Pas besoin de spyware quand on a Grindr

Grindr n’a visiblement pas compris la leçon. Malgré des affaires en 2018 et 2020, l’application de rencontre continue de vendre, visiblement à n’importe qui, les données de ses utilisateurs. Des données qui ont permis à un blog d’espionner un prêtre catholique américain et de le pousser à la démission.

Pas besoin d’un spyware sophistiqué pour espionner un individu, il suffit parfois de racheter les données « anonymisées » vendues à des tiers. C’est ce que vient de découvrir à ses dépens Jeffrey Burrill. Ce prêtre catholique américain a été contraint de démissionner de ses fonctions de secrétaire général adjoint de l’USCC, la conférence des évêques catholiques aux Etats-unis, qu’il occupait depuis 2016. La raison : Jeffrey Burrill fréquente Grindr, une application de rencontres gays.

C’est le très catholique média The Pillar qui a découvert (et dénoncé) l’orientation sexuelle du prêtre du diocèse de La Crosse, dans le Wisconsin. Pour ce faire, les « journalistes » n’ont eu qu’à acheter auprès d’un revendeur tiers un lot de données « anonymisées » provenant de Grindr. Car, ainsi que l’explique The Pilar, si lesdites données ne contiennent pas de nom, elles recèlent d’autres détails, à l’instar de données de géolocalisation liée à un identifiant unique du terminal de l’utilisateur.

The Pillar

Ainsi, les délateurs ont pu « corréler un appareil mobile unique à Burrill lorsqu'il a été utilisé de manière cohérente de 2018 à au moins 2020 depuis la résidence et le siège du personnel de l'USCCB, lors de réunions auxquelles Burrill était présent, et a également été utilisé à de nombreuses reprises dans la maison familiale de Burrill, près des résidences des membres de la famille de Burrill et dans un appartement du Wisconsin dans la ville natale de Burrill, où Burrill lui-même a été enregistré comme résident » écrit The Pillar.

Simple comme bonjour : Grindr, à l’instar de nombreuses autres applications de rencontres, utilise les données de géolocalisation pour afficher aux utilisateurs les profils d’autres utilisateurs à proximité. Et comme si The Pillar n’était pas assez glauque dans sa manière d’enquêter, il pousse le vice encore plus loin, mentionnant ainsi dans son article que « le 22 juin, l'appareil mobile corrélé à Burrill a émis des signaux d'Entourage, qui se présente comme un « bain gay » de Las Vegas ». Bref, Jeffrey Burrill s’est fait espionner, ou plus exactement « stalker » à son insu.

Stalking

The Pillar va jusqu’à expliquer la méthodologie, indiquant que « les données de signal, collectées par les applications après que les utilisateurs ont consenti à la collecte de données, sont agrégées et vendues par les fournisseurs de données. Elles peuvent être analysées pour fournir des données de localisation horodatées et des informations d'utilisation pour chaque appareil numéroté ». Ce qui n’est en rien illégal au niveau fédéral : seuls quelques Etats ont mis en place des lois condamnant ce type de pratiques.

On a donc ici deux ans de données de géolocalisation liées à l’identifiant unique d’un appareil, le tout recoupé avec les lieux que Jeffrey Burrill, la victime dans cette affaire, a l’habitude de fréquenter (lieu de travail, domicile, domiciles des membres de la famille). Pour une porte-parole de Grindr interrogée par le Washington Post, si l’article de The Pillar a clairement des relents « d’homophobie », il est impossible que les données mentionnées soient publiquement accessibles.

Grindr plaide non-coupable

« Les activités présumées énumérées dans cet article de blog non attribué sont infaisables d'un point de vue technique et incroyablement peu susceptibles de se produire » précise-t-elle à nos consœurs. On pourrait accorder le bénéfice du doute à Grindr, si l’application n’était pas déjà coutumière des pratiques abusives en terme de données personnelles.

En 2018, elle se voyait reprocher de vendre à deux sociétés, Apptimize et Localytics, les données de ses 3,6 millions d’utilisateurs actifs quotidiennement. Données qui comprennent la géolocalisation, le numéro de téléphone, l’adresse email, mais aussi les préférences sexuelles, le groupe ethnique, le statut marital ou, pire encore, le « statut VIH ». Deux ans plus tard, la justice norvégienne condamnait l’éditeur à 10 millions d’euros d’amendes pour des faits similaires, concernant cette fois-ci la revente de ses données à cinq entreprises publicitaires.