Life360 est un des plus gros pourvoyeurs de données de localisation pour le secteur des data brokers, ces « courtiers de données » qui revendent ensuite ces informations aux plus offrants, révèle TheMarkUp. Une enquête qui risque bien d'embarrasser Tile : le fabricant des traqueurs pour objets perdus est en effet en phase d'acquisition par la plateforme…

Life360, qui compte 33 millions d'utilisateurs, fournit des outils pour suivre ses proches et sa famille (avec leur consentement). Les services de base sont gratuits, mais il faut rapidement passer à la caisse et souscrire un abonnement pour aller plus loin. « Nous voyons les données comme une part importante de notre activité », explique Chris Hulls, fondateur et CEO de l'entreprise. « Cela nous permet de proposer des services gratuits à la majorité de nos utilisateurs, notamment des fonctions qui améliorent la sécurité sur la route et qui sauvent de nombreuses vies ».

Un business extrêmement profitable : en 2016, Life360 engrangeait de la vente de données 693.000 $. Quatre ans plus tard, la somme est devenue 16 millions de dollars, soit 20% de son chiffre d'affaires annuel. De quoi aiguiser bien des appétits…

Parmi les courtiers clients de Life360, on trouve X-Mode, qui a fait les gros titres il y a un an : Apple et Google avaient en effet demandé aux développeurs de retirer de leurs applications le SDK du data broker. La boîte noire cherchait par exemple à collecter des données de localisation d'utilisateurs d'apps de rencontres communautaires ou de prières musulmanes (lire : Données de localisation : les développeurs doivent retirer de leurs apps le SDK de X-Mode).

La politique d'exploitation des données de Life360 interdit depuis l'an dernier la revente de ses informations à des organismes gouvernementaux dans les cas d'application de la loi. Si l'entreprise peut « partager [les] données avec des tierces parties », ces dernières ne permettent pas de « vous identifier directement ». Life360 retire les informations d'identification les plus évidentes, mais des chercheurs en sécurité ont déjà eu l'occasion de déplorer qu'en général, il en reste toujours suffisamment pour déterminer avec une certaine précision qui est l'utilisateur.

Life360 se défend en expliquant interdire à ses clients de « ré-identifier » des individus. Néanmoins, TheMarkUp indique que certains clients reçoivent des données de localisation brutes, ce qui doit certainement tenter le diable puisque c'est le client qui décide quoi faire de ces informations.

Life360 collecte les données de localisation de ses utilisateurs directement dans son application, puis fournit ces informations aux courtiers depuis ses propres serveurs. Ni Apple, ni Google n'ont la possibilité de détecter ces transferts de données. Chris Hulls tente de rassurer en expliquant que ce fonctionnement n'a pas été mis en place pour contourner les méthodes de détection des boutiques ou des chercheurs.

Cela remonte en fait aux débuts du service, en 2008, avec le développement d'une technologie propriétaire qui évite aux apps de Life360 d'exploiter des SDK de régies pub. Interrogé, Apple a pointé vers la politique d'utilisation des données de Life360, sans en dire plus pour le moment. Chou blanc aussi chez Google. Il est toujours possible de désactiver le partage des données dans les réglages de confidentialité : Life360 assure que des millions d'utilisateurs l'ont fait.