1 points par GN⁺ 2024-10-25 | 1 commentaires | Partager sur WhatsApp
  • Le procès fondé sur la Daniel’s Law dans le New Jersey révèle que les données publicitaires d’applications et de sites web sont agrégées dans des services commerciaux, permettant même à des clients privés d’utiliser un suivi des déplacements individuels autrefois considéré comme relevant d’une surveillance de niveau étatique
  • LocateX de Babel Street permet de définir un polygone sur une carte autour d’un lieu précis, puis d’afficher avec quelques jours de décalage l’historique des déplacements des appareils mobiles qui y sont entrés ou en sont sortis, avec possibilité de suivre des appareils individuels via le MAID
  • Un enquêteur mandaté par Atlas Data Privacy a pu, avec un simple compte d’essai gratuit de deux semaines, suivre la position de cibles sensibles comme des policiers du New Jersey, de potentiels jurés de tribunal, ainsi que des visiteurs et employés de cliniques d’avortement
  • Les données de localisation se diffusent via les autorisations d’apps, les requêtes d’enchères publicitaires et les réseaux d’enchères en temps réel, et Atlas estime qu’un accès à des milliards voire des dizaines de milliards de points de données est possible pour 10 000 à 50 000 dollars par an
  • Android comme iOS permettent de limiter l’ID publicitaire et les permissions de localisation, mais si les appareils de proches ou de collègues sont suivis, il devient possible d’en déduire la position des personnes situées à proximité

Procès Daniel’s Law et Babel Street LocateX

  • Atlas Data Privacy Corp., basée dans le Delaware, est une société qui aide à supprimer des données personnelles auprès de courtiers en données grand public et de services de recherche de personnes en ligne
  • En 2024, Atlas a intenté des poursuites contre 151 courtiers en données grand public au nom d’un groupe de clients comprenant plus de 20 000 agents des forces de l’ordre du New Jersey
  • Le point central est de savoir si ces courtiers en données ont violé à plusieurs reprises la Daniel’s Law
    • La Daniel’s Law est une loi du New Jersey qui permet aux membres des forces de l’ordre et du gouvernement, aux juges et à leurs familles, d’obtenir la suppression complète de leurs informations chez les courtiers en données commerciaux
    • La loi a été adoptée en 2020 après la mort de Daniel Anderl, fils d’un juge fédéral visé par une attaque
  • La semaine dernière, Atlas a déposé une plainte contre Babel Street, société technologique immatriculée à Reston, en Virginie, sur le fondement de la Daniel’s Law
  • Le produit phare de Babel Street permet de dessiner un polygone numérique autour de pratiquement n’importe quel endroit sur une carte du monde, puis d’afficher l’historique horodaté, avec quelques jours de décalage, des appareils mobiles ayant transité par cette zone

Comment fonctionne le suivi dans LocateX

  • LocateX de Babel Street peut suivre des utilisateurs mobiles individuels à l’aide du Mobile Advertising ID (MAID), un identifiant alphanumérique unique intégré aux appareils Google Android et Apple
  • Cette fonctionnalité exploite des données de localisation et des identifiants collectés par divers sites web et applications
    • Ces informations peuvent être envoyées à des dizaines ou des centaines de réseaux publicitaires cherchant à afficher une publicité à un utilisateur donné
  • L’enquêteur privé mandaté par Atlas s’est vu proposer un essai gratuit de Babel Street et affirme avoir pu s’en servir pour identifier l’adresse du domicile et les déplacements quotidiens de la famille d’un policier du New Jersey déjà victime de harcèlement et de menaces de mort
  • L’enquêteur a constaté que Babel Street associait à sa plateforme des services de recherche de personnes, ce qui permettait aux clients de réduire plus facilement le périmètre jusqu’à un appareil précis
  • Un commercial de Babel Street aurait affirmé que le service n’était proposé qu’au gouvernement ou à des « contractants gouvernementaux », mais selon Atlas, quand l’enquêteur a dit envisager de futurs contrats publics, il lui a été répondu que « c’était suffisant » et qu’« ils ne vérifiaient pas vraiment »

Exemples pouvant mener à une surveillance sans mandat

  • Pendant la période d’essai, l’enquêteur d’Atlas dit avoir pu trouver des informations sur les visiteurs de lieux à haut risque comme des mosquées, synagogues, tribunaux et cliniques d’avortement
  • Une vidéo montrerait comment isoler les appareils mobiles présents sur un parking réservé aux jurés d’un tribunal du New Jersey, puis suivre pendant plusieurs jours, jusqu’à son domicile, le téléphone d’une personne semblant être juré
  • LocateX permet aussi de tracer un polygone numérique autour du domicile ou du lieu de travail d’une cible afin de filtrer uniquement les appareils passant chaque jour par cette adresse
  • L’une des fonctions propres à Babel Street, night mode, facilite l’identification à quelques mètres près de l’endroit où une cible passe régulièrement ses nuits
  • Les conditions d’utilisation de LocateX indiquent que le produit ne peut servir de fondement à aucune procédure légale d’aucun pays, y compris mandat, assignation ou autre mesure juridique ou administrative
  • Scott Maloney, policier à Rahway dans le New Jersey, a déclaré que suivre quelqu’un dans une enquête criminelle nécessite un mandat judiciaire et qu’il est profondément troublant que des courtiers en données puissent suivre et vendre des informations sur sa famille sans consentement

Le cas du couple Maloney et les données de localisation des apps

  • Les plaignants d’Atlas, Scott Maloney et Justyna Maloney, sont policiers à Rahway, dans le New Jersey, et vivent avec leurs deux enfants
  • En avril 2023, après que Justyna a répondu à un signalement banal concernant un homme filmant des personnes devant la Motor Vehicle Commission, une vidéo montée de manière sélective a circulé et l’adresse du domicile du couple ainsi qu’un numéro de téléphone non public ont été publiés en ligne
  • Selon la plainte, le couple a ensuite reçu des demandes d’argent, des menaces de mort promettant qu’ils « paieraient de leur sang », ainsi qu’une vidéo de menace armée évoquant le fait de couper la tête de leur famille
  • Quelques semaines plus tard, un voisin a signalé à la police des individus suspects en ski mask garés près de la maison, et des vidéos de surveillance du voisinage les montreraient en train de tourner autour du domicile des Maloney
    • Les policiers intervenus ont arrêté deux hommes armés pour possession illégale d’armes à feu
  • L’enquêteur d’Atlas n’a pas pu identifier avec certitude l’iPhone de Scott dans Babel Street, mais affirme avoir trouvé l’appareil de Justyna
    • Babel Street contenait près de 100 000 hit liés au téléphone de Justyna sur plusieurs mois, ce qui a permis de reconstituer ses trajets quotidiens et ses rencontres avec d’autres personnes
  • La seule application de l’iPhone de Justyna utilisant des données de localisation était l’app du grand magasin Macy’s
  • Macy’s a répondu que son application comporte une option d’opt-in pour une expérience d’achat enrichie par la localisation, qu’elle ne stocke pas la position des clients et partage des données de localisation avec un nombre limité de partenaires, mais n’a aucune relation avec Babel Street
  • Même lorsqu’un appareil ne permet pas d’identifier directement une personne donnée, l’identification de l’appareil d’un membre de la famille suffit souvent à déduire facilement la position des autres

Données d’enchères publicitaires et écosystème MAID

  • Le MAID a été conçu à l’origine comme un identifiant unique permettant de distinguer les clients mobiles sans recourir à des informations personnellement identifiantes comme le numéro de téléphone ou l’e-mail
  • Il existe aujourd’hui toute une industrie de sociétés marketing et publicitaires qui créent de vastes listes en « enrichissant » le MAID avec des informations historiques et personnelles
  • L’enquêteur d’Atlas a vérifié s’il était possible de retrouver les enregistrements MAID enrichis des clients des forces de l’ordre du New Jersey et dit avoir trouvé de nombreux courtiers en données publicitaires prêts à les vendre
    • Certains vendeurs ne fournissent que des champs limités, comme le nom, le MAID et l’adresse e-mail
    • D’autres courtiers vendent des enregistrements plus détaillés incluant des profils de réseaux sociaux, des coordonnées GPS précises et même des catégories de consommation estimées
  • Les sources de données MAID peuvent inclure des applications comme AccuWeather, GasBuddy, Grindr, MyFitnessPal, qui peuvent collecter le MAID et la localisation puis les revendre à des courtiers
  • Le simple fait de consulter sur smartphone une page web comportant de la publicité peut suffire à partager un profil MAID et des données de localisation
    • Avant même que la publicité ne se charge, le site envoie une bid request à une place de marché publicitaire, qui peut inclure la position exacte de l’utilisateur
    • Le standard public actuel est documenté dans OpenRTB
  • Le risque central est que les données de bidstream soient transmises simultanément en clair à des centaines d’acteurs dans le monde, ce qui les rend de fait accessibles à presque n’importe qui

Jeu de données allemand et étude sur les visiteurs de la SEC

  • Le média allemand netzpolitik.org a acheté début 2024 un jeu de données bidstream contenant plus de 3,6 milliards de points de données et l’a partagé avec BR24
  • Les deux médias ont conclu qu’il était possible, à partir de simples données obtenues en essai gratuit, de reconstituer les profils de déplacement de millions de personnes dans toute l’Allemagne
  • Une étude relayée par Politico montre qu’en utilisant des données publicitaires mobiles obtenues par des chercheurs universitaires du New Hampshire, du Kentucky et de St. Louis, il est possible de relier des visites d’enquêteurs de la SEC à des ventes d’actions effectuées par des initiés avant la divulgation d’une enquête
  • Les chercheurs n’ont pas appliqué la même méthode à d’autres régulateurs, mais ont indiqué qu’en pratique presque n’importe qui pouvait le faire
  • Justin Sherman, du Georgetown Law Center for Privacy and Technology, estime que cela illustre les conséquences du libre prélèvement et de la revente des données de localisation des Américains par les entreprises au prix qu’elles souhaitent

Inquiétudes autour du suivi de localisation lié à l’avortement

  • En 2022, la décision Dobbs de la Cour suprême des États-Unis a supprimé la protection fédérale du droit à l’avortement, et 14 États ont depuis mis en place des interdictions strictes
  • En mai 2023, The Wall Street Journal a rapporté qu’un groupe anti-avortement du Wisconsin utilisait des données de localisation précises pour envoyer des publicités à des femmes soupçonnées de chercher à avorter
  • Il existe aujourd’hui très peu de garde-fous empêchant des groupes anti-avortement d’acheter des données de bidstream ou de louer un accès à une plateforme comme Babel Street pour géorepérer des cliniques d’avortement et révéler les appareils mobiles qui s’y rendent
  • L’enquêteur d’Atlas affirme avoir pu géorepérer une clinique d’avortement, identifier une personne semblant y travailler, puis suivre l’adresse de son domicile et son trajet quotidien domicile-travail
  • Il affirme aussi avoir identifié et suivi via Babel Street une personne partie de son domicile en Alabama jusqu’à une clinique de Tallahassee, en Floride, où l’avortement est légal, avant de rentrer quelques heures plus tard
  • Eva Galperin de l’EFF s’est dite extrêmement préoccupée par la surveillance de masse visant les personnes qui traversent les frontières entre États pour obtenir un avortement

Différences entre Android et iPhone

  • Atlas estime que, pour 10 000 à 50 000 dollars par an, des courtiers peuvent fournir l’accès à des dizaines de milliards de points de données couvrant des populations aux États-Unis et dans de nombreuses régions du monde
  • Les jeux de données obtenus par Atlas contenaient de nombreux anciens enregistrements MAID, sur la base desquels l’entreprise estime pouvoir localiser environ 80 % des appareils Android et environ 25 % des téléphones Apple
  • Google appelle le MAID Android Advertising ID (AAID), tandis qu’Apple parle d’Identifier for Advertisers (IDFA)
  • En avril 2021, Apple a introduit App Tracking Transparency (ATT) dans iOS 14.5, imposant un consentement explicite avant qu’une app puisse suivre un utilisateur à l’aide de l’IDFA ou d’autres identifiants
  • L’arrivée d’ATT a fortement affecté le marché publicitaire, au point que Facebook a déclaré que cette fonction de confidentialité de l’iPhone lui coûterait environ 10 milliards de dollars de revenus en 2022
  • Selon une estimation du département américain de la Justice, la place de marché publicitaire AdX de Google contrôle 47 % du marché américain et 56 % du marché mondial
  • Android représente plus de 72 % du marché mondial des systèmes d’exploitation mobiles, tandis qu’aux États-Unis environ 55 % des utilisateurs ont un iPhone

Position de Google et d’Apple

  • Google a indiqué qu’il n’envoie pas de requêtes d’enchères en temps réel à Babel Street et ne partage pas de données de localisation précises dans les requêtes d’enchères
  • L’entreprise affirme que ses règles interdisent explicitement la vente des données issues des enchères en temps réel ou leur usage à des fins autres que publicitaires
  • Google explique que le MAID est généré aléatoirement, qu’il ne contient ni adresse IP, ni coordonnées GPS, ni autres données de localisation, et que ses systèmes publicitaires ne partagent la localisation précise de personne
  • Android propose des contrôles pour gérer l’accès des apps à la localisation de l’appareil et pour réinitialiser ou supprimer l’identifiant publicitaire
  • Apple a indiqué que Location Services n’est pas activé par défaut sur l’appareil et que les données de localisation ne sont utilisées que si l’utilisateur active ce service et accorde la permission à chaque app ou site web
  • Les utilisateurs Apple peuvent désactiver à tout moment les services de localisation et modifier l’accès à la localisation pour chaque application
    • Les options incluent la localisation précise, la localisation approximative et l’autorisation d’accès ponctuel à la position
  • Zach Edwards de SilentPush estime que les risques pour la vie privée persisteront tant qu’Apple et Google n’auront pas désactivé définitivement le système d’identifiants publicitaires mobiles et reconnu que cette technologie soutient l’écosystème mondial des courtiers en données

Réponses juridiques au niveau des États et enjeux constitutionnels

  • Selon Bloomberg Law, les menaces visant des juges fédéraux ont plus que doublé entre 2019 et 2023
  • Avec la montée des enquêtes politiques hostiles et des théories du complot visant des responsables publics, plusieurs États promeuvent des lois similaires à la Daniel’s Law
  • Un policier retraité de Virginie-Occidentale a intenté un recours collectif contre le service de recherche de personnes Whitepages pour violation d’une loi de l’État semblable à la Daniel’s Law, adoptée en 2021
  • Le Maryland a adopté en mai 2024 le Judge Andrew F. Wilkinson Judicial Security Act
    • Cette loi porte le nom du juge Andrew F. Wilkinson, magistrat de circuit de comté assassiné
    • Elle permet aux membres actuels et anciens du pouvoir judiciaire du Maryland de demander que leurs données personnelles ne soient pas divulguées
    • Les données visées peuvent inclure l’adresse du domicile, le numéro de téléphone, l’e-mail, le numéro de sécurité sociale ou l’identifiant fiscal fédéral, les numéros bancaires ou de carte, les identifiants de véhicule, les actes de naissance ou de mariage, les noms, écoles et garderies des enfants, les lieux de culte, ainsi que l’employeur du conjoint, des enfants ou des personnes à charge
  • Troutman Pepper a écrit qu’en 2024, 37 États examinaient ou avaient adopté des projets de loi comparables pour protéger les membres du pouvoir judiciaire et, dans certains cas, des responsables publics liés aux forces de l’ordre
  • Atlas affirme que LexisNexis, en réponse aux demandes de suppression de données formulées par ses clients des forces de l’ordre du New Jersey, a gelé le crédit d’environ 18 500 personnes et les a faussement signalées comme victimes d’usurpation d’identité
  • L’industrie des courtiers en données a transféré au moins 70 des actions intentées par Atlas devant les tribunaux fédéraux et soutient que la loi du New Jersey est trop large et viole le Premier amendement
  • Le juge saisi du dossier devrait se prononcer sur les demandes de rejet dans les prochaines semaines et, quel que soit le résultat, la décision pourrait être portée jusqu’à la Cour suprême des États-Unis
  • Des spécialistes du droit des médias craignent que l’adoption de lois similaires à la Daniel’s Law dans d’autres États ne limite la capacité de la presse à surveiller les responsables publics et n’expose à des poursuites pénales les médias qui publient des documents publics ou administratifs servant de source à l’industrie de la recherche de personnes

