L’application gouvernementale « Fedware » : une surveillance plus puissante que celle des applis interdites

 (sambent.com)
1 points par GN⁺ 2026-03-31 | 1 commentaires | Partager sur WhatsApp
  • Les applications officielles du gouvernement fédéral américain exigent davantage d’autorisations et de capacités de suivi que les applications privées, et collectent la localisation, les données biométriques et les identifiants d’appareil
  • Les applications de grandes agences comme la White House, le FBI, l’IRS, la TSA, le CBP et l’ICE se présentent comme des services publics, mais forment en réalité un réseau de surveillance via des SDK de tracking et des mécanismes de partage de données
  • Certaines applications intègrent même un tracker Huawei, une fonction de signalement à l’ICE et un système de reconnaissance faciale, tandis que des centaines de millions d’images de visages et de données de localisation sont partagées entre agences fédérales
  • Après des affaires comme le partage de données fiscales entre l’IRS et l’ICE, qui ont entraîné démissions de responsables de la vie privée et injonctions judiciaires, l’infrastructure de surveillance continue de fonctionner
  • Le gouvernement emballe sous forme d’app des informations accessibles sur le Web afin de maintenir une structure de “Fedware” réclamant des autorisations excessives, alors que les utilisateurs gardent la liberté d’y accéder sans installer d’application, via le Web ou RSS

L’architecture de surveillance des applications fédérales

  • Les applications officielles du gouvernement fédéral exigent plus de fonctions de suivi et d’autorisations que les applications privées, en collectant localisation, biométrie, stockage, contacts et identifiants d’appareil
  • Des applications d’agences majeures comme la White House, le FBI, la FEMA, l’IRS, la TSA, le CBP et l’ICE sont distribuées au nom de l’information au public, mais alimentent en pratique un réseau de surveillance au moyen de demandes d’autorisations excessives et de SDK de tracking intégrés
  • Ces applications sont qualifiées de « Fedware », car l’infrastructure de surveillance gouvernementale fonctionne comme un seul système reliant applications, courtiers en données et partage inter-agences

  • Les fonctions de suivi de l’application White House

    • L’application White House (version 47.0.1) met en avant « l’accessibilité à l’exécutif », mais demande de nombreuses autorisations, dont la localisation GPS précise, l’accès aux empreintes digitales, la modification du stockage, l’exécution automatique au démarrage, l’affichage par-dessus d’autres applications, l’affichage des connexions Wi‑Fi et la lecture des notifications de badge
    • Elle intègre 3 SDK de tracking, dont Huawei Mobile Services Core, un cas où l’infrastructure de suivi d’une entreprise chinoise sanctionnée par le gouvernement américain se retrouve dans l’application présidentielle officielle
    • L’application comprend un bouton de signalement à l’ICE, et la fonction « Text the President » préremplit automatiquement le message avec « Greatest President Ever! » tout en collectant le nom et le numéro de téléphone de l’utilisateur
    • Il n’existe pas de politique de confidentialité distincte propre à l’application ; seule la politique générale de whitehouse.gov s’applique, sans mention de ses fonctions de suivi

  • Autorisations et trackers des applications FBI, FEMA et IRS

    • L’application myFBI Dashboard du FBI demande 12 autorisations et inclut 4 trackers, dont Google AdMob, collectant des données utilisateurs via un SDK publicitaire
    • L’application FEMA exige 28 autorisations ; dans sa dernière version (v3.0.14), il ne reste plus qu’1 tracker, mais elle continue d’utiliser des autorisations excessives
      • Ses fonctions principales se limitent aux alertes catastrophe et à l’emplacement des abris
    • L’application IRS2Go inclut 3 trackers et 10 autorisations et a été publiée sans Privacy Impact Assessment finalisée, en violation des règles de l’OMB
      • Elle partage avec des tiers l’ID de l’appareil, l’activité de l’application et les journaux de crash, et le chiffrement des informations de remboursement n’est pas confirmé

Collecte biométrique et extension de la surveillance

  • Collecte de données biométriques via les applications liées au CBP, à la TSA et à l’ICE

    • L’application MyTSA comprend 9 autorisations et 1 tracker, et précise stocker localement les données de localisation
    • L’application CBP Mobile Passport Control demande 14 autorisations (dont 7 classées “dangereuses”), notamment le suivi de localisation en arrière-plan, l’appareil photo, l’authentification biométrique et l’accès au stockage externe
      • Le système biométrique du CBP conserve les données faciales (faceprint) jusqu’à 75 ans et les partage avec le DHS, l’ICE et le FBI
    • L’application Mobile Fortify est une application de reconnaissance faciale utilisée par les agents de l’ICE, exploitant des centaines de millions d’images issues des bases de données du DHS, du FBI et du Département d’État
      • Un contrat de 9,2 millions de dollars avec Clearview AI lui a donné accès à plus de 50 milliards d’images de visages
      • Le CBP précise conserver toutes les photos, y compris celles de citoyens américains, pendant 15 ans
      • Selon une enquête de l’EFF, les utilisateurs ne peuvent pas refuser le scan de reconnaissance faciale, et le seul appariement biométrique peut suffire à déterminer le statut migratoire

  • SmartLINK de l’ICE et le recours aux courtiers en données

    • L’application SmartLINK est l’outil de surveillance électronique de l’ICE, développé par BI Incorporated, filiale de GEO Group, dans le cadre d’un contrat de 2,2 milliards de dollars
      • Elle collecte la localisation, le visage, la voix, les informations médicales (y compris la grossesse) et les numéros de contact
      • L’ICE dispose du droit d’« utiliser, céder et divulguer sans limite » les données collectées
      • Le nombre d’utilisateurs est passé d’environ 6 000 en 2019 à plus de 230 000 en 2022
      • En 2019, les données GPS ont servi à arrêter environ 700 personnes dans 6 villes
    • Au-delà des applications, les agences gouvernementales achètent aussi des données à des courtiers comme Venntel, pour plus de 25 milliards de points de localisation par jour
      • Le DHS, le FBI, le DOD et la DEA achètent ces données sans mandat
      • Le Département de la Défense a surveillé des communautés musulmanes à l’aide de données de localisation provenant d’une application de prière
      • La police les a également utilisées pour suivre des participants à des manifestations pour la justice raciale

L’affaire du partage de données entre l’IRS et l’ICE

  • En avril 2025, l’IRS et l’ICE ont conclu un MOU de partage des noms, adresses et données fiscales de personnes visées par une expulsion
    • L’ICE a transmis 1,28 million de noms, et l’IRS a envoyé par erreur des milliers de dossiers fiscaux incorrects
    • Le commissaire par intérim de l’IRS et le responsable de la protection de la vie privée ont démissionné après avoir protesté
    • En novembre 2025, un tribunal fédéral a interdit tout partage supplémentaire, mais l’IRS était déjà en train de mettre en place un système automatisé de fourniture massive d’adresses

Une infrastructure de surveillance intégrée et peu contrôlée

  • Les applications, bases de données et contrats avec des courtiers de chaque agence sont reliés en un pipeline de surveillance unique, sans qu’aucune agence n’en contrôle l’ensemble
  • Selon un rapport du GAO de 2023, environ 60 % des 236 recommandations en matière de vie privée et de sécurité publiées depuis 2010 n’avaient pas été mises en œuvre
  • Le Congrès a été invité en 2013 puis en 2019 à adopter une loi globale sur la vie privée sur Internet, sans suite
  • Le contrôle n’est qu’une procédure formelle : malgré les rapports et les auditions, les contrats sont renouvelés et la collecte de données se poursuit

Conclusion : la liberté d’accéder via le Web plutôt que par une app

  • Le gouvernement emballe sous forme d’application des informations publiques accessibles via le Web et RSS afin d’exiger des autorisations excessives
  • Les applications assurent des fonctions de surveillance qu’une page Web ne peut pas offrir — lecture des empreintes digitales, suivi GPS en arrière-plan, accès à la liste des comptes
  • Les utilisateurs peuvent accéder aux mêmes informations avec un navigateur et un lecteur RSS, sans installer d’application gouvernementale
  • « Fedware » est un outil de surveillance déguisé en service public, et chacun doit pouvoir décider de ce qui s’exécute sur son appareil

À lire aussi

1 commentaires

 
GN⁺ 2026-03-31
Avis sur Hacker News

  • Cette application comporte un bouton « envoyer un SMS au président », qui préremplit automatiquement le message « Greatest President Ever! » et collecte le nom et le numéro de téléphone.
    On a l’impression que la réalité est devenue plus absurde que The Onion. Le reste de l’article est tellement déprimant que je n’ai pas grand-chose d’autre à dire que « wow, c’est répugnant ».

    • Quand j’étais enfant, je voyais des vidéos de foules en Corée du Nord se lever pour applaudir puis s’évanouir, et je les trouvais ridicules ; maintenant, je ne le pense plus.
    • Je ne comprends pas pourquoi les gens voient la propagande nord-coréenne mais sont incapables de voir ce qui se passe dans leur propre pays.
    • Ces temps-ci, The Onion s’est plutôt reconverti dans les bonnes nouvelles, ce qui est encore plus absurde.
      Article lié
    • Le comportement des milliardaires qui veulent dominer le monde est tellement gênant. Je me demande si l’obsession de la richesse n’est pas liée à un problème psychique.

