Une vulnérabilité présente dans un site web a permis de géolocaliser des utilisateurs en temps réel sans que ceux-ci ne soient au courant.

Il y a quelques jours, KrebsonSecurity a remarqué que le site web LocationSmart donnait accès à un outil permettant de localiser un smartphone en temps réel. De plus, il n’y avait pas besoin de posséder un identifiant, un mot de passe ou un consentement donné par l’utilisateur puisque ce dernier n’en était pas informé.

À l’origine, LocationSmart est une entreprise qui permet d’agréger des données de localisation tout en arguant du fait qu’elle possède les autorisations de plusieurs opérateurs téléphoniques. Sur son site web, la compagnie propose une fonctionnalité qui permet d’essayer l’outil avant de l’acheter, afin de juger de la capacité à géolocaliser un utilisateur avec précision. C’est justement cette fonctionnalité qui pose problème. À l’origine, il faut donner son consentement pour que ces données personnelles soient utilisées à cette fin, et un message texte est envoyé au destinataire pour l’informer.

Un chercheur en sécurité à l’Université Carnegie Mellon du nom de Robert Xiao a testé la vulnérabilité du système d’authentification, une faille qui lui a ensuite permis de suivre les coordonnées géographiques d’un mobile très facilement. Le chercheur précise : « En raison d’un bug très élémentaire sur le site, vous pouvez vous affranchir de l’étape du consentement et accéder directement à la localisation […] Cela implique que LocationSmart n’a jamais exigé le consentement au départ ». Selon Robert Xiao, chaque personne aux États-Unis et au Canada pourrait avoir vu ses données de géolocalisation exposées, soit 200 millions de personnes.

Lorsqu’il a été informé de la vulnérabilité, LocationSmart a rapidement fermé la page concernée par le problème. ZDNet rapporte que, selon Archive.org, le service serait en activité depuis -au moins- 2017.

Source.