1 points par GN⁺ 2023-10-23 | 1 commentaires | Partager sur WhatsApp
  • En l’absence d’une loi fédérale complète sur la protection des données personnelles aux États-Unis, les données personnelles collectées par les applications mobiles passent par l’industrie de la publicité ciblée et finissent par alimenter des outils de surveillance gouvernementale
  • Les pouvoirs publics peuvent acheter auprès de courtiers en données l’accès à des données utilisateur qui nécessiteraient normalement une décision de justice ou un mandat, ce qui brouille la frontière entre surveillance d’entreprise et surveillance par l’État
  • Une enquête du Wall Street Journal a révélé que Near Intelligence avait acheté à des courtiers en données publicitaires des données portant sur plus d’un milliard d’appareils, et conclu des contrats permettant leur transmission, via des prestataires gouvernementaux, à des agences fédérales militaires et de renseignement
  • Les données de localisation peuvent servir à suivre des participants à des manifestations, des visiteurs de certains établissements, ou des contacts entre journalistes et lanceurs d’alerte, augmentant les risques au-delà de l’atteinte à la vie privée : représailles et faux positifs
  • Les solutions consistent à adopter le Fourth Amendment is Not For Sale Act, qui empêcherait le gouvernement d’acheter des données qu’il ne pourrait pas obtenir sans mandat, ainsi qu’une loi complète sur la protection des données des consommateurs

Le chemin qui transforme les données publicitaires en surveillance gouvernementale

  • Les États-Unis ne disposent pas d’une législation fédérale complète sur la protection des données personnelles, et l’industrie de la publicité ciblée fonctionne à partir des informations personnelles collectées par les applications mobiles
  • Le point clé qui affaiblit la frontière entre surveillance d’entreprise et surveillance gouvernementale réside dans la structure d’achat des données
    • Si les données ne sont pas entièrement chiffrées ou stockées localement directement par l’utilisateur, le gouvernement peut les obtenir auprès d’entreprises de communication et d’informatique
    • Traditionnellement, une décision de justice était nécessaire, mais les cas où le gouvernement achète désormais directement ces données auprès de courtiers qui les ont acquises dans le secteur de l’adtech se multiplient

Le cas Near Intelligence

  • Une enquête du Wall Street Journal a mis au jour la structure des transactions de données d’une société appelée Near Intelligence
  • Near Intelligence achète auprès de courtiers des données personnelles et des données d’appareils habituellement vendues à des annonceurs
    • L’entreprise a déclaré avoir acheté des données concernant plus d’un milliard d’appareils
    • Elle a conclu un contrat avec des prestataires gouvernementaux, et ces données sont transmises à des agences fédérales militaires et de renseignement
  • Le gouvernement peut ainsi acheter un accès à des informations de localisation qui nécessiteraient normalement d’établir une cause probable et d’obtenir un mandat
  • De nombreux développeurs d’applications pour smartphones, pour générer des revenus, cherchent à vendre les données utilisateur au plus offrant, et les acheteurs peuvent inclure l’État

Les dommages que peut causer le suivi de localisation sans mandat

  • La police peut utiliser ces outils de surveillance pour identifier les appareils de personnes ayant participé à une manifestation, puis les suivre jusqu’à leur domicile et en faire des cibles de surveillance supplémentaire, de harcèlement ou de représailles
  • Il est aussi possible de ne suivre que les appareils qui se trouvaient dans certains lieux
    • Un cabinet d’avocat spécialisé en immigration
    • Une clinique de santé reproductive
    • Un établissement de santé mentale
  • Les rencontres confidentielles entre journalistes et sources lanceuses d’alerte peuvent également être surveillées avec ce type d’outil
  • Il existe aussi des cas où des responsables des forces de l’ordre ont abusé de technologies de surveillance pour des motifs personnels malveillants

Zones de surpolice et risque de faux positifs

  • Ce type de surveillance rend les personnes qui vivent ou travaillent dans des zones fortement policières plus vulnérables aux soupçons de la police
  • Il peut suffire d’avoir été à côté d’une pizzeria où un braquage a eu lieu, ou d’avoir pris une pause café près d’un graffiti, pour être classé comme appareil présent à proximité d’une scène de crime et faire l’objet d’une surveillance supplémentaire

Fog Data Science et revendications législatives

  • Le cas Near Intelligence est apparu un an après l’enquête de l’EFF sur Fog Data Science
    • Fog Data Science est une entreprise qui a fourni aux forces de l’ordre des États et des collectivités locales un accès à des données de localisation précises et continues concernant des centaines de millions d’Américains
    • Ces données étaient collectées par des applications pour smartphones, puis agrégées par des courtiers en données opaques
    • L’accès est facile et se fait souvent sans mandat
  • Le point essentiel que le Congrès doit refermer est la faille des courtiers en données
  • Le Congrès et les États doivent aussi adopter des lois complètes sur la protection des données des consommateurs
    • Si les entreprises collectent moins de données utilisateur, le gouvernement aura aussi moins de données à leur acheter
  • Une pression institutionnelle est nécessaire pour empêcher le gouvernement de contourner, par l’achat, l’obligation de mandat pour des informations qui en nécessiteraient normalement un

