Recevez chaque jour toute l'actualité du numérique

x

Comment les utilisateurs de Peloton pouvaient se faire géolocaliser à leur insu

Vu ailleurs La plateforme américaine Peloton est de nouveau au coeur d'un scandale. Selon les chercheurs en cybersécurité de Pen Test Partners, Peloton et son plus proche rival Echelon ne se débarrassent pas des métadonnées sur les photos des utilisateurs. Or, cette pratique expose les données de géolocalisation des sportifs à domicile. 
Twitter Facebook Linkedin Flipboard Email
×

Comment les utilisateurs de Peloton pouvaient se faire géolocaliser à leur insu
Comment les utilisateurs de Peloton pouvaient se faire géolocaliser à leur insu © Peloton

La série noire continue pour l'Américain Peloton. Après avoir rappelé ses produits phares à la suite à de nombreux incidents il y a quelques jours, c'est désormais son API qui est pointée du doigt pour son manque de sécurité. En effet, la géolocalisation des utilisateurs de la plateforme sportive serait librement exposée. 

Accéder à des données tierces 
Au début du mois, TechCrunch a révélé qu'un expert de l'entreprise spécialisée en cybersécurité Pen Test Partners a découvert qu'il pouvait faire "des demandes non authentifiées à l'API de Peloton pour obtenir des données sur les comptes d'utilisateurs" sans leur consentement. L'entreprise avait été informée de cette situation dès le 20 janvier, indique le média, sans pour autant y remédier. 

Alors que Peloton venait de confirmer avoir réparé la faille, les chercheurs de Pen Test Partners ont révélé que la faille de sécurité était finalement plus vaste qu'annoncée. En effet, le géant de l'exercice à domicile Peloton et son plus proche rival Echelon ne se débarrassaient pas entièrement des métadonnées des photos de profils de leurs utilisateurs. Or, cette situation peut mettre en péril les données de localisations de ces derniers.

Retrouver l'adresse postale des sportifs 
Ces métadonnées correspondent à des informations sur la taille, la date de création et le lieu où une photographie a été réalisée. Ces données de localisation permettent par exemple de poser des points de repère. Le problème est que les photos de profil sur ces applications peuvent aussi comporter sous forme de métadonnées l'adresse postale exacte d'une personne lorsqu'elles sont prises ou transférées depuis son domicile.

Or, les services en ligne, en particulier les réseaux sociaux, sont supposés supprimer les données de localisation des métadonnées du fichier afin que les autres utilisateurs ne puissent pas y avoir accès. Prévenu de cette faille, un porte-parole de Peloton a confirmé que les bugs avaient été corrigés la semaine dernière. 

De son côté, Echelon a corrigé sa version du bug au début du mois. Difficile de savoir pour autant quelle est l'étendue de cette faille et si des tiers malveillants ont pu dérober ces données confidentielles.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.