Grindr a mis ses utilisateurs en danger

Avec ses 3,6 millions d’utilisateurs par jour, Grindr est l’application la plus populaire pour faciliter les rencontres entre hommes dans le monde. Fonctionnant à peu près de la même manière que Tinder, l’app enregistre les données et métadonnées. Une enquête menée par Sintef, un OSBL suédois, et vérifiée par BuzzFeed News révèle toutefois que Grindr transmettait les données de ses utilisateurs à des compagnies d’optimisation d’application, dont certaines données de nature très privée.

L’enquête de Sintef a révélé que Grindr travaille de concert avec Apptimize et Localytics, deux logiciels qui optimisent les applications mobiles. Les données transmises par Grindr à ces compagnies comprennent entre autres les données de géolocalisation, le statut conjugal et de séropositivité ainsi que la date du plus récent test de dépistage des utilisateurs. Qui plus est, certains de ces renseignements étaient transmis par Grindr à Apptimize et Localytics en texte décrypté et donc lisible par quiconque arrive à les intercepter. Cela signifie que n’importe qui disposant d’une connaissance de base du piratage ou de la surveillance de réseaux pourrait avoir accès à ces données.

Les utilisateurs de Grindr peuvent personnaliser leurs profils en y donnant autant de renseignements qu’ils le souhaitent. Parmi les informations généralement publiées, il y a des photos, le nom de la personne, son âge, etc. Mais, depuis un moment déjà, les utilisateurs peuvent aussi indiquer s’ils sont séropositifs ou non, ainsi que la dernière fois qu’ils ont passé un test de dépistage du VIH. Depuis la semaine dernière, Grindr offre aussi à ses utilisateurs d’activer des rappels de dépistage.

Si ces fonctions sont intégrées à Grindr, c’est que le VIH et le sida touchent de manière disproportionnée la communauté LGBTQ, et les hommes qui ont des relations sexuelles avec d’autres hommes en particulier. Lancée avant même Tinder, cette app est née de la nécessité de cette communauté de former un réseau social relativement clos, un safe space exempt autant que possible des préjugés qui l’affectent encore. Savoir que ces renseignements personnels sont facilement compromis est bien entendu inquiétant pour de nombreux utilisateurs. Bien que les données transmises aux entreprises tierces par Grindr ne comprennent pas les photos et le nom des utilisateurs, les métadonnées et surtout les données de géolocalisation exactes mettent en danger de nombreuses personnes, notamment en les rendant vulnérables au chantage et à l’extorsion.

Dans les régions du monde où l’homosexualité est moins bien tolérée qu’ici, la protection des données de géolocalisation des utilisateurs est primordiale. Ce n’est d’ailleurs pas la première fois que Grindr s’attire des problèmes à cause de failles de géolocalisation. En 2014, Gadgets rapportait un bogue dans la fonction de géolocalisation de l’application, qui rendait facile la triangulation permettant à des hackeurs de localiser un utilisateur.

D’ailleurs, l’an passé, des policiers égyptiens ont utilisé Grindr afin de piéger et d’arrêter des homosexuels. Bien que l’homosexualité ne soit pas explicitement illégale en Égypte, plusieurs lois permettent aux forces de l’ordre d’arrêter des membres de la communauté LGBTQ+, pour diverses raisons, comme un « comportement immoral » qui « va à l’encontre des enseignements religieux ».

Vu la vague de colère qu’a provoquée la nouvelle hier, le chef de la sécurité de l’entreprise, Bryce Case, a annoncé que l’app cesserait de partager les données de séropositivité des utilisateurs avec des tierces parties comme Apptimize et Localytics. Il maintient toutefois que les critiques envers leurs pratiques sont le résultat d’un manque de compréhension de la technologie utilisée. Il rappelle aussi que les données n’étaient partagées avec ces compagnies qu’à des fins d’optimisation de l’application elle-même, et non à des fins lucratives. Une mise à jour de l’app devrait être offerte sous peu.

Billy Eff est sur internet ici et là.