Tinder et Grindr font (bien) n’importe quoi avec toutes vos precisions, ainsi, c’est dangereux

« Hors de controle », voila comment le conseil norvegien des consommateurs qualifie des confortables publicitaires d'aujourd'hui. L’agence gouvernementale a reclame a une entreprise de cybersecurite de se pencher sur les pratiques de gestion des donnees de 10 applications populaires. Leur choix s’est porte sur des applications qui manipulent des precisions personnelles sensibles : suivi du cycle menstruel (MyDays, Clue), aide a J'ai priere https://www.besthookupwebsites.org/fr/sites-de-rencontre-pour-animaux-de-compagnie/ (Muslim : Qibla Finder), retrouve amoureuses (Tinder, Grindr, OkCupid)… Le bilan est accablant : l'ensemble de communiquent une partie des donnees de leurs utilisateurs a des entreprises tierces, a des fins publicitaires.

Dans la majorite des cas, l’utilisateur n’a jamais pu emettre un consentement eclaire via ces confortables, tel le requiert pourtant la loi europeenne.

Parmi ces mauvais eleves, l’application de rencontre Grindr se distingue par la exactitude des informations qu’elle communique, ainsi, le nombre de destinataires a qui elle les envoie — alors meme que ses millions d’utilisateurs appartiennent majoritairement a J'ai communaute LGBTQ+, particulierement visee par des discriminations. Notre conseil norvegien des consommateurs a donc decide d’attaquer l’entreprise en justice, pour multiples violation du reglement europeen sur la protection des informations (RGPD). Cette categorie d’infraction est passible d’une amende du montant le plus eleve entre 20 millions d’euros et 4 % du chiffre d’affaires annuel de l’entreprise.

Quelles informations paraissent concernees ?

Les informations communiquees a des entreprises tierces par des applications sont de deux types, au regard du RGPD :

  • Les donnees personnelles : date de naissance, age, adresse IP [un 06 associe a un appareil electronique, ici au smartphone, ndlr], coordonnees GPS (localisation), l’advertising ID [un identifiant attribue avec Android qui permet de suivre un individu entre les applications, ndlr].
  • Les donnees sensibles, un sous-ensemble bien plus protege dans la loi, car elles peuvent servir a discriminer Quelques groupes : genre, orientation sexuelle, opinions religieuses.

Detail du type de informations et du nombre de destinataires adresses avec nos applications. // Source : Forbrukerradet

Chacune des 10 applications communique 1 plus ou moins large panel des precisions, de maniere plus ou moins precise (cf. image ci-dessus), a des tiers. Les auteurs de l’etude insistent particulierement dans Grindr, Tinder et OkCupid, qui fournissent les donnees relatives a l’orientation sexuelle de leurs utilisateurs. Pourtant, Grindr s’etait deja fera epingle apres avoir partage le statut serologique de l'ensemble de ses utilisateurs.

Qui recupere des donnees ?

En bien, les auteurs de l’etude ont recense 135 firmes destinataires des informations, dans une liste non-exhaustive. Elles ont des noms inconnus des non-specialistes comme AppsFlyer, LeanPlum, AdColony, mais on retrouve aussi des filiales de Google, Facebook ou encore Twitter. La majorite d’entre-elles seront des data-brokers : un activite est d’agreger ainsi que combiner de grandes quantites de donnees de consommateurs, issues de diverses sources, publiques comme privees, De sorte i  les revendre.

Elles partagent donc ces donnees a des entreprises de marketing, d’estimations des risques ou de prevention a J'ai fraude. Vos precisions se propagent ainsi de serveur en serveur de facon invisible, sans que vous ne puissiez donner ou retirer ce consentement.

