Les applications mobiles vendent vos informations privées, et le gouvernement les achète

Source : Washington Post, 9 février 2020

Traduction : lecridespeuples.fr

Les habitants des Etats-Unis (et d’ailleurs) ont récemment appris que les applications qu’ils utilisent pour vérifier s’ils ont besoin d’un parapluie, suivre leur équipe sportive préférée ou lancer un Pokémon contre un autre pour gagner des points pompent leurs données de localisation et les vendent. Aujourd’hui, il s’avère que ce ne sont pas seulement les agences de publicité et autres entités privées qui achètent ces informations en masse à des courtiers. Le gouvernement américain le fait aussi [et il n’est certainement pas le seul].

Le Wall Street Journal a révélé la semaine dernière que les agences fédérales ont acheté l’accès à un trésor virtuel qui retrace les mouvements de millions de téléphones portables de citoyens auprès d’une société appelée Venntel. Le Département de la sécurité intérieure (DHS) et ses instances auraient exploité ces données pour l’application de la loi en matière d’immigration, à savoir la recherche d’activités dans des endroits inattendus pour localiser les réseaux clandestins de passeurs ou la détection d’individus qui auraient pu entrer illégalement dans le pays.

Les dossiers de dépenses indiquent que la Drug Enforcement Administration, chargée de la lutte contre le trafic de drogue, a payé 25 000 dollars à Venntel en 2018. Suite à notre requête, le ministère de la Justice nous a répondu que la DEA ne « commentait pas les questions contractuelles ».

.@J_Rodrigues_Off est empêché d'accéder à la place Vendôme. Il demande pourquoi. Pas de réponse de la police. Un jeu du chat et de la souris commence #acte65 #GiletsJaunes pic.twitter.com/OyH4EEzfWK

— Jonathan Moadab (@MoadabJ) February 8, 2020

J'ai rarement vu autant de forces de l'ordre pour maîtriser un seul homme. #Acte65 #GiletsJaunes pic.twitter.com/5rMOMUDEsi

— Rachid Lamor (@lamor_rachid) February 8, 2020

Soyons rassurés, notre gouvernement ne traquerait pas ses citoyens sans raison valable (pour les empêcher de manifester par exemple) #JeromeRodrigues

Les douanes et la police des frontières indiquent qu’elles n’accèdent qu’à de petites quantités de données au cas par cas plutôt que d’examiner l’intégralité du cache en bloc, et que les données sont anonymisées. Mais l’anonymat est un concept risible lorsque la journée de chaque individu peut être transformée en un point itinérant qui suit un chemin précis qu’eux seuls empruntent. Une enquête du New York Times en 2018 a révélé à quel point il est simple de connecter un point à la personne qu’il représente, qu’il s’agisse d’un scientifique du Jet Propulsion Laboratory de la NASA ou d’une mère sans papiers récemment arrivée du Mexique.

Les autorités peuvent espérer anticiper certaines inquiétudes concernant les libertés civiles en alléguant qu’elles ne se concentrent que sur des non-citoyens présumés, mais lorsque des informations sont réquisitionnées dans des quantités aussi massives, il est impossible d’éviter de prendre dans les mailles du filet des citoyens qui n’ont a priori rien à se reprocher. Il est également impossible de ne pas imaginer quoi d’autre et qui d’autre les fonctionnaires pourraient chercher à suivre, une fois qu’ils auront trouvé la justification légale pour le faire. Les Américains ne devraient pas avoir à compter sur les bonnes grâces de la bureaucratie pour les protéger contre les excès.

