Les services secrets américains ont payé pour avoir accès aux données de localisation générées par une foule d'applications populaires que les utilisateurs ont installées sur leurs téléphones, a révélé un document publié récemment. Le document interne obtenu par Motherboard par le biais d'une demande au titre de la loi sur la liberté de l'information (Freedom of Information Act, FOIA) montre que l'agence fédérale a payé environ 2 millions de dollars en 2017-2018 à une entreprise appelée Babel Street pour son service nommé Locate X.
Le problème flagrant de ce contrat est qu'il permet à l'agence d’application de la loi d'acheter des informations pour lesquelles elle aurait normalement besoin d'un mandat ou d'une ordonnance du tribunal pour les obtenir. La Cour suprême a statué en 2018 que les forces de l'ordre doivent obtenir un mandat pour obtenir les données de localisation des téléphones portables d'un individu, sur la base des protections du quatrième amendement. Les enquêteurs ont, à plusieurs reprises, eu recours à cette pratique afin de recueillir des informations sur les téléphones qui se trouvent dans une certaine limite pendant une certaine période.
Cependant, alors que les forces de l'ordre peuvent obtenir un tel mandat pour des cas spécifiques lorsqu'elles cherchent à consulter ces données, le système Locate X permet aux organismes gouvernementaux d'économiser le temps d'un examen judiciaire. Selon le document publié lundi, les services secrets américains sont passés par la société controversée Babel Street pour utiliser son service Locate X, qui fournit des données de localisation récoltées et collationnées à partir d'une grande variété d'autres applications. Le document précise le type de contenu, de formation et de support à la clientèle que Babel Street doit fournir aux services secrets.
Le document publié vient confirmer pour la première fois un rapport publié en mars par Protocol, une société de média, selon lequel le service des douanes et de la protection des frontières des États-Unis avait un contrat pour l'utilisation de Locate X. Avec Locate X, une agence comme les services secrets pourrait, par exemple, créer une géo-clôture autour d'une scène de crime. Elle pourrait alors identifier les appareils mobiles qui se trouvaient dans cette zone avant le crime et voir où ces appareils se sont déplacés avant ou après l'incident, avait expliqué Protocol.
Les sources de Protocol ont également déclaré que les services secrets avaient utilisé le système Locate X dans le cadre d'une vaste opération d'écrémage de cartes de crédit. Le document couvre une relation entre les services secrets américains et la société Babel Street du 28 septembre 2017 au 27 septembre 2018. Dans le passé, les services secrets auraient utilisé un produit de surveillance des médias sociaux distinct de celui de Babel Street, et le document nouvellement publié totalise les frais payés après l'ajout de la licence Locate X, soit 1 999 394 dollars.
Toutes sortes d'applications mobiles collectent des données de localisation, de manière légitime ou non, et les vendent ensuite à des courtiers en données ou encore les partagent avec diverses autres entreprises privées. Les courtiers de données les transmettent ensuite sous une forme théoriquement anonyme, mais en pratique, elles sont facilement identifiables.
En 2018, le New York Times a démontré combien il est facile de suivre un individu tout au long de sa vie quotidienne en utilisant ne serait-ce qu’un instantané obtenu auprès d'une seule entreprise d'agrégation de données. « La base de données examinée par le Times - un échantillon d'informations recueillies en 2017 et détenues par une seule entreprise - révèle les voyages des gens avec des détails étonnants, avec une précision de quelques mètres et, dans certains cas, avec une mise à jour de plus de 14 000 fois par jour », a écrit le journal à l'époque.
L’achat des données de localisation par les agences gouvernementales n'est pas un problème nouveau
Des agences relevant du ministère de la sécurité intérieure, notamment l'Immigration et les douanes (ICE) et les douanes et la protection des frontières (CBP), ont acheté l'accès aux activités de localisation des téléphones portables pour leurs enquêtes, a rapporté le Wall Street Journal en février. En juin, le WSJ a également rapporté que l'IRS a acheté l'accès aux données de localisation par le biais de bases de données commerciales. Un ancien employé de Babel Street a réitéré à Protocol en mars que les services secrets et l'ICE utilisaient la technologie de localisation.
Dans un nouveau rapport publié plus tôt ce mois, le WSJ a indiqué qu'un sous-traitant du gouvernement américain, Anomaly Six LLC, a intégré un kit logiciel propriétaire dans plus de 500 applications, pour suivre des millions de personnes dans le monde. Selon le WSJ, les développeurs d'applications permettent aux entreprises de payer pour installer le logiciel sur leurs applications afin de suivre les clients. Les traceurs collectent ensuite des données anonymisées des téléphones et Anomaly Six agrège ces données et les vend au gouvernement américain. Tout ceci à l’insu des utilisateurs à qui les développeurs d'applications n'ont pas besoin de divulguer le traceur Anomaly Six.
