Qui sont les courtiers en donn\u00e9es de localisation\u00a0?<\/h2>\n
Les courtiers en donn\u00e9es sont des entreprises qui collectent, traitent et vendent des informations au sujet des utilisateurs. Ils obtiennent ces informations \u00e0 partir d\u2019applications mobiles, de r\u00e9seaux publicitaires en ligne, de syst\u00e8mes d\u2019analyse en ligne, d\u2019op\u00e9rateurs de t\u00e9l\u00e9communications ainsi que d\u2019une multitude d\u2019autres sources, allant des appareils de maison connect\u00e9e aux v\u00e9hicules<\/a>.<\/p>\n En th\u00e9orie, ces donn\u00e9es sont uniquement collect\u00e9es \u00e0 des fins d\u2019analyse et de diffusion d\u2019annonces cibl\u00e9es. Dans la pratique, cependant, il n\u2019y a souvent aucune restriction d\u2019utilisation, et tout le monde semble pouvoir se procurer ces donn\u00e9es. En r\u00e9alit\u00e9, vos donn\u00e9es peuvent donc \u00eatre utilis\u00e9es \u00e0 des fins tr\u00e8s diverses. Par exemple, une enqu\u00eate men\u00e9e l\u2019ann\u00e9e derni\u00e8re a r\u00e9v\u00e9l\u00e9 que les courtiers en donn\u00e9es commerciales peuvent m\u00eame servir \u2013 directement ou par le biais d\u2019interm\u00e9diaires \u2013 les agences de renseignement gouvernementales<\/a>.<\/p>\n Les courtiers en donn\u00e9es collectent toutes sortes d\u2019informations au sujet des utilisateurs, et l\u2019une des cat\u00e9gories les plus importantes et les plus confidentielles est celle des donn\u00e9es de localisation. La demande est d\u2019ailleurs si importante qu\u2019en plus des courtiers en donn\u00e9es g\u00e9n\u00e9ralistes, il existe des entreprises qui se concentrent pr\u00e9cis\u00e9ment sur ce type de donn\u00e9es.<\/p>\n Il s\u2019agit des courtiers en donn\u00e9es de localisation, c\u2019est-\u00e0-dire des organisations sp\u00e9cialis\u00e9es dans la collecte et la vente d\u2019informations sur la localisation des utilisateurs. L\u2019un des principaux acteurs de ce segment est la soci\u00e9t\u00e9 am\u00e9ricaine de g\u00e9olocalisation Gravy Analytics, qui a fusionn\u00e9<\/a> avec la soci\u00e9t\u00e9 norv\u00e9gienne Unacast en 2023.<\/p>\n En janvier\u00a02025, l\u2019actualit\u00e9 a fait \u00e9tat d\u2019une fuite de donn\u00e9es chez Gravy Analytics. Dans un premier temps, seuls des rapports non officiels<\/a> ont \u00e9t\u00e9 \u00e9tablis \u00e0 partir d\u2019un message publi\u00e9 sur un forum priv\u00e9 russe de pirates informatiques. L\u2019auteur du message affirmait avoir pirat\u00e9 Gravy Analytics et vol\u00e9 les donn\u00e9es de localisation de millions d\u2019utilisateurs, en fournissant comme preuve des captures d\u2019\u00e9cran du tr\u00e9sor de donn\u00e9es.<\/p>\n La confirmation officielle<\/a> n\u2019a pas tard\u00e9. En vertu de la l\u00e9gislation norv\u00e9gienne, la soci\u00e9t\u00e9 m\u00e8re de Gravy Analytics, Unacast, \u00e9tait l\u00e9galement tenue d\u2019en informer l\u2019autorit\u00e9 de r\u00e9gulation nationale.<\/p>\n Le communiqu\u00e9<\/a> de l\u2019entreprise rapporte que le 4 janvier, une personne non autoris\u00e9e a acc\u00e9d\u00e9 \u00e0 l\u2019environnement de stockage cloud AWS de Gravy Analytics \u00ab\u00a0par le biais d\u2019une cl\u00e9 d\u2019acc\u00e8s d\u00e9tourn\u00e9e\u00a0\u00bb. L\u2019intrus \u00ab\u00a0a obtenu certains fichiers susceptibles de contenir des donn\u00e9es personnelles\u00a0\u00bb.