Déjà impliquée dans une récente faille de sécurité, l’application de rencontres Grindr aurait également révélé des données portant sur le statut sérologique de ses utilisateurs.

À la fin du mois de mars, deux failles de sécurité impliquant Grindr avait déjà été reportées à la plateforme de rencontres. Le fondateur de l’application tierce C*ockblocked, qui permet aux utilisateurs de savoir par qui ils ont été bloqués, avait immédiatement signalé les manquements à Grindr. Selon Trever Faden, Grindr ne protégeait pas certaines données, si bien que les adresses emails, les messages non lus, les photos supprimées et les données de géolocalisation étaient facilement accessibles. Plus inquiétante encore, la deuxième faille ne chiffrait pas certaines données, dont la localisation, ce qui permettait aux internautes observant le trafic Internet d’accéder à ces données. De cette façon, la localisation de chaque utilisateur qui se connectait à l’app de rencontre était visible en clair sur le net. Entre temps, Grindr indique avoir corrigé la première faille. Néanmoins, l’entreprise fait face à une nouvelle accusation puisque Buzzfeed News révèle qu’elle aurait permis à des sociétés tierces d’accéder au statut VIH de ses utilisateurs.

Deux entreprises ont donc eu accès à des données portant sur le statut sérologique, la date du dernier dépistage ainsi que la localisation des utilisateurs. En cause le fait que Grindr et les applications Apptimize et Localytics travaillent conjointement afin de tester la plateforme de rencontre et de l’améliorer. Pour se défendre, le chef de la sécurité de Grindr, Scott Chen argue du fait que les données sont « soumises à des clauses contractuelles strictes ». Il indique aussi que les utilisateurs peuvent choisir de partager leur statut VIH sur leur profil ou non, et que c’est donc à ces derniers d’être vigilants. Une argumentation qui est loin de convaincre.

À l’origine de la découverte, le chercheur Antoine Pultier précise que « le statut VIH est lié à toutes les autres informations. C’est le principal problème ». Outre cette donnée, la position GPS, l’âge, la taille, le poids, l’adresse email, l’ethnicité et le numéro de téléphone sont aussi partagés. Concernant ces données, elles étaient aussi partagées sans chiffrement. Ainsi, il peut être assez facile de recouper les données et de trouver facilement l’identité d’une personne ou d’avoir une vue d’ensemble des utilisateurs de l’application. Scott Chen a reconnu que les données transmises aux sociétés tierces pouvaient inclure « des infos relatives à la localisation et au statut VIH car ce sont des informations qui sont dans [l’application] ». Cependant, la plateforme a réfuté vendre des « informations personnelles identifiables – en particulier les données relatives au statut VIH ou à la dernière date de test – à des tierces parties ou à des annonceurs ».

Suite à l’article de Buzzfeed News, Grindr a annoncé qu’il ne partagerait plus les données portant sur le statut sérologique des utilisateurs.

Source.