Une faille dans LocationSmart permettait de suivre tous les smartphones en temps réel

Le site KrebsonSecurity déclare que la version d’essai gratuite d’un outil disponible sur le site de LocationSmart aurait permis à quiconque de localiser n’importe quel smartphone en temps réel, sans avoir besoin d’un mot de passe ou du moindre identifiant. LocationSmart est un service capable d’identifier avec précision l’emplacement GPS des smartphones de la plupart des opérateurs américains, et la firme ne travaille normalement que pour les forces de l’ordre ou tout autre organisme compétent.  

La faille résidait donc dans un outil gratuit disponible sur le site. Celui-ci servait à démontrer les capacités de la compagnie aux clients potentiels. Il suffisait, pour l’essayer, de saisir un nom, une adresse email et un numéro de téléphone. Le service se chargeait ensuite de demander une autorisation de localisation par SMS à l’appareil, puis de contacter l’antenne-relais la plus proche de votre appareil pour obtenir les coordonnées géographiques. Robert Xiao, chercheur en sécurité à l’Université Carnegie Mellon, a très vite trouvé une faille dans le système d’authentification. Il affirme ainsi qu’il a pu suivre les mouvements d’un(e) de ses ami(e)s en vérifiant les coordonnées géographiques d’un téléphone plusieurs fois par minute sur LocationSmart, et en reportant celles-ci sur Google Maps.

LocationSmart a immédiatement mis son outil hors-ligne après la révélation de la faille, mais le mal est (encore une fois) fait. Les consommateurs étasuniens (et dans de nombreux pays dans le monde) commencent à réaliser qu’ils n’ont aucune idée de qui a accès à leurs données.

>> À lire : Ce site est capable de découvrir votre véritable identité en quinze questions
>> Plus : Facebook : ce bon vieux temps où « tous les moyens étaient bons pour engranger des utilisateurs «