Étant donné qu'Anomaly Six ne divulgue pas son logiciel de suivi gouvernemental, il n'y a aucun moyen de se désinscrire. En somme, une fois qu’une de ses applications avec traceur est installée sur un smartphone, l’utilisateur ne peut rien entreprendre contre la collecte de ses habitudes qui sont ensuite vendues au gouvernement. Toutefois, la société a nié avoir fourni les données au gouvernement américain. Pour rappel, Anomaly Six a été fondée par Jeffrey Heinz et Brandan Huff, des vétérans de l'armée qui ont quitté Babel Street, en 2018. Huff, un ancien officier de contre-espionnage, a géré les contrats de Babel Street avec le département de la Défense, tandis que Heinz a supervisé le US Cyber Command, selon le rapport du WSJ.
Suite aux manifestations de Black Lives Matter du week-end du 29 mai, Mobilewalla, une société de données, a publié un rapport détaillant la répartition par race, âge et sexe des personnes ayant participé à des manifestations dans les villes d’Atlanta, Los Angeles, Minneapolis ou New York. Ce qui est particulièrement dérangeant, c'est que les manifestants n'avaient probablement aucune idée que l'entreprise de technologie utilisait des données de localisation collectées sur leurs appareils.
Mobilewalla a «observé» un total de 16 902 appareils (1 866 à Atlanta, 4 527 à Los Angeles, 2 357 à Minneapolis et 8 152 à New York). Comme l'a expliqué BuzzFeed News (qui a publié un article sur le rapport), Mobilewalla achète des données auprès de sources telles que des annonceurs, des courtiers en données et des FAI. Il utilise l'IA pour prédire les données démographiques d'une personne (race, âge, sexe, code postal, etc.) en fonction des données de localisation, des identifiants d'appareils et de l'historique de navigation.
Le document des services secrets est publié peu de temps après que le président Donald Trump ait signé un décret interdisant à la société mère de TikTok, ByteDance, et à WeChat de Tencent, de faire des affaires avec les entreprises américaines. L'administration a fait valoir que ByteDance et Tencent, toutes deux basées en Chine, siphonnaient les données des utilisateurs d'une manière sans précédent, et que le gouvernement chinois pouvait trop facilement utiliser ces informations pour espionner les utilisateurs du monde entier.
Les applications mobiles ne sont pas les seules à collecter et à vendre ces informations. Les quatre opérateurs américains de téléphonie mobile - Verizon, AT&T, et les désormais combinés Sprint et T-Mobile - ont été pris en train de vendre des données de localisation de clients sans leur consentement en 2018 et 2019. La FCC a annoncé à l’époque que ces opérateurs risquaient des amendes allant de 12 à 91 millions de dollars chacun pour avoir vendu les données de localisation en temps réel à des courtiers en données tiers sans le consentement des clients.
Il n'existe actuellement aucune règle empêchant les forces de l'ordre d'acheter simplement les informations qu'elles souhaitent sur le marché existant. Le sénateur Ron Wyden, et démocrate de l'Oregon, a déclaré à Motherboard qu'il n'avait pas réussi à obtenir de Babel Street qu'il lui dise « d'où viennent leurs données, à qui ils les vendent, et s'ils respectent les options opt-out des appareils mobiles ». « Il est clair que plusieurs agences fédérales se sont tournées vers l'achat de données des Américains pour contourner les droits du quatrième amendement », a-t-il déclaré. Wyden a ajouté que son projet de loi sur la protection de la vie privée, annoncé précédemment, empêcherait les agences fédérales d'acheter ce type de données sur le marché libre.
Selon un commentateur, si ces données de localisation sont disponibles dans le commerce, elles n'ont pas besoin de mandat. « Si nous voulons protéger la vie privée, nous devons non seulement combler cette lacune, mais aussi établir des règles strictes sur la manière dont les entreprises peuvent collecter, conserver et monétiser nos données », a-t-il écrit.
« Il faudrait peut-être inverser la règle initiale qui permettait aux entreprises tierces d'avoir des droits sur les données qu'elles collectaient auprès des particuliers. Il devrait être absolument illégal et criminel pour toute entreprise de vendre ou d'utiliser vos données personnelles pour quelque raison que ce soit sans contrat spécifique pour ces données et leur utilisation », a renchéri un autre. Et vous, qu’en pensez-vous ?
Source : Document publié, Protocol
Et vous ?
Que pensez-vous de cette pratique qui consiste pour les agences d’application de la loi d’acheter les données de localisation sur le marché ?
Existe-t-il encore une vie privée pour les utilisateurs de smartphones ?
Voir aussi :
Les agences fédérales américaines utiliseraient les données de localisation des téléphones portables pour l'application des lois sur l'immigration, selon un nouveau rapport
USA : un sénateur présente un projet de loi qui prévoit d'envoyer en prison des PDG, pour avoir porté atteinte à la vie privée des consommateurs
Un sous-traitant du gouvernement américain aurait intégré du code de pistage dans plus de 500 applications, pour pister des centaines de millions de personnes
Les dirigeants des entreprises de technologie qui mentent au sujet de violations de vie privée risquent 20 ans de prison, en vertu d'un nouveau projet de loi du Sénat
Les services secrets ont payé pour obtenir sans mandat les données de localisation des Américains,
Selon des documents
Les services secrets ont payé pour obtenir sans mandat les données de localisation des Américains,
Selon des documents
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !