Il a été découvert l’année dernière qu’un courtier en données basé en Floride vendait les informations de localisation des militaires et agents du renseignement américains servant à l’étranger. Cependant, la source de ces données sensibles restait inconnue à l’époque.
Il a maintenant été révélé que ces données étaient collectées par diverses applications mobiles ayant des accords de partage de revenus avec une entreprise lituanienne de technologie publicitaire, puis revendues par une société américaine.
Le problème de la collecte des données de localisation par les applications
De nombreuses applications capturent des données de localisation. Pour certaines, c’est une nécessité évidente, comme les applications de cartographie ou de navigation. Pour d’autres, les données de localisation offrent un avantage secondaire, comme les applications caméra qui peuvent enregistrer l’endroit où une photo a été prise. L’application Camera d’Apple, par exemple, le fait pour permettre de rechercher des photos prises dans des lieux spécifiques.
Cependant, il existe également d’innombrables exemples d’applications qui collectent des données de localisation sans raison apparente. iOS oblige les applications à demander la permission pour cela, et nous avons probablement tous vu apparaître des demandes de permission sans raison évidente.
Cela est probablement dû au fait que les données de localisation sont précieuses pour les annonceurs. Les développeurs signent des accords avec des entreprises de technologie publicitaire qui permettent de cibler les annonces au niveau du pays (ou même de la ville) en échange d’une part des revenus.
Le problème réside dans le fait que de nombreux accords contiennent des termes vagues qui permettent de revendre les données de localisation. Même lorsque l’accord ne le permet pas, des entreprises malveillantes peuvent tout de même les revendre.
Des données de localisation vendues pour les militaires et services de renseignement américains
L’année dernière, il a été révélé que Datastream, une entreprise américaine, vendait des données de localisation des militaires et agents du renseignement américains. Une enquête menée par Wired et d’autres médias a désormais révélé comment ces données étaient capturées.
«L’enquête conjointe menée par WIRED, Bayerischer Rundfunk (BR) et Netzpolitik.org a analysé un échantillon gratuit de données de localisation fournies par Datastream. L’enquête a révélé que Datastream offrait un accès à des données de localisation précises provenant d’appareils appartenant probablement à des militaires et agents du renseignement américains à l’étranger, y compris dans des bases aériennes allemandes supposées abriter des armes nucléaires américaines. Datastream est un courtier en données dans l’historique des données de localisation, se procurant des données auprès d’autres fournisseurs pour les revendre ensuite aux clients […]
Les données ont probablement été collectées via des SDK (kits de développement logiciel) intégrés dans des applications mobiles par des développeurs qui intègrent volontairement des outils de suivi en échange d’accords de partage de revenus avec des courtiers en données.
À la suite de ce reportage, le bureau du sénateur Ron Wyden a exigé des réponses de la part de Datastream Group concernant son rôle dans le trafic des données de localisation du personnel militaire américain. En réponse, Datastream a identifié Eskimi comme sa source, affirmant avoir obtenu les données « légitimement auprès d’un fournisseur tiers respecté, Eskimi.com ». »
Eskimi est une entreprise lituanienne de technologie publicitaire qui affirme que les données n’étaient pas destinées à être revendues.
À ce stade, on ne sait pas quelles applications étaient à l’origine de la collecte des données, mais les enquêtes se poursuivent. Il n’est pas non plus clair si les accords signés par les développeurs autorisaient réellement la revente des données de localisation, ou s’ils étaient uniquement destinés à diffuser des annonces au sein de leurs applications.
Il n’est pas suggéré que quelqu’un ait spécifiquement cherché à capturer des données militaires, mais filtrer par les emplacements des bases militaires américaines, tant nationales qu’étrangères, serait une méthode extrêmement simple pour identifier les personnes susceptibles d’être du personnel en service.
Des entreprises de surveillance avec de meilleurs modèles économiques
Zach Edwards, analyste principal des menaces chez la société de cybersécurité Silent Push, explique qu’il s’agit là d’un exemple parmi d’autres d’un problème croissant. Il affirme que de nombreuses entreprises de technologie publicitaire vendent des données de localisation aux entreprises et aux gouvernements.
«Les entreprises de publicité sont simplement des entreprises de surveillance avec de meilleurs modèles économiques», déclare Edwards.
Ce n’est pas la première fois que des applications exposent les données de localisation de militaires en mission à l’étranger. Il existe également des exemples connus de l’achat de données de localisation par l’armée et les agences de maintien de l’ordre américaines.
- Des informations de localisation vendues par des applications pour smartphone révélant les mouvements militaires américains en Syrie
- Coordonnées et cartes numériques des bases militaires américaines à l’étranger divulguées par les données de Strava
- L’armée américaine achète des données de localisation auprès d’une application de prière musulmane, etc.
Notre analyse
Au-delà de la sensibilité des données militaires, personne n’attend de la part d’une application iPhone ou Android que ses données de localisation soient revendues, peu importe ce qui pourrait être indiqué dans les petits caractères de la politique de confidentialité.
Il est temps que des lois interdisent la vente de données personnelles sensibles.
