Confidentialité : l'API Grindr continue d'exposer l'emplacement de ses utilisateurs
Ainsi que d'autres informations de profil y compris le statut VIH

Le , par Stan Adkens, Chroniqueur Actualités
L’application Grindr est encore impliquée dans une affaire de divulgation des données des utilisateurs. C’est en effet, ce qu’a fait savoir le site Internet Queer Europe dans un article et dans une publication sur Twitter, le jeudi dernier en mettant l’accent sur le risque d’atteinte à la vie privée des utilisateurs de l’application. Grindr est une application de rencontres disponible sur iOS, BlackBerry OS et Android destinée aux hommes homosexuels, bisexuels et qui leur permet de discuter et d'échanger des photos avec leurs homologues géolocalisés.

En avril dernier, Grindr, qui compte plus de 3,6 millions d’utilisateurs actifs à travers le monde, a partagé le statut VIH des personnes inscrites sur son réseau avec deux entreprises : Apptimize et Localytics. Après la révélation de l’affaire, Grindr avait reconnu que « la révélation d’un statut VIH peut être un sujet sensible » et avait interrompu le partage de ces données.


Cependant, environ 6 mois après, Queer Europe a publié que l’applique continue d’exposer l’emplacement précis, les informations de statut sérologique et bien d’autres informations de profil de ses utilisateurs. Toutefois, cette fois-ci, Grindr ne révèle pas délibérément les emplacements de ses utilisateurs. Par contre, l’application expose les données utilisateur par le biais d’une API (interface de programmation d’application) privée dont elle laisse l’accès libre aux applications tierces.

Selon Queer Europe, il est facile d’accéder aux emplacements précis des utilisateurs de l’application et Grindr le sais depuis plusieurs années. En effet, Wardle, le chercheur en sécurité, en utilisant la technique de « trilatération », l’a démontré en 2014 et a partagé le problème avec Grindr. C’est ainsi que Fuckr, une application tierce téléchargeable gratuitement et non affiliée à Grindr a pu accéder aux emplacements précis des utilisateurs de Grindr. Fuckr utilise, sans autorisation, l’API privée de Grindr qui lui permet d’utiliser les informations de sa base de données. « Le niveau élevé de précision des données collectées et partagées par Grindr permet aux applications comme Fuckr de localiser les utilisateurs », selon le chercheur en sécurité Patrick Wardle.

Néanmoins, depuis la publication de Queer Europe, qui a révélé l’accès non autorisé de l’application à l’API privée de Grindr, Github a désactivé l’accès public à Fuckr qui est hébergé sur GitHub depuis sa date de sortie en 2015, a rapporté BuzzFeed. Cependant, l’application reste toujours en utilisation et peut toujours lancer des procédures de trilatération pour accéder à jusqu’à 600 emplacements précis d’utilisateurs de Gindr en une seule fois. Malgré la désactivation de l’accès public, plusieurs applications similaires (des versions modifiées de Fuckr) ont eu le temps d’être développées et sont disponible sur GitHub.

Scott Chen, président de Grindr, dans une adresse à BuzzFeed, a montré que la fonctionnalité de géolocalisation était « essentielle à notre plateforme et à notre expérience utilisateur » tout en reconnaissant qu’« il existe des défis inhérents à l'utilisation de toute application qui utilise ou repose sur des informations de localisation ». Chen a jouté également qu’« en outre, nous utilisons actuellement un système « Geohash », qui se rapproche, plutôt que de « repérer » toutes les informations de localisation. » Scott a annoncé l’intention de Grindr de continuer d’évoluer et d’améliorer sa plateforme.

Cependant, dans l’amélioration annoncée par Gindr, on pourrait croire difficilement à un blocage de l’API aux applications tierces et en particulier à Fuckr étant donné que, pour se connecter à cette dernière l’application, les utilisateurs saisissent leur nom d’utilisateur et leur mot de passe légitimes de Grindr.

Pour l’heure et selon Queer Europe, Fuckr ne se contente pas de détecter et utiliser les emplacements précis des utilisateurs de Grindr dans le simple objectif de se rapprocher d’eux, mais l’application révèle, non seulement, leur emplacement exact, mais également, d’autres données de profil telles que les photos, le type de corps, l'origine ethnique, le statut VIH, le dernier test VIH et la préférence sexuelle.


Le site web a révélé également que l’application continue de publier l’emplacement des membres de la communauté LGBT (initiale utilisée pour désigner les gays, les lesbiennes, les bisexuels et les transgenres) dans certains pays où ils sont persécutés, bien que par défaut, l’application les cache dans d’autres pays où ils sont victimes de discrimination. Selon le Site Web, les pays où Fuckr révèle l’emplacement des membres de la communauté LGBT sont : Algérie, Turquie, Biélorussie, Éthiopie, Qatar, Abou Dhabi, Oman, Azerbaïdjan, Chine, Malaisie et Indonésie.

Dans une vidéo publiée sur Twiter, Queer Europa a montré comment Grindr permet à Fuckr d’exposer des informations des utilisateurs de son réseau. La vidéo publiée sur Twitter est d’un utilisateur de Fuckr qui a pu tracker un ami, avec son consentement, un samedi soir dans tous ses déplacements grâce l’application Fuckr. L’utilisateur à pu suivre, également, ses propres déplacements. Selon lui, le suivi des emplacements étaient très précis. Il a, par ailleurs, pu se localiser avec précision assis dans un coin de son jardin. « J'ai été choqué par la précision avec laquelle je pouvais suivre et tracker ses mouvements », en parlant de son ami, a déclaré l’utilisateur de Fickr à BuzzFeed.

Grindr affirme que les malveillants ne peuvent pas obtenir d'informations transmises via leur application, qu’il protégerait ses utilisateurs avec une « technologie de pointe »,… selon le site Web. Cependant, Queer Europa a publié dans son article ceci : « j'ai pu localiser des hommes de croisière avec une précision de deux à cinq mètres, ce qui est très précis et suffisamment précis pour déterminer dans quelle maison et dans quelle pièce se trouvent les utilisateurs. »


Toutefois, et puisque rien ne montre que Grindr réagira pour apporter une solution au problème, Queer Europe a donné quelques moyens pour rendre la localisation plus difficile grâce à Grindr. Les chercheurs recommandent aux utilisateurs de désactiver leur VPN, de désactivez l’option « Afficher la distance » de Grindr, pour ne citer que ces recommandations.

Source : Queer Europe, BuzzFeed

Et vous ?

Qu’en pensez-vous ?
Pensez-vous que c’est de l’ignorance de la part de Gringr ou un partenariat de partage de données avec Fuckr ?

Voir aussi

Facebook frôle un énième scandale dans le sillage de l'affaire Cambridge Analytica, à cause du mémo controversé de l'un de ses vice-présidents
Scandale C.A. : Facebook annonce des réformes sur sa politique de sécurité des comptes utilisateurs, qu'en est-il d'Instagram et WhatsApp ?
La fuite d'un mémo peut-elle aider une entreprise à maximiser ses objectifs de communication ? Examen du cas Apple
Cambridge Analytica s'offre à 18 000 potentiels acquéreurs et reçoit 4 offres, personne ne semble intéressé après le scandale Facebook
USA : un quart des utilisateurs de Facebook ont supprimé l'application en 12 mois, tandis que 74 % ont changé leur relation avec le réseau social


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Contacter le responsable de la rubrique Accueil