Fuite de Gravy Analytics : comment protéger vos données de localisation | Blog officiel de Kaspersky

Chaque jour, nos smartphones et autres appareils collectent puis transmettent des quantités importantes de données nous concernant à des dizaines, voire des centaines, d’entreprises tierces. Il s’agit notamment de nos informations de localisation, et le marché de ces informations est énorme. Naturellement, les achats et les ventes se déroulent à notre insu, ce qui crée des risques cachés pour notre vie privée.

Le récent piratage du courtier en données de localisation Gravy Analytics illustre clairement les pièges potentiels de telles pratiques. Ce billet présente le mode de fonctionnement des courtiers en données et ce qui peut arriver en cas de fuite des informations collectées. Nous vous conseillons également sur les mesures à prendre pour protéger vos données de localisation.

Qui sont les courtiers en données de localisation ?

Les courtiers en données sont des entreprises qui collectent, traitent et vendent des informations au sujet des utilisateurs. Ils obtiennent ces informations à partir d’applications mobiles, de réseaux publicitaires en ligne, de systèmes d’analyse en ligne, d’opérateurs de télécommunications ainsi que d’une multitude d’autres sources, allant des appareils de maison connectée aux véhicules.

En théorie, ces données sont uniquement collectées à des fins d’analyse et de diffusion d’annonces ciblées. Dans la pratique, cependant, il n’y a souvent aucune restriction d’utilisation, et tout le monde semble pouvoir se procurer ces données. En réalité, vos données peuvent donc être utilisées à des fins très diverses. Par exemple, une enquête menée l’année dernière a révélé que les courtiers en données commerciales peuvent même servir – directement ou par le biais d’intermédiaires – les agences de renseignement gouvernementales.

Les courtiers en données collectent toutes sortes d’informations au sujet des utilisateurs, et l’une des catégories les plus importantes et les plus confidentielles est celle des données de localisation. La demande est d’ailleurs si importante qu’en plus des courtiers en données généralistes, il existe des entreprises qui se concentrent précisément sur ce type de données.

Il s’agit des courtiers en données de localisation, c’est-à-dire des organisations spécialisées dans la collecte et la vente d’informations sur la localisation des utilisateurs. L’un des principaux acteurs de ce segment est la société américaine de géolocalisation Gravy Analytics, qui a fusionné avec la société norvégienne Unacast en 2023.

La fuite de données de Gravy Analytics

En janvier 2025, l’actualité a fait état d’une fuite de données chez Gravy Analytics. Dans un premier temps, seuls des rapports non officiels ont été établis à partir d’un message publié sur un forum privé russe de pirates informatiques. L’auteur du message affirmait avoir piraté Gravy Analytics et volé les données de localisation de millions d’utilisateurs, en fournissant comme preuve des captures d’écran du trésor de données.

La confirmation officielle n’a pas tardé. En vertu de la législation norvégienne, la société mère de Gravy Analytics, Unacast, était légalement tenue d’en informer l’autorité de régulation nationale.

Le communiqué de l’entreprise rapporte que le 4 janvier, une personne non autorisée a accédé à l’environnement de stockage cloud AWS de Gravy Analytics « par le biais d’une clé d’accès détournée ». L’intrus « a obtenu certains fichiers susceptibles de contenir des données personnelles ».

Analyse des données divulguées par Gravy Analytics

Unacast et Gravy Analytics ne se sont pas empressés de préciser quelles données auraient pu être compromises. Cependant, quelques jours plus tard, un chercheur en sécurité indépendant a publié sa propre analyse approfondie des informations divulguées à partir d’un échantillon des données volées qu’il avait pu obtenir.

La fuite de Gravy Analytics comprenait les données de localisation d’utilisateurs du monde entier. Source

Il s’est avéré que le piratage de Gravy Analytics a effectivement permis la fuite d’un gigantesque ensemble de données de localisation d’utilisateurs du monde entier, allant de la Russie aux États-Unis. Le fragment analysé par le chercheur avait une taille de 1,4 Go et se composait d’environ 30 millions d’enregistrements, collectés pour la plupart dans les premiers jours du mois de janvier 2025. Selon le pirate informatique, la base de données volée représenterait 10 To, ce qui signifie qu’elle pourrait contenir plus de 200 milliards d’enregistrements !

Ces données ont été collectées par des applications mobiles et acquises par Gravy Analytics pour être agrégées puis vendues à des clients. Comme l’a montré l’analyse de la fuite, la liste des applications utilisées pour collecter des données de localisation se compte par milliers. Par exemple, l’échantillon étudié contenait des données collectées auprès de 3 455 applications Android, dont des applications de rencontres.