  • Le dernier point est l’essentiel : toutes ces applis pourraient être remplacées par des pages web.
    La seule raison de sortir une appli native, c’est d’accéder à des API que le navigateur ne fournit pas : par exemple la localisation en arrière-plan, la biométrie, l’identifiant de l’appareil ou les déclencheurs au démarrage.

    • Sur plusieurs projets, des PM ont proposé de mettre une webapp sur l’App Store, parce que les utilisateurs considèrent comme normal de télécharger une appli depuis la boutique.
      Mais en pratique, on a aussi eu des retours montrant que les clients préféraient le site web. Déployer une appli a été une perte de temps et de ressources.
      L’équipe marketing obtient déjà suffisamment de données via Google Analytics et autres, donc elle ne s’intéresse pas aux données issues des API natives.
    • J’ai du mal à croire que le gouvernement soit capable de faire une page web correcte.
      realfood.gov
    • Même une simple appli de communiqués de presse peut avoir de vrais téléchargements. Par exemple, des étudiants intéressés par le FBI ou des proches d’employés.
      L’existence de l’appli peut se justifier, mais sa qualité lamentable ne l’est pas.
    • Le gouvernement imite ce que font les grandes entreprises. Le Companies House britannique exige désormais un Onegov ID.
      La version web demandait des questions de sécurité, et au final il fallait soit utiliser l’appli, soit se rendre physiquement à la poste.
      Occado permet aussi de modifier plus facilement une commande dans l’appli, alors que sur le web il faut repayer. Je me demande pourquoi ils maintiennent ce genre de différence.
    • Ce matin, j’ai voulu vérifier le temps d’attente de la TSA, et on m’a demandé d’installer une appli.
      Lien

  • Je me demandais si ce genre de post était upvoté grâce aux graphismes/animations.
    C’est difficile à lire à cause des animations qui se rejouent à chaque défilement, et il y a beaucoup de graphismes qui semblent générés par IA, ce qui ne m’inspire pas confiance.

    • Ce n’est pas seulement à cause des graphismes ; souvent, c’est upvoté comme signal pour discuter des problèmes technologiques du gouvernement.
      L’intérêt tient moins au contenu lui-même qu’au fait qu’il serve de point de départ à la discussion.
    • C’est upvoté parce que le tracking de niveau spyware dans les applis gouvernementales fait parler. Même si c’était juste du HTML/CSS basique, la réaction aurait sans doute été similaire.
    • Le simple message « critique de l’exécutif » est peut-être aussi une raison des upvotes.
    • Le design du site et le texte donnent une impression bizarre. Par exemple, cet article aussi a l’air un peu instable.
      Lien de référence
    • Au début, je n’avais même pas compris que c’était un article. J’ai cru que la grille en haut était juste une page d’index.

  • J’ai essayé de m’inscrire à PACER pour obtenir des documents judiciaires, et on m’a demandé mon nom, ma date de naissance, mon adresse, mon téléphone, mon e-mail et même mes informations de carte bancaire.
    Il semble aussi qu’ils demandent le nom de jeune fille de la mère ou des questions de sécurité. Si un tel amas de données personnelles fuitait, ce serait terrifiant.
    En plus, j’ai dû attendre une heure au téléphone pour activer le compte.

  • Hier, par curiosité, j’ai installé l’application de la Maison-Blanche, puis je l’ai supprimée immédiatement.
    Les données ont probablement déjà été siphonnées. Je me demande si un tracking aussi excessif ne viole pas les règles de l’App Store ou de Google Play.

  • Il fut un temps où les gens prenaient vraiment le Hatch Act au sérieux.

  • Je n’utilise jamais ce genre d’applis. Tous mes appareils sont basés sur Linux, et je n’utilise presque aucun logiciel non libre.
    Sur mon téléphone, je n’ai que quelques navigateurs, et je n’autorise aucun accès à la localisation, aux capteurs, à la caméra ou au micro.

    • Les applis peuvent collecter des données, et aujourd’hui beaucoup de fonctions exigent une appli.

  • Cela révèle la duplicité de la politique américaine. L’attitude, c’est : « nous pouvons tout faire, mais pas les autres ».
    Apple prétendait protéger la vie privée, et maintenant l’entreprise exige l’envoi de documents sensibles pour la vérification d’âge. Bien fait.

  • La plupart sont problématiques, mais il est logique que l’application FEMA demande l’accès à la localisation,
    puisque son but est d’indiquer les abris à proximité.

  • Il faut n’installer ces applis que quand c’est absolument nécessaire, puis les supprimer dès que c’est terminé.