La géolocalisation était autrefois un moyen glorieux de savoir avec qui votre entreprise traite (et parfois ce qu’elle fait). Ensuite, les VPN ont commencé à saper cela. Et maintenant, les choses se sont tellement détériorées que l’App Store d’Apple et Google Play proposent tous deux des applications qui déclarent sans vergogne qu’elles peuvent usurper des emplacements – et aucun des fournisseurs de systèmes d’exploitation mobiles ne fait quoi que ce soit pour l’arrêter.

Pourquoi? Il semble qu’Apple et Google aient créé les trous que ces développeurs utilisent.

En un mot, Apple et Google – pour tester leurs applications dans différentes zones géographiques – devaient être en mesure de faire croire au système que leurs développeurs sont là où ils voulaient dire qu’ils se trouvaient. Que du bon pour l’oie mobile, comme on dit.

Les services de livraison de nourriture utilisent la géolocalisation pour suivre les livreurs et voir s’ils ont bien livré à l’adresse d’un client. Les banques utilisent l’emplacement pour voir si un demandeur de compte bancaire est vraiment là où le demandeur prétend – ou pour voir si plusieurs fausses demandes proviennent de la même zone. Et AirBNB utilise la géolocalisation pour essayer de détecter les fausses listes et les fausses critiques, selon André Ferraz, PDG de la société de sécurité de localisation mobile Incognia.

« Pour les fraudeurs, en plus d’exploiter le mode développeur pour modifier les coordonnées GPS, de nombreux autres outils permettent l’usurpation d’emplacement, à la fois pour la géolocalisation basée sur IP et la géolocalisation basée sur GPS », a déclaré Ferraz. , tunnelisation. Pour le GPS, les plus accessibles sont les fausses applications GPS. Pourtant, il existe également des outils de falsification et d’instrumentation, des appareils rootés ou jailbreakés, des émulateurs, la falsification des données de localisation en mouvement et bien d’autres.

Ferraz a malheureusement raison. Quelle que soit l’une de ces nombreuses options qu’un fraudeur choisit d’utiliser, l’essentiel est que le service informatique ne peut tout simplement plus faire confiance à la géolocalisation pour la plupart des choses. Il existe certaines applications où le risque de dommages significatifs dus à la fraude de localisation est si faible qu’il est probablement bon d’utiliser la localisation – par exemple, une application de jeu où quelqu’un prétend être à Central Park alors qu’il ne l’est pas. S’ils n’obtiennent que des points ou l’accès à un plaisir visuel spécial, c’est probablement inoffensif.

La confiance, ici, est le maître mot. Si votre entreprise a besoin de faire confiance aux données de localisation, une alternative est nécessaire.

Cette fraude de localisation peut-elle être détectée ? Cela devient délicat. Certaines méthodes frauduleuses peuvent être détectées, mais pas toutes — et certainement pas tout le temps. Plus important encore, la simple détection d’une anomalie de géolocalisation ne devrait pas à elle seule déterminer positivement la fraude.

Le VPN en est un merveilleux exemple. De nombreux utilisateurs se sont tellement habitués à surfer sur Internet en mode VPN qu’ils le font tout le temps. Cela signifie qu’ils peuvent même ne pas y penser lorsqu’ils essaient, par exemple, d’ouvrir un compte bancaire. Au lieu d’assumer la fraude et de bloquer l’accès et de refuser l’application, les banques pourraient proposer un simple avertissement contextuel : « Il semble que vous utilisez un VPN. Bien que nous applaudissions votre intention de sécurité et de confidentialité, ce qui semble être un VPN interfère avec notre détection de localisation. Veuillez désactiver votre VPN, fermer votre navigateur, relancer votre navigateur et revenir.

Le problème avec la détection des usurpations est que certaines entreprises réagiront de manière excessive et supposeront une fraude intentionnelle. Ce n’est pas aussi simple.

Ferraz choisit de ne pas blâmer ni Google ni Apple, car ils ont vraiment besoin d’imiter les emplacements à travers le monde.

« Cette fonctionnalité permettant aux développeurs de tester leurs applications comme si elles étaient ailleurs a été délibérément conçue par les fournisseurs d’OS, Android et iOS. Par conséquent, il ne s’agit pas d’une faille de sécurité du système d’exploitation. Sinon, les développeurs ne pourraient pas travailler à distance, par exemple, car ils devraient se rendre en personne dans des endroits où l’application offre un service basé sur la localisation à des fins de test », a déclaré Ferraz. « Le système d’exploitation fournit même des API permettant aux développeurs d’identifier si l’appareil est en mode développeur et a activé l’outil qui leur permet de modifier les coordonnées GPS. Malheureusement, de nombreux développeurs n’utilisent pas cela et d’autres signaux d’appareils pour identifier l’usurpation d’emplacement. »

Ferraz cite le service de livraison de nourriture comme un exemple classique de la façon dont certaines entreprises essaient d’utiliser le suivi de localisation – mais peuvent se brûler. Il existe plusieurs façons pour les fraudeurs d’essayer d’arnaquer les services de livraison de nourriture ; certains accepteront une livraison et n’iront tout simplement nulle part. Au lieu de cela, ils font croire au système de livraison de nourriture qu’ils ont récupéré la commande et l’ont ensuite livrée.

Le problème avec certains de ces services est qu’ils paient instantanément une fois que le système pense que la nourriture a été livrée. S’ils choisissaient d’attendre, disons une heure environ, ils pourraient éviter la fraude. Cette heure laisse suffisamment de temps au client pour téléphoner et se plaindre que la nourriture n’a jamais été livrée. (Parfois, l’entreprise de livraison de nourriture « vérifie » si la nourriture a été livrée en consultant le suivi de géolocalisation. Oups ! Ils ne livrent pas et peut traiter un client de menteur.)

Parfois, la fraude à la livraison de nourriture n’est pas une question d’argent, mais de nourriture elle-même. Ferraz a déclaré que certains chauffeurs prendraient en fait la commande et la mangeraient eux-mêmes – tout en incitant l’application à «voir» le chauffeur livrer au client.

Cela soulève la question de savoir ce que le service informatique devrait faire face à ce problème. Il y a une grande différence entre « ne pas utiliser la géolocalisation » et « ne pas confiance géolocalisation. C’est similaire à la façon dont un journaliste traite une source peu fiable ; tu n’as pas forcément ignorer ce qu’ils disent, mais vous triple vérifier tout.

Prenez l’authentification de la cybersécurité, par exemple. Si vous faites tout correctement, en particulier dans un environnement de confiance zéro, vous comptez probablement sur des dizaines de points de données ou plus. Dans ce scénario, il est bon d’utiliser des données de géolocalisation. Après tout, la plupart de ces données sont probablement correctes. Tout comme dans l’exemple de la banque, ne rejetez pas quelqu’un uniquement sur la base d’un emplacement incompatible. Mais il est parfaitement approprié d’utiliser toute inadéquation pour déclencher d’autres questions.

Il n’y a aucune raison pour que vous ne puissiez pas avoir des processus différents ; dans certains cas, on se fie à la précision de la géolocalisation ; dans d’autres, c’est simplement complémentaire ; dans d’autres encore, cela n’a pas beaucoup d’importance (peut-être des jeux). Bref, utilisez la géolocalisation mais ne pensez même plus à vous y fier.