Cybersécurité : Des hackers revendiquent le vol d'une immense base de données de géolocalisation

"Le piratage d’un courtier en données de localisation comme Gravy Analytics est le scénario cauchemardesque que tous les défenseurs de la vie privée craignent et contre lequel ils mettent en garde", a déclaré Zach Edwards, Chief Security Officer (CSO) de l'entreprise de cybersécurité Silent Push, en réaction aux revendications d'un groupe de cybercriminels. C'est 404 Media, média d'investigation américain, qui a repéré un message - publié sur le forum russe de cybercriminalité XSS - écrivant que "les données personnelles de millions d'utilisateurs sont affectées". Les hackers ont laissé 24 heures à Gravy Analytics pour leur répondre, ou ils commenceront à publier les données. 

Des accusations particulièrement graves

Si cette information est vérifiée, les faits sont particulièrement graves puisque Gravy Analytics détient une quantité astronomique de données, l'entreprise américaine étant spécialisée dans l'analyse de données de géolocalisation issues de smartphones. Son business model est le suivant : elle collecte des données provenant de milliers d'applications populaires - telles que Tinder et Candy Crush - pour les revendre à une variété d'acteurs dans divers domaines (publicité, retail, immobilier...). 

Autre point important : Gravy Analytics est, depuis 2020, la maison mère de Venntel, courtier en données qui fournit des données de localisation aux agences gouvernementales américaines, telles que le FBI. Sa position sur le marché fait de Gravy Analytics une cible de choix pour les cybercriminels, car l'impact d'un piratage pourrait être significatif en raison de la quantité et de la sensibilité des données qu'elle détient.

Les données de localisation concernées

Dans le détail, les échantillons de données publiés par les cybercriminels incluent l'historique de la localisation des smartphones avec latitude, longitude et heure précises. Certaines captures d'écran, visionnées par 404 Media, indiquent de quels pays proviennent ces données : Mexique, Maroc, Pays-Bas, Corée du Nord, Pakistan et Palestine. Les informations distillées par les hackers donnent également un aperçu des utilisateurs de Gravy Analytics : "Gannett, Uber, Comcast, Apple, LexisNexis, Equifax et bien d’autres". Il mentionne également spécifiquement "Babel Street", un sous-traitant du gouvernement américain. 

L'impact sur les utilisateurs pourrait être considérable. Les informations liées à leur localisation pourraient être utilisées pour tracer les mouvements en temps réel ou dans le passé, exposant ainsi des données sensibles sur leurs lieux de résidence, leurs habitudes de vie, leurs déplacements réguliers... 

"Pendant des années, ces données ont été vendues à des entreprises et à des gouvernements, mais elles n’ont jamais été largement accessibles à tous les acteurs malveillants ciblant les utilisateurs occidentaux", a réagi Zach Edwards. "Il est grand temps que le Congrès adopte un projet de loi fédéral complet sur la protection de la vie privée qui mette en place des garanties sur la collecte de ce type de données sensibles", a-t-il ajouté.

Gravy Analytics dans le viseur de la FTC

La Federal Trade Commission (FTC), l'autorité américaine chargée de promouvoir la concurrence et de protéger les consommateurs contre les pratiques déloyales, a fait un premier pas dans ce sens. Le 3 décembre 2024, elle a adopté une ordonnance proposant d'interdire l'utilisation ou la vente de données associées aux sites militaires, aux églises, aux syndicats et "à d'autres lieux sensibles". Dans sa ligne de mire : Gravy Analytics et sa filiale Venntel, accusés d'avoir violé la législation en vigueur "en vendant injustement des données de localisation sensibles des consommateurs et en collectant et en utilisant les données de localisation des consommateurs sans obtenir le consentement vérifiable de l'utilisateur à des fins commerciales et gouvernementales". 

Comme très souvent, la Californie fait figure d'avant-garde. A compter du 1er août 2026, en vertu du Delete Act, les consommateurs californiens pourront exiger la suppression de leurs données personnelles aux courtiers en données (ou data brokers) via un guichet unique géré par la California Privacy Protection Agency (CPPA), l'équivalent de la Commission nationale de l'informatique et des libertés (Cnil).