mais l’application révèle, non seulement, leur emplacement exact, mais également, d’autres données de profil telles que les photos, le type de corps, l'origine ethnique, le statut VIH, le dernier test VIH et la préférence sexuelle.


Le site web a révélé également que l’application continue de publier l’emplacement des membres de la communauté LGBT (initiale utilisée pour désigner les gays, les lesbiennes, les bisexuels et les transgenres) dans certains pays où ils sont persécutés, bien que par défaut, l’application les cache dans d’autres pays où ils sont victimes de discrimination. Selon le Site Web, les pays où Fuckr révèle l’emplacement des membres de la communauté LGBT sont : Algérie, Turquie, Biélorussie, Éthiopie, Qatar, Abou Dhabi, Oman, Azerbaïdjan, Chine, Malaisie et Indonésie.

Dans une vidéo publiée sur Twiter, Queer Europa a montré comment Grindr permet à Fuckr d’exposer des informations des utilisateurs de son réseau. La vidéo publiée sur Twitter est d’un utilisateur de Fuckr qui a pu tracker un ami, avec son consentement, un samedi soir dans tous ses déplacements grâce l’application Fuckr. L’utilisateur à pu suivre, également, ses propres déplacements. Selon lui, le suivi des emplacements étaient très précis. Il a, par ailleurs, pu se localiser avec précision assis dans un coin de son jardin. « J'ai été choqué par la précision avec laquelle je pouvais suivre et tracker ses mouvements », en parlant de son ami, a déclaré l’utilisateur de Fickr à BuzzFeed.

Grindr affirme que les malveillants ne peuvent pas obtenir d'informations transmises via leur application, qu’il protégerait ses utilisateurs avec une « technologie de pointe »,… selon le site Web. Cependant, Queer Europa a publié dans son article ceci : « j'ai pu localiser des hommes de croisière avec une précision de deux à cinq mètres, ce qui est très précis et suffisamment précis pour déterminer dans quelle maison et dans quelle pièce se trouvent les utilisateurs. »


Toutefois, et puisque rien ne montre que Grindr réagira pour apporter une solution au problème, Queer Europe a donné quelques moyens pour rendre la localisation plus difficile grâce à Grindr. Les chercheurs recommandent aux utilisateurs de désactiver leur VPN, de désactivez l’option « Afficher la distance » de Grindr, pour ne citer que ces recommandations.

Source : Queer Europe, BuzzFeed

Et vous ?

Qu’en pensez-vous ?
Pensez-vous que c’est de l’ignorance de la part de Gringr ou un partenariat de partage de données avec Fuckr ?

Voir aussi

Facebook frôle un énième scandale dans le sillage de l'affaire Cambridge Analytica, à cause du mémo controversé de l'un de ses vice-présidents
Scandale C.A. : Facebook annonce des réformes sur sa politique de sécurité des comptes utilisateurs, qu'en est-il d'Instagram et WhatsApp ?
La fuite d'un mémo peut-elle aider une entreprise à maximiser ses objectifs de communication ? Examen du cas Apple
Cambridge Analytica s'offre à 18 000 potentiels acquéreurs et reçoit 4 offres, personne ne semble intéressé après le scandale Facebook
USA : un quart des utilisateurs de Facebook ont supprimé l'application en 12 mois, tandis que 74 % ont changé leur relation avec le réseau social
Contacter le responsable de la rubrique Accueil