Les données de localisation des utilisateurs britanniques de Tinder sont un exemple des données provenant de Gravy Analytics. Source

Suivi et désanonymisation des utilisateurs à l’aide des données de fuite de Gravy Analytics

Le plus fâcheux dans le piratage de Gravy Analytics, c’est que la base de données qui a fuité est liée à des identifiants publicitaires : IDFA pour iOS et AAID pour les appareils Android. Dans de nombreux cas, ces données permettent de suivre les déplacements des utilisateurs au fil du temps. Voici, par exemple, une carte de tels déplacements à proximité de la Maison-Blanche à Washington (rappelons que cette visualisation n’utilise qu’un petit échantillon des données volées ; la base de données complète en contient beaucoup plus) :

Les données de la fuite Gravy Analytics liées aux identifiants publicitaires peuvent être utilisées pour suivre les déplacements des utilisateurs au fil du temps. Source

Pire encore, certaines données peuvent être désanonymisées. Par exemple, le chercheur a pu suivre les déplacements d’un utilisateur qui s’est rendu sur la rampe de lancement Blue Origin :

Exemple de désanonymisation d’un utilisateur au moyen des données de localisation provenant de Gravy Analytics. Source

Autre exemple : le chercheur a été en mesure de suivre les déplacements d’une personne entre le Columbus Circle à Manhattan (New York) et son domicile dans le Tennessee, puis la maison de ses parents le lendemain. Grâce aux seules données OSINT, le chercheur a appris beaucoup de choses sur cette personne, notamment le nom de sa mère et le fait que son défunt père était un vétéran de l’armée de l’air américaine.

Autre exemple de désanonymisation d’un utilisateur au moyen des données de localisation provenant de Gravy Analytics. Source

La violation des données provenant de Gravy Analytics démontre les risques sérieux associés au secteur des courtiers en données, et plus particulièrement aux courtiers en données de localisation. À la suite de ce piratage, un volume considérable de données de localisation d’utilisateurs collectées par des applications mobiles a été rendu public.

Ces données permettent de suivre les déplacements d’un grand nombre de personnes avec une assez grande précision. Et même si la base de données divulguée ne contient pas d’identifiants personnels directs comme les noms et prénoms, les numéros d’identification, les adresses ou les numéros de téléphone, le lien avec les identifiants publicitaires peut, dans de nombreux cas, contribuer à la désanonymisation. Ainsi, à partir de divers quasi-identifiants, il est possible d’établir l’identité d’un utilisateur, de déterminer où il vit et travaille, ainsi que de retracer ses relations sociales.

Comment protéger vos données de localisation ?

Malheureusement, la collecte des données de localisation des utilisateurs est aujourd’hui une pratique tellement répandue qu’il n’y a pas de réponse simple à cette question. Hélas, il n’existe aucun interrupteur que vous pouvez simplement actionner pour empêcher toutes les sociétés Internet du monde entier de collecter vos données.

Cela dit, vous pouvez au moins minimiser la quantité d’informations sur votre localisation qui tombe entre les mains des courtiers en données. Comment faire :

• Soyez strict avec les applications qui demandent l’accès aux données de localisation. Bien souvent, elles fonctionneront très bien sans elles, donc, à moins qu’il n’y ait une raison valable pour que l’application connaisse votre position, refusez tout simplement.
• Réglez soigneusement les paramètres de confidentialité dans les applications qui ont réellement besoin de votre géolocalisation pour fonctionner. Vous pouvez par exemple consulter nos guides de configuration des applications courantes les plus populaires.
• N’autorisez pas les applications à suivre votre position en arrière-plan. Lorsque vous accordez des autorisations, sélectionnez toujours l’option « Uniquement pendant l’utilisation de l’application ».
• Désinstallez les applications que vous n’utilisez plus. D’une manière générale, essayez de limiter au maximum le nombre d’applications sur votre smartphone, afin de réduire le nombre de collecteurs de données potentiels sur votre appareil.
• Si vous utilisez des appareils Apple iOS, iPadOS ou tvOS, désactivez le suivi des applications. Vous éviterez ainsi que les données collectées à votre sujet soient désanonymisées.
• Si vous utilisez Android, supprimez l’identifiant publicitaire de votre appareil. Si cette option n’est pas disponible dans votre système d’exploitation, réinitialisez régulièrement l’identifiant publicitaire.
• Installez une solution de sécurité efficace capable de bloquer le suivi publicitaire sur l’ensemble de vos appareils.

Pour en savoir plus sur les façons d’empêcher les courtiers en données généralistes de collecter des informations à votre sujet, consultez notre article Des annonceurs partagent des données vous concernant avec… des services de renseignement.