Une faille dans un service de suivi des téléphones portables a permis à quiconque de suivre des appareils sans avoir besoin d’une autorisation. Pour ce faire, il suffisait de profiter de certaines des ouvertures offertes par l’outil.
La faille était présente dans LocationSmart, comme on appelle la plateforme, et a été découverte par le professeur d’informatique Robert Xiao. Selon lui, il était possible de suivre la localisation des téléphones portables connectés à AT&T, Sprint, T-Mobile et Verizon, les plus grands opérateurs des États-Unis.
LocationSmart se vend comme un service de localisation en temps réel sur smartphone. Pour convaincre les clients potentiels, il propose une démonstration gratuite qui vous permet de trouver votre téléphone en saisissant uniquement le nom, l’adresse électronique et le téléphone dans un formulaire.
L’outil a ensuite envoyé un message texte demandant la permission de communiquer avec l’antenne cellulaire la plus proche. Avec l’autorisation, le service passerait la longitude et la latitude du téléphone, ainsi qu’un écran Google Street View.
Cependant, selon Xiao, LocationSmart n’a pas effectué les contrôles de base pour empêcher les recherches anonymes et non autorisées. Ainsi, de simples modifications de l’API du service ont permis de localiser également des téléphones qui ne donnaient pas l’autorisation.
L’échec a été prouvé par Brian Krebs de Krebs on Security. Selon lui, les tests ont montré la localisation approximative de cinq personnes. Avec la permission de chacun, Xiao a pu déterminer où ils se trouvaient. La précision allait de 90 mètres à 2,5 kilomètres.
Après la découverte de la brèche, la manifestation a été prise du haut des airs. Selon Mario Proietti, PDG de LocationSmart, le service est basé sur une utilisation légitime et autorisée des données de localisation. “Nous prenons la vie privée au sérieux et nous analyserons et examinerons tous les faits”, a-t-il déclaré.