<\/p>\n Unacast et Gravy Analytics ne se sont pas empress\u00e9s de pr\u00e9ciser quelles donn\u00e9es auraient pu \u00eatre compromises. Cependant, quelques jours plus tard, un chercheur en s\u00e9curit\u00e9 ind\u00e9pendant a publi\u00e9 sa propre analyse<\/a> approfondie des informations divulgu\u00e9es \u00e0 partir d\u2019un \u00e9chantillon des donn\u00e9es vol\u00e9es qu\u2019il avait pu obtenir.<\/p>\n La fuite de Gravy Analytics comprenait les donn\u00e9es de localisation d\u2019utilisateurs du monde entier. Source<\/a><\/p><\/div>\n Il s\u2019est av\u00e9r\u00e9 que le piratage de Gravy Analytics a effectivement permis la fuite d\u2019un gigantesque ensemble de donn\u00e9es de localisation d\u2019utilisateurs du monde entier, allant de la Russie aux \u00c9tats-Unis. Le fragment analys\u00e9 par le chercheur avait une taille de 1,4\u00a0Go et se composait d\u2019environ 30\u00a0millions d\u2019enregistrements, collect\u00e9s pour la plupart dans les premiers jours du mois de janvier\u00a02025. Selon le pirate informatique, la base de donn\u00e9es vol\u00e9e repr\u00e9senterait 10\u00a0To, ce qui signifie qu\u2019elle pourrait contenir plus de 200\u00a0milliards d\u2019enregistrements\u00a0!<\/p>\n Ces donn\u00e9es ont \u00e9t\u00e9 collect\u00e9es par des applications mobiles et acquises par Gravy Analytics pour \u00eatre agr\u00e9g\u00e9es puis vendues \u00e0 des clients. Comme l\u2019a montr\u00e9 l\u2019analyse de la fuite, la liste des applications utilis\u00e9es pour collecter des donn\u00e9es de localisation se compte par milliers. Par exemple, l\u2019\u00e9chantillon \u00e9tudi\u00e9 contenait des donn\u00e9es collect\u00e9es aupr\u00e8s de 3\u00a0455\u00a0applications Android<\/a>, dont des applications de rencontres.<\/p>\n Les donn\u00e9es de localisation des utilisateurs britanniques de Tinder sont un exemple des donn\u00e9es provenant de Gravy Analytics. Source<\/a><\/p><\/div>\n Le plus f\u00e2cheux dans le piratage de Gravy Analytics, c\u2019est que la base de donn\u00e9es qui a fuit\u00e9 est li\u00e9e \u00e0 des identifiants publicitaires\u00a0: IDFA pour iOS et AAID pour les appareils Android<\/a>. Dans de nombreux cas, ces donn\u00e9es permettent de suivre les d\u00e9placements des utilisateurs au fil du temps. Voici, par exemple, une carte de tels d\u00e9placements \u00e0 proximit\u00e9 de la Maison-Blanche \u00e0 Washington (rappelons que cette visualisation n\u2019utilise qu\u2019un petit \u00e9chantillon des donn\u00e9es vol\u00e9es\u00a0; la base de donn\u00e9es compl\u00e8te en contient beaucoup plus)\u00a0:<\/p>\n Les donn\u00e9es de la fuite Gravy Analytics li\u00e9es aux identifiants publicitaires peuvent \u00eatre utilis\u00e9es pour suivre les d\u00e9placements des utilisateurs au fil du temps. Source<\/a><\/p><\/div>\n Pire encore, certaines donn\u00e9es peuvent \u00eatre d\u00e9sanonymis\u00e9es. Par exemple, le chercheur a pu suivre les d\u00e9placements d\u2019un utilisateur qui s\u2019est rendu sur la rampe de lancement Blue Origin\u00a0:<\/p>\n Exemple de d\u00e9sanonymisation d\u2019un utilisateur au moyen des donn\u00e9es de localisation provenant de Gravy Analytics. Source<\/a><\/p><\/div>\n Autre exemple : le chercheur a \u00e9t\u00e9 en mesure de suivre les d\u00e9placements d\u2019une personne entre le Columbus Circle \u00e0 Manhattan (New York) et son domicile dans le Tennessee, puis la maison de ses parents le lendemain. Gr\u00e2ce aux seules donn\u00e9es OSINT, le chercheur a appris beaucoup de choses sur cette personne, notamment le nom de sa m\u00e8re et le fait que son d\u00e9funt p\u00e8re \u00e9tait un v\u00e9t\u00e9ran de l\u2019arm\u00e9e de l\u2019air am\u00e9ricaine.