Comment les utilisateurs de Peloton pouvaient se faire géolocaliser à leur insu

La plateforme américaine Peloton est de nouveau au coeur d'un scandale. Selon les chercheurs en cybersécurité de Pen Test Partners, Peloton et son plus proche rival Echelon ne se débarrassent pas des métadonnées sur les photos des utilisateurs. Or, cette pratique expose les données de géolocalisation des sportifs à domicile. 

Partager
Comment les utilisateurs de Peloton pouvaient se faire géolocaliser à leur insu

La série noire continue pour l'Américain Peloton. Après avoir rappelé ses produits phares à la suite à de nombreux incidents il y a quelques jours, c'est désormais son API qui est pointée du doigt pour son manque de sécurité. En effet, la géolocalisation des utilisateurs de la plateforme sportive serait librement exposée.

Accéder à des données tierces
Au début du mois, TechCrunch a révélé qu'un expert de l'entreprise spécialisée en cybersécurité Pen Test Partners a découvert qu'il pouvait faire "des demandes non authentifiées à l'API de Peloton pour obtenir des données sur les comptes d'utilisateurs" sans leur consentement. L'entreprise avait été informée de cette situation dès le 20 janvier, indique le média, sans pour autant y remédier.

Alors que Peloton venait de confirmer avoir réparé la faille, les chercheurs de Pen Test Partners ont révélé que la faille de sécurité était finalement plus vaste qu'annoncée. En effet, le géant de l'exercice à domicile Peloton et son plus proche rival Echelon ne se débarrassaient pas entièrement des métadonnées des photos de profils de leurs utilisateurs. Or, cette situation peut mettre en péril les données de localisations de ces derniers.

Retrouver l'adresse postale des sportifs
Ces métadonnées correspondent à des informations sur la taille, la date de création et le lieu où une photographie a été réalisée. Ces données de localisation permettent par exemple de poser des points de repère. Le problème est que les photos de profil sur ces applications peuvent aussi comporter sous forme de métadonnées l'adresse postale exacte d'une personne lorsqu'elles sont prises ou transférées depuis son domicile.

Or, les services en ligne, en particulier les réseaux sociaux, sont supposés supprimer les données de localisation des métadonnées du fichier afin que les autres utilisateurs ne puissent pas y avoir accès. Prévenu de cette faille, un porte-parole de Peloton a confirmé que les bugs avaient été corrigés la semaine dernière.

De son côté, Echelon a corrigé sa version du bug au début du mois. Difficile de savoir pour autant quelle est l'étendue de cette faille et si des tiers malveillants ont pu dérober ces données confidentielles.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS