GPS familial sécurisé : comment ça marche et comment bien choisir

Comprendre la différence entre un suivi GPS « sécurisé » en façade et un système réellement chiffré, et apprendre à reconnaître une solution qui protège vraiment les données de votre famille.

Qu'est-ce qu'un GPS familial sécurisé ?

Un GPS familial sécurisé est une application mobile qui permet aux membres d'une même famille de partager leur position en temps réel, en garantissant que personne d'autre que les membres autorisés ne peut lire les coordonnées. Le mot-clé est « sécurisé » : pas une vague promesse marketing, mais une chaîne technique précise allant de la capture de la position sur le téléphone à sa lecture sur le téléphone d'un proche.

En pratique, cela exige plusieurs garanties cumulatives : chiffrement du contenu, hébergement maîtrisé, modèle économique sans revente de données, et minimisation des permissions Android demandées. Quand l'une de ces briques manque, le suivi GPS devient une vulnérabilité plutôt qu'une protection.

Comment fonctionne techniquement un GPS familial

1. Capture de la position sur le téléphone

Android expose les positions via le FusedLocationProvider (Google Play Services) ou le LocationManager natif. La précision dépend des capteurs disponibles : GPS satellitaire (10 à 30 m en extérieur), Wi-Fi (positionnement par BSSID, environ 30 à 100 m), et antennes mobiles (cellules, 100 à 1000 m). Une bonne implémentation combine ces sources et adapte la fréquence : GPS coupé en mode immobile, échantillonnage 1 Hz en véhicule.

2. Chiffrement avant l'envoi

C'est l'étape déterminante. Une application réellement sécurisée chiffre la position sur l'appareil émetteur, avec une clé que le serveur ne possède pas. Les algorithmes recommandés sont AES-256-GCM (chiffrement symétrique authentifié) ou ChaCha20-Poly1305. La clé partagée entre les membres de la famille est dérivée d'un échange Diffie-Hellman sur courbe elliptique (X25519 ou équivalent) lors de l'appairage initial, idéalement par QR code en local.

3. Transit jusqu'au serveur

Le message chiffré transite via WebSocket ou HTTPS. Le HTTPS seul ne suffit pas : il protège uniquement le tuyau, pas le contenu une fois arrivé. Si le chiffrement de bout en bout n'est pas en place, le serveur déchiffre et stocke les coordonnées en clair, exposant les données à toute fuite, employé malveillant ou réquisition.

4. Stockage côté serveur (zero-knowledge)

Une architecture zero-knowledge stocke uniquement le ciphertext. Le serveur ne connaît ni la clé, ni les coordonnées, ni les habitudes des utilisateurs. Il sert de simple relais et de buffer offline (pour les cas où un proche est temporairement déconnecté). La base de données peut être chiffrée elle-même au repos avec un système comme SQLCipher ou un volume chiffré côté hébergeur.

5. Déchiffrement chez le destinataire

Le téléphone du proche reçoit le message, déchiffre avec la clé partagée et affiche la position sur la carte. La clé n'a jamais quitté les téléphones : même en cas de compromission complète du serveur, l'attaquant ne récupère que des octets aléatoires.

Les risques d'un GPS familial non sécurisé

Une grande partie des applications de localisation grand public ne sont pas chiffrées de bout en bout. Elles utilisent simplement HTTPS et stockent les positions en clair sur leurs serveurs. Voici concrètement ce que cela peut entraîner :

• Fuite de données : une intrusion sur le serveur expose en une seule attaque l'historique GPS de millions de familles. Plusieurs incidents documentés ces dernières années ont concerné des applications de tracking.
• Profilage publicitaire : même sans intrusion, l'éditeur peut analyser les positions pour vendre du « data enrichment » à des annonceurs ou des courtiers de données.
• Exploitation par des tiers : lieux fréquentés, horaires d'absence (pratique pour un cambriolage), trajets quotidiens (pratique pour du stalking).
• Réquisitions légales abusives : dans certaines juridictions, l'éditeur peut être contraint de fournir les données sans contrôle judiciaire indépendant.
• Mineurs particulièrement exposés : un enfant qui utilise quotidiennement une application non chiffrée laisse une trace persistante de ses lieux de vie.

8 critères pour choisir un GPS familial réellement sécurisé

1. Chiffrement de bout en bout documenté avec algorithme nommé (AES-256-GCM ou équivalent moderne).
2. Échange de clés par courbe elliptique (X25519 ou similaire), pas de clé partagée stockée côté serveur.
3. Architecture zero-knowledge explicitement décrite par l'éditeur.
4. Hébergement en Europe ou en Suisse, soumis au RGPD ou à un cadre équivalent.
5. Aucune publicité, aucun tracker tiers. Vérifiez avec un outil comme Exodus Privacy.
6. Permissions Android minimales : localisation oui, mais pas de microphone, ni de SMS, ni de contacts.
7. Open source ou audit indépendant publié, ou à défaut documentation technique détaillée et accessible.
8. Modèle économique transparent : prix clair, sans publicité cachée, résiliation libre.

L'approche de Sentinel Family

Sentinel Family applique tous les critères ci-dessus :

• Chiffrement AES-256-GCM avec nonce 12 octets, clés dérivées via HKDF-SHA256
• Échange de clés X25519 (ECDH) au moment de l'appairage par QR code, en local entre les deux téléphones
• Serveur de relais en zero-knowledge : il ne voit que des octets chiffrés, sert de buffer 48 heures pour les destinataires hors ligne
• Hébergeur français, serveur en Suisse
• Stockage local sur le téléphone via SQLCipher (chiffrement de la base de données)
• Permissions Android minimales : localisation, localisation en arrière-plan, et notifications. Rien d'autre.
• Aucune publicité, aucun tracker, aucune analyse comportementale
• Code documenté : la page Sécurité technique détaille l'ensemble de l'architecture

Questions fréquentes

À lire aussi : Application de localisation familiale : le guide complet · Sécurité technique de Sentinel Family · Politique de confidentialité · Retour à l'accueil.