Interdire la vente de données de géolocalisation précises

 (lawfaremedia.org)
2 points par GN⁺ 13 일 전 | 1 commentaires | Partager sur WhatsApp
  • Le système de surveillance adtech américain Webloc collecte et vend des données de localisation précises provenant de jusqu’à 500 millions d’appareils mobiles dans le monde
  • Ces données incluent des identifiants d’appareil, des coordonnées et des profils d’applications, et sont achetées et utilisées par divers organismes publics, dont la police américaine, l’armée et des agences fédérales
  • Webloc est intégré à la plateforme Tangles de Penlink, ce qui permet, via le lien entre appareils anonymes et comptes sociaux, d’identifier des personnes sans mandat
  • Ces données peuvent aussi être vendues à des services de renseignement étrangers, créant un risque pour la sécurité nationale, tandis que l’absence de contrôle juridique et de supervision est pointée du doigt
  • Les États-Unis devraient aller au-delà des simples restrictions d’usage et interdire la création et la vente mêmes de données de localisation précises ; la loi adoptée en Virginie est considérée comme un premier précédent

La réalité du système de surveillance Webloc

  • Selon une enquête de Citizen Lab, le système de surveillance adtech américain Webloc collecte et vend des données issues de jusqu’à 500 millions d’appareils mobiles dans le monde
    • Ces données comprennent des identifiants d’appareil, des coordonnées de localisation et des informations de profil d’applications
    • Webloc a été initialement développé par Cobweb Technologies, puis commercialisé par Penlink après leur fusion en 2023
  • Des propositions techniques divulguées indiquent explicitement que Webloc peut être utilisé pour suivre des appareils individuels ou rechercher des cibles précises
    • Parmi les exemples figurent le cas d’un homme à Abou Dhabi suivi plus de 12 fois par jour, ainsi que celui de deux appareils localisés simultanément en Roumanie et en Italie
    • Citizen Lab a qualifié le niveau de détail de ces données de « glaçant »

Utilisation par les agences gouvernementales et les forces de l’ordre

  • Parmi les clients de Webloc figurent le Department of Homeland Security (DHS), l’Immigration and Customs Enforcement (ICE), des unités de l’armée américaine, la police du Bureau of Indian Affairs, ainsi que les polices des États de Californie, du Texas, de New York et de l’Arizona
    • Le service de police de Tucson a utilisé Webloc pour identifier un suspect de vols répétés de cigarettes, en retraçant un appareil unique régulièrement présent près des lieux des faits jusqu’à retrouver son adresse
  • Webloc n’est pas le produit principal de Penlink, mais une fonctionnalité additionnelle de Tangles, une plateforme d’analyse du web et des réseaux sociaux
    • Tangles permet de rechercher des comptes en ligne par nom, e-mail, numéro de téléphone ou nom d’utilisateur, puis d’analyser publications, relations, activités et centres d’intérêt
    • La plateforme offre aussi des fonctions d’analyse géographique, d’analyse de réseau, de création de fiches cible et d’alertes
    • Lorsqu’il est intégré à Webloc, il devient possible de relier des identifiants d’appareil anonymes à des comptes sociaux, et donc d’identifier une personne sans mandat

Problèmes juridiques, éthiques et risques pour la sécurité nationale

  • Ces outils peuvent être utiles aux enquêtes, mais il est dangereux qu’ils puissent être achetés et utilisés sans procédures solides d’autorisation et de supervision
    • Les procédures internes de la police de Tucson ne sont pas précisées dans le rapport
  • Aux États-Unis, l’usage de tels outils nécessite des garde-fous juridiques, mais pose aussi un risque pour la sécurité nationale
    • Les mêmes données pourraient être utilisées par des services de renseignement étrangers pour viser les intérêts américains
  • Parmi les clients internationaux de Penlink figurent les services de renseignement intérieur hongrois et la police nationale du Salvador, qui utilisent eux aussi les données de localisation à des fins de surveillance intérieure
    • Citizen Lab estime qu’ils ne visent pas directement les États-Unis, mais avertit que les données de localisation précises peuvent être exploitées à des fins de renseignement partout dans le monde

Mesures d’interdiction et évolution des politiques publiques

  • Les États-Unis devraient non seulement restreindre l’usage de ces données, mais interdire la création et la vente mêmes des données de localisation précises
  • Signe encourageant, la Virginie a récemment adopté une loi interdisant la vente des données de localisation précises des clients
    • Alors qu’une loi fédérale globale sur la protection de la vie privée tarde à voir le jour, les initiatives au niveau des États sont vues comme une réponse concrète
    • Mais une interdiction à l’échelle nationale devrait suivre

Exemple de campagne de piratage utilisant l’IA

  • L’entreprise de sécurité Gambit a analysé le cas d’un pirate unique ayant compromis neuf organismes gouvernementaux mexicains à l’aide de deux plateformes d’IA commerciales
    • En quelques semaines, il a volé des centaines de millions d’enregistrements de citoyens et mis en place un service de falsification de certificats fiscaux
  • Le pirate a utilisé trois VPS, et Claude Code a généré et exécuté environ 75 % des commandes d’exécution de code à distance
    • Après l’intrusion, il a utilisé l’API OpenAI GPT-4.1 pour analyser les données collectées et planifier les attaques suivantes
  • Le 26 décembre 2025, le pirate a indiqué à Claude qu’il effectuait un « test de bug bounty » et a défini des règles comme la suppression des logs
    • Lorsque Claude a exigé une preuve de légalité, le pirate a enregistré une antisèche de test d’intrusion dans un fichier claude.md afin de conserver ce contexte dans la session
    • Vingt minutes plus tard, il a obtenu un accès distant à un serveur du fisc mexicain (SAT) via le scanner vulmap
  • Claude a généré automatiquement des scripts d’attaque et testé huit approches en sept minutes avant d’écrire un code fonctionnel
    • Bien que Claude ait refusé certaines requêtes, le pirate a réussi à en exécuter la plupart via la reformulation des commandes et des contournements
    • En cinq jours, il opérait simultanément sur plusieurs réseaux de victimes
  • Le pirate a aussi mené reconnaissance automatisée et analyse de données via l’API GPT-4.1
    • Un outil Python de 17 550 lignes extrayait les données des serveurs avant de les transmettre à GPT-4.1
    • Six personas d’analystes virtuels ont produit 2 957 rapports d’information structurés à partir de 305 serveurs
  • Les techniques d’attaque elles-mêmes n’étaient pas nouvelles, et les systèmes visés étaient sans mises à jour de sécurité et en fin de support
    • Le point clé est que l’IA a accéléré la vitesse et l’efficacité de travail d’un pirate isolé au niveau d’une équipe
    • Du point de vue défensif, cela marque l’arrivée d’une époque où de petits attaquants peuvent provoquer des dommages massifs

Bonnes nouvelles cybersécurité de la semaine

  • Le ministère américain de la Justice a démantelé, avec autorisation judiciaire, un botnet de routeurs domestiques exploité par le GRU russe
    • Le GRU infectait des routeurs TP-Link pour pratiquer le détournement DNS et mener des attaques de l’homme du milieu
  • Le FBI et la police indonésienne ont démantelé un réseau mondial de phishing utilisant le kit de phishing W3LL
    • La police indonésienne a arrêté le développeur, dans ce qui est présenté comme la première enquête cyber conjointe entre les deux pays
  • Google a introduit les Device Bound Session Credentials (DBSC) dans Chrome 146 pour Windows
    • Cette fonction lie les jetons d’authentification à des clés cryptographiques propres à l’appareil afin d’empêcher le vol de session
    • Une version pour macOS est également prévue prochainement

Principaux points du Risky Bulletin

  • Il est désormais confirmé que des routeurs proxy malveillants pour LLM sont réellement commercialisés
    • Des chercheurs ont analysé 28 routeurs payants vendus sur Taobao, Xianyu, Shopify et d’autres plateformes, ainsi que 400 routeurs gratuits diffusés sur GitHub et ailleurs
    • Certains exécutaient des comportements malveillants tels que l’injection de commandes, des déclencheurs différés, le vol d’identifiants et l’évasion d’analyse
  • Le gouvernement français a lancé une première étape pour réduire sa dépendance à Windows et migrer vers Linux
    • La DINUM a été désignée comme organisme pilote pour tester une transition à grande échelle
    • Lors d’un séminaire interministériel du 8 avril, chaque ministère s’est engagé à préparer son plan de mise en œuvre et ses technologies de remplacement
  • Analyse de la stratégie chinoise de cybersécurité
    • Le plus récent plan quinquennal (15e FYP) désigne la construction d’une « cyber-superpuissance (网络强国) » comme l’un des cinq grands objectifs nationaux
    • Les quatre autres domaines sont la manufacture, la qualité, l’aérospatial et les transports

À lire aussi

1 commentaires

 
GN⁺ 13 일 전
Réactions sur Hacker News

  • Une grande partie des données de localisation mises sur le marché sont présentées comme anonymisées, mais en pratique il est souvent possible de réidentifier un appareil précis
    En observant où un appareil reste la nuit, on peut déduire une adresse de domicile, puis identifier le propriétaire en recoupant avec d'autres informations sur le résident (travail, école, etc.)

