Publié le 11 août 2020.
Par La Rédaction
App

Espionnage de masse aux US, des données de localisation revendues de plus de 500 applications mobiles.

Publié le 11 août 2020.
Par La Rédaction
Photo :  Nesa by Makers - Unsplash

Photo : Nesa by Makers - Unsplash

Une société américaine a secrètement introduit un SDK dans des centaines d'applications mobiles pour suivre les données de localisation.

Une petite entreprise américaine liée à la défense et aux renseignements américains a intégré son SDK dans de nombreuses applications mobiles, lui permettant de suivre les mouvements de centaines de millions de téléphones mobiles dans le monde, selon des entretiens et des documents examinés par le Wall Street Journal. Anomaly Six, une société basée en Virginie fondée par deux vétérans de l’armée américaine avec une formation en renseignement, a déclaré dans des documents marketing qu’elle était capable de tirer des données de localisation de plus de 500 applications mobiles.

En d’autres termes, elle peut collecter secrètement des données de localisation auprès de centaines de millions d’utilisateurs de téléphones portables dans le monde et vendre des profils de localisation basés sur ces données à des clients tels que les autorités et entreprises américaines. Selon le WSJ, elle peut lire les coordonnées GPS et d’autres données de localisation si l’utilisateur autorise les applications concernées à les localiser à des fins spéciales.

Pour les gouvernements, le même ensemble de données peut être utilisé de différentes manières. La division des enquêtes criminelles a déclaré qu’elle tentait de déterminer si des téléphones portables étaient présents sur une scène de crime et de suivre ces téléphones. D’autres utilisaient les données pour détecter d’éventuels passages illicites de la frontière.

En France, toutes les données traitées dans un réseau de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public. Ces données ne peuvent, en principe, pas être utilisées à des fins autres que l’acheminement de la communication, sauf accord de l’abonné ou pour des motifs de facturation ou de sécurité publique (CPCE, art. L 34-1 IV).

Inhabituelle

Il est peu probable que les personnes concernées aient été informées et que leur consentement ait été demandé, ce qui fait que la divulgation et la vente de leurs informations de mouvement dans l’UE équivaudrait à une violation du règlement général sur la protection des données (RGPD). En 2017, nous avions mis en avant le danger des SDK. À l’époque, une étude montrait que chaque application en compte 2,5 en moyenne, selon une analyse de plus de 350 applications. Sur le sol américain, de nombreuses agences du gouvernement ont conclu que les données mobiles acquises par les agences fédérales à partir de la publicité sont légales.

De nombreuses entreprises du secteur privé dans le monde de la publicité et du marketing achètent et vendent des données de géolocalisation, les revendant parfois à des agences gouvernementales ou à des entrepreneurs. Mais la collecte directe de telles données par une entreprise étroitement liée aux agences de sécurité nationale américaines est inhabituelle.

Ce n’est pas nouveau, ce genre de problème au sein des applications et les pratiques sont loin d’être encadrées ! Les créateurs d’applications devraient être plus transparents avec les consommateurs sur la façon dont les données peuvent être utilisées une fois qu’elles sont collectées. Il y a bien des recommandations sur les meilleures pratiques conçues pour répondre à l’utilisation croissante des données de localisation des consommateurs. L’industrie de la publicité recueille quotidiennement les emplacements de millions de téléphones cellulaires. En règle générale, un utilisateur individuel est représenté uniquement par une chaîne alphanumérique dans ces bases de données, avec des enregistrements de localisation non liées à son nom, son numéro de téléphone ou d’autres informations personnelles.

Cependant, dans la pratique, les données sont suffisamment précises pour révéler des détails intimes sur les utilisateurs individuels.

Lire aussi