Family Locator, l’application de la société australienne React Apps permettant aux membres d’une famille de se suivre les uns les autres par le biais de la géolocalisation, a vu son principal argument commercial se retourner contre elle. En effet, alors qu’elle est normalement utilisée par des parents pour s’assurer que chaque membre de leur famille va bien, elle aurait pu mettre en danger bon nombre d’enfants. Un serveur non protégé par un mot de passe rendait accessible en temps réel la géolocalisation et les données personnelles de plus 238 000 utilisateurs de l’application depuis plusieurs semaines.

Un criminel aurait eu toutes les cartes en main pour agir

À cause de la fuite de données en provenance du serveur de Family Locator, un criminel aurait facilement pu organiser un enlèvement. En effet, le nom, l’adresse e-mail, la photo de profil des usagers et leurs mots de passe, ainsi que la géolocalisation des membres de leur famille composent les informations qui étaient devenues accessibles outre leur géolocalisation. Mettons que vous sachiez où se situe un enfant, et que vous vous présentiez à lui comme un ami de ses parents venu le chercher à leur place. Si vous êtes capables de dire le nom de ses parents et où ils travaillent (grâce à la géolocalisation), il est plus que probable que cela suffise à le manipuler. Il n’est dès lors pas insensé de dire que Family Locator a mis en danger grave un grand nombre d’enfants.

Le développeur de l’application a disparu des radars

Le directeur de l’application a surement bien conscience qu’il a failli. Depuis que TechCrunch a rendu les failles de son serveur publiques par l’intermédiaire de Sanyam Jaïn, un chercheur en sécurité, aucun média n’a réussi à prendre contact avec lui. Notons que bien qu’il n’aie pas su assurer la sécurité des données des utilisateurs de son application, les siennes disposent d’une protection digne de ce nom. Le site web de son entreprise ne contient aucune information de contact, de même pour sa politique de confidentialité. De plus, un enregistrement WHOIS cache son adresse électronique.
TechCrunch a tout de même pu dévoiler son nom « Sandip Mann Singh » par l’achat des dossiers commerciaux de sa société auprès de l’Australian Securities & Investments Commission, l’organisme gouvernemental australien ayant à charge la gestion des entreprises.

La base de données de Family Locator a été mise hors ligne

Après avoir eu vent de la situation par le biais de TechCrunch, Microsoft a contacté le développeur vendredi dernier. En effet, l’application était hébergée sur le cloud Azure. Depuis, la base de données est hors ligne, et Singh n’a toujours fait aucun commentaire. Quoi qu’il en soit, cette affaire sonne comme une piqure de rappel. Lorsque vous partagez votre géolocalisation avec une application ou une entreprise, il n’est jamais certain qu’elle restera confidentielle. Même le géant américain Google s’était fait remarquer à collecter discrètement la géolocalisation des utilisateurs d’applications Android il y’a quelques années ! Côté parent, on ne peut également oublier le piratage des jouets VTech, où les données très personnelles de 200 000 enfants avaient été exposées.