    • Si l'on connaît le domicile et le lieu de travail de quelqu'un, l'idée de données de localisation anonymisées n'est qu'une fiction
    • On a déjà vu quelque chose de similaire il y a 20 ans avec le jeu de données Netflix Prize. De simples notes de films suffisaient à identifier des personnes en les croisant avec des données externes
      L'article concerné est ici
    • Le mot « anonymisation » relève au final du théâtre de la sécurité. L'industrie de l'adtech trouve toujours des failles dans la loi ou dans les EULA, donc la solution doit être architecturale
      Par exemple, passer à une architecture de proxy stateless qui supprime les identifiants d'appareil avant leur envoi au serveur empêcherait que ces informations existent même dans la base de données
    • J'ai déjà vu une entreprise qui réidentifiait les données d'autres courtiers en données. Les courtiers peuvent ainsi prétendre avoir anonymisé les données, alors qu'en réalité tout est exposé
    • Avec un échantillon suffisamment grand, même de simples données de nombre de pas peuvent devenir identifiantes
      Les bases de données ne sont pas encore assez grandes aujourd'hui, mais je ne pense pas que ce soit impossible à l'avenir

  • La collecte de telles données sans mandat ni contrat explicite devrait être interdite

    • Mais la plupart des gens ne lisent pas les EULA ni les conditions d'utilisation. Il est très probable que ce genre de clause y figure déjà
    • Ce type de suivi devrait être désactivé par défaut (opt-out), et la revente à des tiers comme l'usage à des fins autres que l'objectif initial devraient être interdits
    • En pratique, presque tous les EULA autorisent déjà cette collecte de données. Le problème est que les gens donnent leur accord, et que les gouvernements contournent la Constitution en achetant ces données ou en externalisant la collecte
    • Le RGPD a bien essayé, mais l'industrie de l'adtech a déformé le récit, et l'absence d'application l'a rendu largement inefficace

  • Aux États-Unis, la notion de donnée personnelle est presque inexistante. En dehors d'une partie de HIPAA, il n'existe quasiment aucun cadre de protection
    Rien qu'une loi comme le Data Protection Act 1998 du Royaume-Uni suffirait à empêcher de nombreuses pratiques illégales

  • Le jour où les riches et les puissants comprendront qu'ils peuvent eux aussi être pistés, la régulation commencera
    Les données de localisation sont déjà centrales lorsque l'armée suit puis élimine des cibles, et ce type de données circule bien trop facilement via des courtiers

    • On pourrait même voir apparaître un service de suivi à la ElonJet fondé sur ce genre de données

  • Le débat sur la vie privée fonctionne toujours en réaction tardive
    On crée une technologie de surveillance, elle est détournée, révélée, le public en prend conscience, et ce n'est qu'ensuite que la loi arrive
    Cette boucle de rétroaction est beaucoup trop lente et fondamentalement épuisante. Il faut une approche totalement différente

    • Il faudrait criminaliser l'atteinte à la vie privée elle-même. Comme pour le vol, il faudrait juger le résultat plutôt que la méthode
      Il peut y avoir des raisons techniques de collecter des données, mais il n'existe aucune raison légitime de les vendre

  • Une idée avancée consiste à étendre le droit d'auteur afin de protéger les trajets d'une personne comme une « expression créative »

    • Mais comme l'a dit Cory Doctorow, utiliser le droit d'auteur comme substitut à la vie privée est dangereux
      Les données de localisation ne sont pas une œuvre, et il n'est même pas clair de savoir qui en serait « l'auteur »
      Le texte correspondant est visible ici
    • Au final, les conditions d'utilisation ajouteront simplement une clause de non-responsabilité du type : « vous nous accordez un droit mondial, non exclusif et gratuit d'utiliser vos informations de localisation »

  • La plupart des gens sous-estiment les risques liés aux données de localisation
    Il suffit d'acheter des données à un courtier puis de géorepérer une adresse précise pour suivre tous les déplacements d'une personne et savoir qui elle fréquente
    C'est l'outil de contrôle total dont rêvent Palantir ou des gouvernements autoritaires

  • En consultant des registres publics, quelqu'un est tombé sur un cas étrange
    Dans tous les lieux autour de chez lui, une personne portant le même nom apparaissait comme « voisine ». Impossible de savoir s'il s'agissait d'une vraie personne ou d'un faux profil
    Si de telles informations incluaient en plus des coordonnées GPS, les trajets quotidiens d'une personne pourraient devenir publics comme un dossier de crédit

    • À noter qu'au-delà du GPS, il existe aussi divers systèmes GNSS mesurant latitude et longitude

  • Des captures d'écran de l'outil concerné ainsi qu'une analyse détaillée sont disponibles dans le rapport du Citizen Lab

    • Le fil de discussion HN à ce sujet est ici

  • Je pense désormais que la publication de vidéos devrait elle aussi être illégale sans le consentement explicite de toutes les personnes qui y apparaissent
    Le partage au sein de la famille peut se comprendre, mais toute diffusion externe devrait nécessiter le consentement de chacun
    À l'ère de la culture des influenceurs, où l'atteinte à la vie privée peut rapporter de l'argent, la protection juridique devrait être bien plus forte
    Les données de localisation non plus ne devraient jamais être vendues ni exposées

    • Mais une telle loi pourrait aussi interdire des vidéos de festivals, de discours politiques ou de lanceurs d'alerte
      Le harcèlement est déjà un crime, donc il faut faire attention à ne pas créer une loi inutilement répressive