Dans ce cas, la justification d’une surveillance sans mandat contourne la loi du quatrième amendement (qui protège tout citoyen contre des perquisitions et saisies non motivées et requiert un mandat et une sérieuse justification pour ce faire), ou tente de le faire. La Cour suprême a statué dans l’affaire Carpenter vs. États-Unis que le gouvernement ne pouvait pas réquisitionner des données géographiques directement à des sociétés de téléphonie mobile sans passer par les tribunaux, précisément en raison de la « profondeur, de l’étendue et de la portée exhaustive » de ces données. Le gouvernement a donc commencé à acheter exactement les mêmes données à des courtiers sur le marché, faisant valoir que les achats étaient justes car n’importe quelle entreprise pouvait les faire.

Cette stratégie est terriblement cynique. Le Congrès n’a pas réussi à adopter une loi complète sur la confidentialité qui empêche les gens d’avoir chacun de leurs mouvements enregistrés dans une base de données telle que celle en question aujourd’hui. Maintenant, ce manque de respect de l’intimité des citoyens par les acteurs commerciaux est devenu une excuse pour que le gouvernement contourne le droit à la vie privée que la Constitution est censée consacrer même face à l’État. Le DHS insiste sur le fait que c’est légal. Mais est-ce normal ?

***

Sources : TechCrunch & AndroidCentral, le 7 février 2020

Traduction : lecridespeuples.fr

L’Union américaine pour les libertés civiles (ACLU) est résolue à lutter contre les pratiques récemment révélées par le Département de la Sécurité Intérieure (DHS), qui a utilisé des données de localisation de téléphones portables, accessibles auprès d’entreprises privées, afin de traquer des immigrants illégaux présumés.

« Le DHS ne devrait pas accéder à nos informations de localisation sans mandat, qu’il les obtienne en payant ou gratuitement. Le fait de ne pas obtenir de mandat sape l’arrêt de la Cour suprême établissant que le gouvernement doit démontrer à un juge qu’il a des raisons valables de soupçonner un méfait avant d’obtenir certaines de nos informations les plus sensibles, en particulier notre historique de localisation de téléphone portable », a déclaré Nathan Freed Wessler, avocat au sein du Projet sur la vie privée et la technologie de l’ACLU.

Plus tôt dans la journée, le Wall Street Journal a rapporté que la sécurité intérieure, par le biais de ses agences d’immigration et de douane et de la police des frontières, achetait des données de géolocalisation à des entités commerciales pour enquêter sur les suspects de violations présumées des lois sur l’immigration.

Les données de localisation, que les agrégateurs acquièrent à partir des applications de téléphonie mobile, y compris les jeux, la météo, les achats et les services de recherche, sont utilisées par la sécurité intérieure pour détecter les immigrants sans papiers et autres personnes entrant illégalement aux États-Unis, a rapporté le Wall Street Journal.

Selon des experts de la vie privée, parce que les données sont accessibles au public, les pratiques gouvernementales ne semblent pas enfreindre la loi, bien qu’il s’agisse de la plus grande opération jamais menée par le gouvernement américain à l’aide des données agrégées sur ses ressortissants.

C’est aussi un exemple de la façon dont l’appareil de surveillance commerciale mis en place par des sociétés privées dans les sociétés démocratiques peut être légalement accessible par les agences d’État pour créer le même type de réseaux de surveillance utilisés dans des pays plus autoritaires comme la Chine, l’Inde et la Russie [lol].

« Il s’agit d’une situation classique où la surveillance commerciale rampante dans le secteur privé nourrit directement le gouvernement », a déclaré Alan Butler, avocat de l’Electronic Privacy Information Center, un groupe de réflexion qui préconise des lois plus strictes en matière de confidentialité.

Derrière l’utilisation par le gouvernement des données commerciales se trouve une société appelée Venntel. Basée à Herndon, en Virginie, la société agit en tant qu’entrepreneur gouvernemental et partage un certain nombre de ses cadres avec Gravy Analytics, une société d’analyse marketing de publicité mobile. Au total, les services étatiques de l’immigration, des douanes et des frontières ont dépensé près de 1,3 million de dollars en licences pour des logiciels pouvant fournir des données de localisation pour les téléphones portables. La sécurité intérieure affirme que ces données, disponibles dans le commerce, sont utilisées pour générer des pistes sur le passage des frontières et la détection et l’arrestation des trafiquants d’êtres humains.

Wessler, avocat de l’ACLU, a déjà gagné ce genre d’affaire dans le passé. Il a soutenu avec succès devant la Cour suprême, dans l’affaire Carpenter vs. États-Unis, que les données de localisation géographique à partir des téléphones portables étaient une classe protégée d’informations et ne pouvaient pas être obtenues par les forces de l’ordre sans mandat.

La police des frontières exclut explicitement les données des tours de téléphonie cellulaire des informations qu’elle recueille auprès de Venntel, selon ce qu’un porte-parole de la Sécurité Intérieure a déclaré, en partie parce que la loi l’exige. L’agence gouvernementale a également déclaré qu’elle n’accède qu’à des données de localisation limitées, et que les données sont anonymisées.

Cependant, des données anonymisées peuvent être liées à des individus spécifiques en corrélant ces informations de téléphone portable anonymes avec les mouvements réels d’individus spécifiques, qui peuvent être facilement déduits ou suivis à travers d’autres types de documents publics et de réseaux sociaux accessibles au public.

Dans un cas, les données ont été utilisées pour détecter des passeurs de drogues, en particulier leurs téléphones portables, alors qu’ils se déplaçaient dans un tunnel sous la frontière américaine avec le Mexique, qui aboutissait à un KFC abandonné en Arizona.

Le suivi des données a contribué à l’arrestation en 2018 du propriétaire du restaurant fermé, Ivan Lopez, pour des accusations de complot liées à la construction du tunnel. Mais les dossiers de police relatant l’incident ne font aucune mention de l’utilisation de données montrant des téléphones portables traversant la frontière dans un endroit inhabituel, mais attribuent l’arrestation à un contrôle de circulation de routine.

La référence à un simple contrôle de circulation pourrait bien indiquer le fait que le DHS n’était pas disposé à permettre aux législateurs de savoir comment il aurait pu obtenir ces informations. Le rapport note qu’une décision de justice de 2018 était censée limiter les pouvoirs du gouvernement américain en matière d’achat de données auprès des compagnies de téléphone. Cependant, cette décision est considérée non pertinente ici car les données sont disponibles via « de nombreux échanges d’annonces publicitaires ».

« Dans ce cas, le gouvernement est un acheteur commercial comme tout autre. L’arrêt de la Cour Suprême dans l’affaire Carpenter vs. Etats-Unis n’est pas pertinent », a déclaré Paul Rosenzweig, un ancien responsable du DHS aujourd’hui membre du R Street Institute, un groupe de réflexion conservateur et libertaire qui promeut la liberté des marchés. « Le gouvernement achète simplement un widget. »

Selon le rapport, le DHS a admis qu’il avait acheté l’accès à la base de données en question, mais a refusé de parler de la façon dont les informations étaient utilisées.

La Sécurité Intérieure est déjà poursuivie par l’ACLU pour une autre violation potentielle de la vie privée. À la fin de l’année dernière, l’ACLU a déclaré qu’elle poursuivait le gouvernement en justice pour l’utilisation par le service DHS de la technologie dite « stingray », qui usurpe l’identité d’une tour de téléphonie cellulaire pour déterminer l’emplacement d’une personne.

À l’époque, l’ACLU a cité un rapport de surveillance du gouvernement de 2016 qui indiquait que les services des douanes, des frontières et de l’immigration avaient collectivement dépensé 13 millions de dollars pour acheter des dizaines d’intercepteurs d’IMSI stingray, que les agences utilisaient pour « localiser les personnes qu’elles souhaitent arrêter et déférer devant la justice ».

Pour ne manquer aucune publication et soutenir ce travail censuré en permanence, partagez cet article et abonnez-vous à la Newsletter. Vous pouvez également nous suivre sur Facebook et Twitter.