Home / Actu Monde / L’application Citymapper permettait de tracer ses utilisateurs à leur insu

L’application Citymapper permettait de tracer ses utilisateurs à leur insu


Pour qui maîtrise le code, les applications mobiles fournissent bien souvent de précieuses informations sur leurs utilisateurs. Ainsi de Citymapper, un service mobile de recommandation de trajets conçu pour se déplacer facilement en milieu urbain. L’application permettait, sans réel effort, de suivre les trajets de bon nombre de ses utilisateurs, fait remarquer dans un post de blog Daniel Faram, un analyste britannique en cybersécurité.

Disponible à Paris, Londres, Berlin, Tokyo ou New York, l’application de transportstéléchargée plus 5 millions de fois sur Google Play propose depuis 2015 à ses utilisateurs de partager leurs trajets avec leurs proches. Ces derniers peuvent ainsi suivre leurs déplacements, du point départ au point d’arrivée en passant par les moyens de transports utilisés, et ce sans même avoir téléchargé l’application. À chaque partage de déplacement correspond une URL, structurée de façon similaire: un T majuscule suivi de six caractères.

En générant artificiellement des milliers d’URL suivant ce modèle, Daniel Faram a pu retrouver les déplacements de nombreux utilisateurs de Citymapper dans le monde. «Sur les 30.000 trajets que j’ai pu recréer, certains comprenaient même des indications sur le nom et le domicile des personnes concernées», indique-t-il au Figaro. En combinant ces données avec d’autres informations publiquement accessibles en ligne, Daniel Faram pouvait, dans la plupart de ces cas, associer une identité aux trajets découverts. «Dans ces conditions, une telle agrégation de données pouvait être mise à profit de façon préjudiciable», regrette l’analyste.

Une prompte réaction de Citymapper

Contacté par Daniel Faram, Citymapper a rapidement corrigé ce défaut de sécurité en complexifiant les URL utilisées pour le partage de trajets et en faisant disparaître de son interface publiquement accessible toute information liée au nom ou au domicile.

Daniel Faram y voit néanmoins un bon exemple de la façon dont des données inoffensives en apparence peuvent être utilisées à des fins malfaisantes. Suivre ces déplacements sur le long terme permet en effet de se faire une idée précise du mode de vie d’une personne et de cerner au plus près ses habitudes quotidiennes.

L'application Citymapper permettait de tracer ses utilisateurs à leur insu

Citymapper est loin d’être la première application à laisser entrevoir les données de géolocalisation de ses utilisateurs. L’application de fitness Strava, téléchargée par 27 millions de personnes dans le monde, a récemment été pointée du doigt par le Guardian pour avoir permis de localiser avec précision certaines bases militaires secrètes.

Se prémunir d’un tel traçage est d’autant plus complexe pour les utilisateurs d’Android que ce système d’exploitation enregistre les données de géolocalisation, même une fois cette fonctionnalité désactivée, comme le révélait Quartz fin novembre. Selon Daniel Faram, il est néanmoins possible d’y apporter une vigilance supplémentaire en surveillant les accès à ce paramètre de chacune des applications nouvellement téléchargées et à éviter le téléchargement d’applications sur des plateformes alternatives à Google Play et l’App Store.


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *