En ce 6 juin, 2017, fichier photo, un homme vérifie son téléphone dans une ruelle du centre-ville de Chicago. Un chercheur en sécurité affirme qu'une faille du site Web d'une entreprise américaine aurait pu permettre à n'importe qui de localiser presque n'importe quel téléphone portable aux États-Unis. Le lapsus chez LocationSmart, une entreprise qui recueille des données en temps réel sur des appareils sans fil cellulaires, est le dernier à souligner le peu de protection des consommateurs contre le trafic de données sur leur localisation. (AP Photo/G-Jun Yam, Déposer)
Une entreprise californienne a confirmé qu'une faille dans son site Web permettait à des personnes extérieures de localiser des téléphones portables aux États-Unis sans autorisation.
Mais LocationSmart, qui rassemble des données en temps réel sur des appareils sans fil cellulaires, dit qu'il n'a aucune preuve que quelqu'un a exploité la vulnérabilité avant le 16 mai, quand un chercheur en sécurité de Carnegie Mellon l'a découvert.
Brenda Schafer, un vice-président de LocationSmart, a déclaré par e-mail vendredi que la société cherchait toujours à vérifier qu'aucune donnée de localisation n'avait été consultée sans le consentement des abonnés individuels. Elle n'a pas répondu aux questions sur les pratiques commerciales de LocationSmart ou depuis combien de temps la faille existait.
Les défenseurs de la vie privée affirment que l'affaire est la dernière à souligner la facilité avec laquelle les opérateurs de téléphonie mobile peuvent partager ou vendre les informations de géolocalisation des consommateurs sans leur consentement. La faille LocationSmart a été signalée pour la première fois par le journaliste indépendant Brian Krebs.
LocationSmart opère dans un secteur d'activité peu connu qui fournit des données aux entreprises à des fins telles que le suivi des employés et l'envoi de coupons électroniques par SMS aux clients à proximité des magasins concernés. Parmi les clients que LocationSmart identifie sur son site Internet figurent l'American Automobile Association, FedEx et la compagnie d'assurance Allstate.
Le New York Times a rapporté plus tôt ce mois-ci qu'une entreprise appelée Securus Technologies avait fourni des données de localisation sur les clients mobiles à un ancien shérif du Missouri accusé d'avoir utilisé les données pour suivre des personnes sans ordonnance du tribunal. Mercredi, Motherboard a signalé que les serveurs de Securus avaient été piratés par un pirate informatique qui a volé des données d'utilisateurs qui appartenaient principalement à des responsables de l'application des lois.
Securus peut avoir obtenu ses données de localisation indirectement de LocationSmart. Les responsables de Securus ont déclaré au bureau du sénateur Ron Wyden, un démocrate de l'Oregon, qu'ils ont obtenu les données d'une société appelée 3Cinterative, a déclaré le porte-parole de Wyden, Keith Chu. LocationSmart répertorie 3Cinteractive parmi ses clients sur son site Internet.
Wyden a déclaré que les affaires LocationSmart et Securus soulignent les "dangers illimités" auxquels les Américains sont confrontés en raison de l'absence de réglementation fédérale sur les données de géolocalisation.
"Un pirate aurait pu utiliser ce site pour savoir quand vous étiez dans votre maison afin qu'il sache quand le voler. Un prédateur aurait pu suivre le téléphone portable de votre enfant pour savoir quand il était seul, ", a-t-il déclaré dans un communiqué.
Une porte-parole de la Federal Communications Commission a déclaré que l'affaire LocationSmart avait été renvoyée au bureau de l'application de la loi de l'agence pour enquête.
LocationSmart a mis la page Web défectueuse hors ligne jeudi, un jour après que Robert Xiao, étudiant en informatique à l'Université Carnegie Mellon, ait découvert le bogue logiciel et en ait informé l'entreprise, Xiao a déclaré à l'Associated Press.
Le bug "autorisait n'importe qui, partout dans le monde, pour rechercher l'emplacement d'un téléphone portable américain, " dit Xiao, un chercheur doctorant. "Je pouvais taper n'importe quel numéro de téléphone à 10 chiffres, " il ajouta, "et je pourrais obtenir l'emplacement de n'importe qui."
La page Web a été conçue pour permettre aux visiteurs de tester le service de LocationSmart en entrant leur numéro de téléphone portable. Le service sonnerait alors leur téléphone ou enverrait un SMS pour obtenir le consentement, après quoi il afficherait l'emplacement du téléphone, généralement à plusieurs centaines de mètres.
Mais Xiao a trouvé une faille qui lui a permis de contourner le consentement en seulement 15 minutes. "Il ne faudrait pas beaucoup de temps à quelqu'un ayant des connaissances techniques suffisantes pour trouver cela, " a-t-il dit. Il a écrit un script pour l'exploiter.
Les recherches de Xiao ont indiqué que LocationSmart offrait le service depuis au moins janvier 2017.
LocationSmart se présente comme la « plus grande entreprise de localisation en tant que service au monde ». Il dit qu'il obtient des informations de localisation de toutes les grandes entreprises sans fil américaines et canadiennes, avec une couverture de 95 pour cent.
Le porte-parole de Verizon, Rich Young, a déclaré que la société avait pris des mesures pour s'assurer que Securus ne puisse plus demander d'informations sur les clients sans fil de la société et qu'elle réexaminait sa relation avec LocationSmart. T-Mobile a également déclaré avoir « résolu les problèmes identifiés avec Securus et LocationSmart ».
Les représentants d'AT&T et de Sprint ont déclaré qu'ils n'autorisaient pas le partage d'informations de localisation sans le consentement individuel ou une ordonnance légale telle qu'un mandat.
Gigi Sohn, un ancien haut responsable de la FCC sous l'administration Obama, lesdites données de localisation des utilisateurs sont à haut risque depuis l'année dernière. C'est à ce moment-là que le Congrès a abrogé les règles de confidentialité de la FCC interdisant aux opérateurs de téléphonie mobile de les partager ou de les vendre sans le consentement exprès des clients.
« Au strict minimum, les consommateurs devraient pouvoir choisir si une entreprise comme LocationSmart devrait avoir accès à ces données, " elle a dit.
© 2018 La Presse Associée. Tous les droits sont réservés.