1 commentaires

 
GN⁺ 2023-10-23
Avis de Hacker News
  • Je suis d’accord avec la problématique de l’article, mais il me semble qu’il faudrait aussi exercer une pression pour empêcher les opérateurs mobiles de vendre les données de localisation
    Pointer du doigt les développeurs d’apps mobiles est utile, mais les FAI peuvent connaître votre position même sans smartphone et, en pratique, ils doivent aussi pouvoir la communiquer légalement (https://en.wikipedia.org/wiki/Communications_Assistance_for_... etc.)
    Je me demande si l’EFF considère que tenter de bloquer ce dernier point par la loi est déjà devenu vain

    • Pas du tout. L’EFF fait aussi beaucoup de bon travail dans ce sens
      https://www.eff.org/issues/cell-tracking
    • Exact. Il faudrait des règles qui empêchent la collecte même de ces données
      Il faudrait aussi empêcher qu’on verrouille les appareils que les gens « possèdent » pour les empêcher d’utiliser des contre-mesures
      L’usage privé de ces données est aussi inquiétant que leur usage par l’État, voire davantage. L’État, lui, reste souvent soumis à une responsabilité démocratique
    • J’ai créé l’un des premiers systèmes d’agrégation de localisation. Peut-être même le tout premier, mais difficile d’en être sûr
      À l’époque, mon entreprise avait des relations étroites avec les opérateurs mobiles américains et leur développait surtout des apps en marque blanche au nom de la sécurité familiale. Cela dit, beaucoup d’utilisateurs s’intéressaient davantage à la position de leur conjoint ou partenaire qu’à celle de leurs enfants
      À peu près au même moment, OAuth 1a est apparu, et je me suis dit qu’en exploitant ces relations, il serait intéressant de proposer une plateforme vendant la localisation aux développeurs d’apps, avec consentement. Je voulais aussi y intégrer beaucoup de fonctions de protection de la vie privée
      Au final, un seul développeur d’app a connu ne serait-ce qu’un peu de succès, et l’avenir du produit a disparu lorsque des agrégateurs moins soucieux de la confidentialité se sont associés à la génération suivante de développeurs d’apps. Les souvenirs sont amusants
    • La phrase selon laquelle, après l’adoption du CALEA, cela a été largement étendu à tout le trafic VoIP et Internet haut débit donne l’impression que les forces de l’ordre peuvent librement écouter n’importe quel appel VoIP. Je me demande comment c’est possible en pratique
      D’après ce que je comprends, un appel VoIP typique utilise SIP pour faire sonner l’interlocuteur (avec une sécurité partielle), puis ICE/STUN/TURN pour que les deux parties trouvent le chemin le plus direct, avant d’échanger le flux audio proprement dit
      Les clients n’emploient-ils tout simplement pas de chiffrement pour le flux audio ? Ou bien l’opérateur intercepte-t-il tout après le premier saut SIP, comme dans une attaque de l’homme du milieu ? Cela ne semble pas correspondre à une surveillance en lecture seule consistant à « transmettre une copie des données réseau à une sonde IP dédiée via un tap matériel ou un port miroir de switch/routeur »
    • Il faudrait aussi mieux informer sur les risques liés au fait de transporter un récepteur GPS toujours allumé qui transmet en continu sa position à des tiers
      Cela peut sonner comme une façon de blâmer les victimes. Mais il reste possible de choisir d’éteindre son téléphone
  • Le concept d’AdInt mérite aussi d’être mentionné. Il a été évoqué dans https://www.theregister.com/2023/09/16/insanet_spyware/, et son fonctionnement est expliqué plus en détail dans l’enquête originale du journal israélien Haaretz https://archive.ph/7dbaV
    C’était déjà passé, mais il n’y avait eu que 2 commentaires : https://news.ycombinator.com/item?id=37542097

  • J’ai l’impression que cela va finir bien plus mal que ce que les gens imaginent
    Les entreprises qui s’acoquinent avec le gouvernement, ce n’est pas la définition du fascisme ? Si oui, il me semble que c’est exactement ce qu’on voit aujourd’hui

