L’application de rencontres homosexuelles Grindr a reconnu, le 3 avril, avoir laissé des entreprises tierces accéder à sa base de données.
À voir aussi sur Konbini
Grindr, l’application reine pour les rencontres homosexuelles d’un soir et ancêtre de Tinder, partage les données privées de ses utilisateurs, dont leur statut VIH, avec des entreprises tierces : telle est la conclusion d’une enquête menée par l’ONG norvégienne Sintef, reprise par BuzzFeed News le 2 avril. De son côté, l’application a confirmé les révélations et promis de mettre rapidement fin à la pratique.
Pour ce pionnier de la géolocalisation sur smartphone fondé en 2009, qui se revendique comme le “plus grand réseau mondial de rencontres pour hommes gays”, l’information a de quoi ébranler la confiance de ses 3,6 millions d’utilisateurs uniques revendiqués, alors que le site bénéficiait jusqu’alors d’une réputation sûre permettant à ses membres de communiquer en détail.
Dans un post Tumblr, publié le 2 avril, Scott Chen, l’un des responsables de l’entreprise, ne fait d’ailleurs pas d’autre mea culpa : “En tant qu’entreprise au service de la communauté LGBTQ, nous comprenons à quel point la révélation d’un statut VIH peut être un sujet sensible”, explique-t-il, tout en rappelant que les utilisateurs peuvent choisir d’indiquer ou non leur profil sérologique et qu’ils doivent donc être vigilants – une justification plutôt étrange pour quelqu’un dont l’entreprise vient d’être accusée de brèche de confidentialité.
Cependant, selon le site spécialisé Axios, le chef de la sécurité de l’entreprise, Bryce Case, annonçait le même jour que Grindr allait… cesser de partager les données dès sa prochaine mise à jour. À l’heure où le monde entier voit Facebook saigner en place publique pour des soucis de confidentialité, l’entreprise a bien compris qu’il fallait à tout prix se démarquer de l’affaire Cambridge Analytica. Pour Case, dans le cas de Grindr, “[le public] confond le problème et essaie de nous mettre dans un camp auquel nous n’appartenons pas”. Comprenez : celui du grand méchant Facebook.
Des données partagées sans chiffrement
Pourtant, lorsque l’on parcourt les découvertes effectuées par l’ONG Sintef, on peut légitimement se dire que Grindr est bien du côté des méchants : l’entreprise a partagé les données personnelles de ses utilisateurs – parmi lesquelles les numéros de téléphone, les données de localisation GPS et les mails – avec au moins deux entreprises tierces, Apptimize et Localytics, deux services utilisés par les développeurs d’applications pour tester le fonctionnement de leurs créations.
Dans le cas d’Apptimize, Grindr a assuré que le service avait été utilisé par un petit nombre d’utilisateurs lors du déploiement d’une nouvelle fonctionnalité de l’appli, lancée le mois dernier, qui permet aux membres de s’inscrire à un rappel de test du VIH, et que les données allaient être rétroactivement supprimées. Du côté de Localytics, Grindr a donc annoncé qu’elle mettrait fin à l’échange de données, sans être capable de préciser si les fichiers allaient être rétroactivement supprimés.
Contacté par BuzzFeed News, Bryce Case a beau affirmer qu’il “n’admettra pas de faute au regard de l’utilisation faite de ces données”, les utilisateurs de Grindr ont largement de quoi se sentir floués. Premièrement, l’ensemble des données communiquées à ces services est extrêmement large – outre les informations de contact et de localisation, il inclut également le statut relationnel, la date du dernier dépistage sérologique, le statut sérologique ou encore l’appartenance à une “tribu” sociale au sein de la communauté gay. Une fois mises en relation, ces informations peuvent permettre de déduire l’identité précise d’une personne.
Deuxièmement, une partie de ces informations est partagée aux applications via des protocoles HTTP, considérés comme non-sécurisés, le tout sans aucun chiffrement – bref, de l’amateurisme. Enfin, le consentement des utilisateurs n’est jamais demandé de manière explicite, ce qui fait toujours tâche lorsque l’on prétend faire de leur sécurité sa priorité. À la décharge de l’application, comme le relève BuzzFeed, les conditions d’utilisation de la plateforme prévoient de manière plutôt explicite que le statut VIH serait rendu public — mais qui lit encore les conditions d’utilisation ? Il est plus que temps que les services protègent leurs utilisateurs de manière préventive, et non qu’elles se mettent à prendre des mesures efficaces après que les scandales éclatent.