« Ces entreprises ont des pratiques de collecte et d’utilisation des donnees des consommateurs dont la legalite est questionnable. La colonne vertebrale de ce systeme publicitaire pourrait etre de facon systemique contraire au RGPD », ecrivent les auteurs de l’etude. D’apres un texte universitaire, quand un site demande de facon claire a ses visiteurs s’ils acceptent le partage de leurs informations a des acteurs tiers a des fins publicitaires, ils refusent dans 99,9 % des cas.

Que peut-on Realiser avec mes informations ?

Plus un publicitaire — ou un hacker — aura 1 large panel de precisions sur une meme personne, plus il lui sera facile de trouver les donnees qui lui manquent concernant completer votre profil. Pourquoi pas, si l’adresse IP parait etre une donnee a faible valeur, elle permet en fera de coder 1 profil tracable un coup recoupee a d’autres.

« L’adresse IP n’est nullement un indicateur fort fiable. Mais elle permet, par exemple, de savoir que c’est la meme personne qui est revenue sur le website a 2 heures d’intervalle. Et quand on combine l’adresse IP avec l’age et le genre en personne, on dispose d’une empreinte quasi unique. On peut ainsi traquer le comportement, sans avoir le nom ou 1 identifiant tel l’adresse email », previent Gaetan Le Guelvouit, responsable du laboratoire confiance & securite chez b<>com, interroge par Cyberguerre de Numerama.

Cette empreinte permet par exemple aux annonceurs de personnaliser les publicites qu’ils vous afficheront en fonction de votre genre, de votre age et de votre comportement, c’est-a-dire des autres pages internet que vous auriez pu visiter. Cette pratique a deja abouti a de nombreux debordements. Entre autres, Facebook avait permis a toutes les annonceurs de cibler des conspirationnistes antisemites qui pensaient que des Juifs preparaient 1 « genocide blanc ». Un an plutot, l’entreprise californienne un permettait d’exclure la plupart ethnies de leur ciblage publicitaire.

Mes donnees encore plus exposees aux dangers

D’autres donnees peuvent permettre a elles seules de deduire plusieurs informations. « Dans ces revelations, c’est l’acces a toutes les donnees GPS qui me derange le plus. Il suffit de trouver certains recurrences au sein des deplacements, ainsi, on va pouvoir facilement identifier le lieu de travail et le domicile de la personne. Ensuite, il faut juste faire l'adresse au milieu des pages blanches Afin de tomber sur son nom. Quand on dispose de l’age ou en date maternel, on va pouvoir aussi confirmer votre qu’on a trouve », developpe le chercheur.

En terme de securite, il s’agit d’un grand desastre. Chaque fois que toutes vos precisions sont partagees a une nouvelle entreprise, vous etes exposes a un nouveau risque de fuite ou d’ attaque. Or, si des acteurs malveillants mettent mon tour sur des donnees d’une telle valeur, ils pourront causer beaucoup de dommages. Prenons un exemple, 1 hacker pourrait Realiser du chantage aupres de gens homosexuelles n’ayant jamais fera un coming-out. Pire, il pourrait menacer un life. Usurpation d’identite, espionnage, des menaces sont nombreuses.

Que puis-je Realiser Afin de proteger mes donnees ?

La meilleure solution reste evidemment d’effacer l'ensemble des precisions que vous pourrez et de quitter l’application. Mais si vous souhaitez rester dans ces applications de rencontre, les possibilites seront limitees. « il y a des applications qui permettent d'effectuer des fausses donnees GPS, on peut mentir sur son age ou son genre…. mais on perd aussi l’interet de l’application », rappelle Gaetan Notre Guelvouit. A minima, vous pourrez utiliser un VPN pour masquer votre adresse IP, votre va i?tre toujours une donnee pertinente de moins.

« Le principal probleme, c’est que ces applications sont hypocrites. Pour les specialistes une cybersecurite, il va i?tre simple qu’elles vont revendre nos informations, car leur valeur reste consequente. Mais puisque nos utilisateurs sont confrontes chaque jour a ce type de scandale, ils s’y habituent et ne considerent nullement les dangers… », regrette le specialiste.