    • Ce n’est pas vraiment ce qu’on appelle classiquement le fascisme, mais l’intuition que tout cela va mal finir a probablement de bonnes chances d’être juste
      Depuis les révélations de Snowden, on a compris que plusieurs pays accumulaient des vulnérabilités et construisaient un écart de pouvoir numérique qu’ils peuvent appliquer même à des objectifs mineurs
      NSO Group a montré qu’il est possible de compromettre pratiquement n’importe quel téléphone, silencieusement et sans logiciel supplémentaire, et des affaires récentes comme l’enquête sur le meurtre Canada/Inde suggèrent que même des canaux réputés sûrs peuvent finir par être interceptés
      Il est difficile d’imaginer ce que China ou la NSA sont réellement capables de faire aujourd’hui. On a évité la grande catastrophe jusqu’ici, mais j’ai de plus en plus l’impression que les lignes de la surveillance et du contrôle d’Internet sont déjà tracées. Cela dit, si quelqu’un peut défendre solidement une lecture plus optimiste, je serais curieux de l’entendre
    • C’est la première fois que j’entends la définition « si le gouvernement et les entreprises s’acoquinent, alors c’est du fascisme »
      En général, le fascisme se définit par un nationalisme autoritaire, un dirigeant dictatorial centralisateur, le militarisme, la répression forcée de l’opposition, la subordination des intérêts individuels au nom de ceux de la nation ou de la race, et une propagande visant à maintenir la croyance en une hiérarchie sociale naturelle
    • Autrefois, j’aurais été d’accord pour dire que de tels abus allaient mal finir, mais après les révélations de Snowden et de Wikileaks, on a vu à quel point nos institutions peuvent être nihilistes et malveillantes, sans que grand-chose ne change
      Le principal effet de ces révélations a été la montée du populisme, mais à part la perte de la Maison-Blanche pendant un mandat, elles n’ont pas eu d’impact durable, et cette réaction populiste a été, dans les faits, réprimée
      Si l’on veut provoquer un changement, il faut peut-être intervenir plus tôt, quand seuls les marginaux considérés comme fous en parlent encore — par exemple il y a 25 ans, ou dans 25 ans — afin de pouvoir orienter le prochain cycle dans une autre direction
    • La surveillance du Web actuelle paraîtra modeste par rapport à ce qui arrive
      Des appareils comme le Quest 3 et l’Apple Vision ne sont que le début, et lorsque tout le monde se promènera avec des appareils AR, il n’y aura plus moyen d’échapper au nuage de points (point cloud)
      Ces entreprises disposeront d’un graphe en temps réel de l’endroit où se trouve chacun et de ce qu’il fait dans les lieux publics, y compris des personnes qui n’auront jamais utilisé aucun de leurs services. C’est terrifiant
    • C’est plutôt presque l’inverse. Dans un gouvernement fasciste, je m’attendrais à ce que l’exécutif contrôle de fait le marché et les entreprises
      Or ce mouvement ressemble davantage à des entreprises qui cherchent à contrôler et remplacer de fait le gouvernement. C’est l’aboutissement naturel de l’idée dévoyée de capitalisme des parties prenantes
  • Le passage clé est celui-ci : « Si les données ne sont pas entièrement chiffrées ou stockées directement en local, le gouvernement peut les obtenir auprès d’un opérateur télécom ou d’une entreprise de computing. Traditionnellement, il fallait une décision de justice, mais de plus en plus, les gouvernements les achètent tout simplement à des courtiers en données qui les ont eux-mêmes achetées au secteur de l’adtech. »
    Je considère que Meta et Google font aussi partie du secteur de l’adtech. Pourtant, certains s’énervent en disant : « Meta ne vend pas vraiment tes données » ou « Google ne vend pas vraiment tes données ».
    Si ces entreprises participent à cet écosystème et achètent auprès de courtiers en données, elles sont tout aussi mauvaises que ces courtiers. Meta et Google ne devraient pas pouvoir faire comme si elles étaient des saintes, sans être critiquées, tout en tirant l’essentiel de leur argent de ce type de relations et en rendant la surveillance possible.

    • Ce qui est encore plus agaçant, c’est que le gouvernement utilise directement ces services sur ses propres sites.
      Par exemple, dmv.ca.gov et irs.gov utilisent tous deux Google sur l’ensemble de leur site.
      Quand le gouvernement fait de Google la solution dès qu’il a besoin de vérification d’identité, de CAPTCHA, etc., toute l’architecture s’effondre.
  • J’ai déjà entendu dire que « les démocraties dotées de technologies avancées sont moins libres que les dictatures dotées de technologies primitives ».

    • La personne qui a dit cela était stupide. Elle devrait lire ce qu’était la vie dans l’Égypte ancienne, l’Espagne de l’Inquisition, l’Allemagne nazie ou la RDA.
      Ces régimes étaient technologiquement en retard par rapport à la Switzerland, la New Zealand, le Denmark, l’Estonia et l’Ireland d’aujourd’hui, mais ils n’étaient pas plus libres [1].
      [1] https://worldpopulationreview.com/country-rankings/freedom-i...
  • Je ne pense pas que mes données personnelles soient quelque chose que la FTC devrait « protéger » ou « réguler ».
    La seule législation efficace serait d’interdire complètement tout point de vente de données personnelles d’utilisateurs sans consentement explicite de l’utilisateur (par exemple une validation des cookies), mais cela n’arrivera jamais.
    Et si c’est aussi flagrant, je me demande aussi pourquoi il n’y a pas encore eu de procès. Le gouvernement américain est déjà lié par la Constitution et le quatrième amendement. Je ne pense pas qu’il nous faille une loi mal ficelée écrite par des gens qui ne savent même pas ce qu’ils font.