Le service, fermé après la découverte de la faille, n'était pas suffisamment protégé, ce qui permettait à toute personne sachant bidouiller le code d'y avoir accès.
Connaître la géolocalisation d'autrui : malgré les garde-fous, le pistage était possible
La révélation, faite par le New York Times a eu un écho considérable aux États-Unis. Au centre du scandale, la société LocationSmart, dont le site permet de pister les téléphones portables et d'obtenir leurs coordonnées assez précises sur une carte Google Maps, en temps réel en plus. Pensé d'abord pour les entreprises qui souhaitent connaître en temps réel la géolocalisation de leurs salariés (coursiers, dépanneurs, services de secours...) et pour les parents qui veulent savoir où se trouvent leurs enfants, LocationSmart a finalement révélé, malgré lui, ces informations sensibles à toute personne intéressée.Pister en temps réel une tierce personne sans son autorisation n'étant pas légal, LocationSmart avait bien sûr des garde-fous. Il fallait soit savoir prouver, par des documents, le bien-fondé de sa motivation, soit se limiter à expérimenter avec son propre téléphone portable uniquement. Dans ce deuxième cas, le site envoyait un SMS sur le numéro de téléphone renseigné, sa saisie valait accord pour être pisté par le compte LocationSmart correspondant. Sauf que, comme l'ont découvert les spécialistes en sécurité informatique de chez Krebson Security, manipuler un peu le code suffisait à faire de même avec n'importe quel autre numéro de téléphone.
LocationSmart existe depuis au moins 2017
Alerté sur l'existence du problème, LocationSmart a fermé aussitôt son service. Mais les agissements de cette société ne s'arrêtaient pas là, puisque les données de géolocalisation étaient également vendues à une autre société, Securus. Securus revendait ces informations, achetées effectivement auprès de LocationSmart, à des clients dans le gouvernement américain. Cela, alors même que la loi interdit cette pratique : les différentes agences publiques (police, FBI...) peuvent uniquement obtenir ces informations auprès des opérateurs de téléphonie mobile directement.Le service LocationSmart existait vraisemblablement depuis au moins janvier 2017, comme l'atteste cette copie sur le site Archive.org. Mais il est possible que sa technologie ait été utilisée dès 2011, la société travaillant sous un autre nom à l'époque.