<\/p>\n Autre exemple de d\u00e9sanonymisation d\u2019un utilisateur au moyen des donn\u00e9es de localisation provenant de Gravy Analytics. Source<\/a><\/p><\/div>\n La violation des donn\u00e9es provenant de Gravy Analytics d\u00e9montre les risques s\u00e9rieux associ\u00e9s au secteur des courtiers en donn\u00e9es, et plus particuli\u00e8rement aux courtiers en donn\u00e9es de localisation. \u00c0 la suite de ce piratage, un volume consid\u00e9rable de donn\u00e9es de localisation d\u2019utilisateurs collect\u00e9es par des applications mobiles a \u00e9t\u00e9 rendu public.<\/p>\n Ces donn\u00e9es permettent de suivre les d\u00e9placements d\u2019un grand nombre de personnes avec une assez grande pr\u00e9cision. Et m\u00eame si la base de donn\u00e9es divulgu\u00e9e ne contient pas d\u2019identifiants personnels directs comme les noms et pr\u00e9noms, les num\u00e9ros d\u2019identification, les adresses ou les num\u00e9ros de t\u00e9l\u00e9phone, le lien avec les identifiants publicitaires peut, dans de nombreux cas, contribuer \u00e0 la d\u00e9sanonymisation. Ainsi, \u00e0 partir de divers quasi-identifiants, il est possible d\u2019\u00e9tablir l\u2019identit\u00e9 d\u2019un utilisateur, de d\u00e9terminer o\u00f9 il vit et travaille, ainsi que de retracer ses relations sociales.<\/p>\n Malheureusement, la collecte des donn\u00e9es de localisation des utilisateurs est aujourd\u2019hui une pratique tellement r\u00e9pandue qu\u2019il n\u2019y a pas de r\u00e9ponse simple \u00e0 cette question. H\u00e9las, il n\u2019existe aucun interrupteur que vous pouvez simplement actionner pour emp\u00eacher toutes les soci\u00e9t\u00e9s Internet du monde entier de collecter vos donn\u00e9es.<\/p>\n Cela dit, vous pouvez au moins minimiser la quantit\u00e9 d\u2019informations sur votre localisation qui tombe entre les mains des courtiers en donn\u00e9es. Comment faire\u00a0:<\/p>\nLa fuite de donn\u00e9es de Gravy Analytics<\/h2>\n
Analyse des donn\u00e9es divulgu\u00e9es par Gravy Analytics<\/h2>\n
![\"Fuite](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2025\/04\/24161330\/geolocation-data-broker-leak-1-EN.jpg\")
<\/a>![\"Localisation](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2025\/04\/24161344\/geolocation-data-broker-leak-2.jpg\")
<\/a>Suivi et d\u00e9sanonymisation des utilisateurs \u00e0 l\u2019aide des donn\u00e9es de fuite de Gravy Analytics<\/h2>\n
![\"Suivi](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2025\/04\/24161316\/geolocation-data-broker-leak-3.jpg\")
<\/a>![\"Premier](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2025\/04\/24161302\/geolocation-data-broker-leak-4.jpg\")
<\/a>![\"Deuxi\u00e8me](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2025\/04\/24161252\/geolocation-data-broker-leak-5.jpg\")
<\/a>Comment prot\u00e9ger vos donn\u00e9es de localisation\u00a0?<\/h2>\n
\n