Absence du Congrès et régulation des courtiers en données

  • Sen. Ron Wyden a déclaré que la crise actuelle de la vie privée résulte de l’incapacité du Congrès à réguler les courtiers en données et de l’opposition persistante de l’exécutif à une législation bipartisane limitant la vente de données aux forces de l’ordre
  • Wyden a averti que les données de localisation peuvent servir à identifier et exposer des Américains LGBT+, ou à suivre des personnes qui traversent les frontières d’un État pour accéder à des soins reproductifs
  • Il critique aussi le fait que les courtiers en données vendent pour quelques dollars les secrets les plus intimes des Américains, les exposant à de graves préjudices
  • Wyden estime également que Google porte une part de responsabilité pour ne pas avoir supprimé, comme Apple, la capacité des entreprises à suivre les téléphones
  • Justin Sherman explique que les courtiers en données et le secteur de la publicité mobile parlent d’anonymisation, de restrictions d’accès et de limites à ce qu’on peut inférer à partir des données de localisation, alors qu’en pratique on peut déduire des informations sur des victimes de violences, des états de santé, des croyances religieuses, des jurés, des agents des forces de l’ordre visitant le domicile de suspects, ou encore des personnels du renseignement et leurs contacts

Réglages que les utilisateurs peuvent modifier

  • Les experts en vie privée estiment que désactiver ou supprimer le MAID d’un appareil n’affecte pas le fonctionnement du téléphone, mais peut réduire fortement la publicité ciblée sur cet appareil
  • Sur Android, on peut aller dans l’app Settings puis Location > App Permissions pour voir quelles apps ont accès à la localisation
    • « Allowed all the time » correspond à l’autorisation la plus large
    • Viennent ensuite « Allowed only while in use », « Ask every time » et « Not allowed »
  • Les utilisateurs Android peuvent aller dans Settings > Privacy > Ads puis cliquer sur Delete advertising ID pour supprimer définitivement l’identifiant publicitaire
    • Selon l’EFF, cela empêche ensuite toute application du téléphone d’accéder à cet identifiant
  • Sur iOS, les apps doivent par défaut demander l’autorisation avant d’accéder à l’IDFA de l’appareil
    • Lorsqu’un message demande l’autorisation de suivi à l’installation d’une nouvelle app, il est possible de choisir « Ask App Not to Track »
    • En désactivant l’option « Allow apps to request to track », les apps ne peuvent plus demander ce suivi
  • Le propre système de publicité ciblée d’Apple est distinct du suivi tiers fondé sur l’IDFA
    • Il faut désactiver Personalized Ads dans Settings > Privacy > Apple Advertising
  • Les personnes qui assurent le support informatique de base pour leur famille ou leurs amis ont intérêt à désactiver aussi le suivi sur les appareils de leur entourage, ainsi que les apps gardant le partage de position activé 24h/24
  • Même si votre propre appareil n’est pas directement suivi via les données publicitaires, la localisation de quelqu’un à proximité peut être déduite si l’appareil d’une personne proche est, lui, suivi

1 commentaires

 
GN⁺ 2024-10-25
Avis de Hacker News
  • On peut débattre de la question de savoir si la police devrait avoir accès à ces données, ainsi que de la manière dont cet accès et ses motifs devraient être encadrés
    Il n’y a sans doute pas de réponse unique, car les attentes culturelles en matière de vie privée et de sécurité diffèrent, mais on ne peut pas dire que la situation actuelle, avec zéro régulation, soit acceptable
    Le fait que n’importe qui puisse, simplement en payant, collecter les données de localisation en très haute résolution d’autrui est vraiment absurde

    • Aux débuts des données sans fil, une application d’AT&T utilisait le GPS des personnes connectées pour proposer une fonction permettant de trouver des amis à proximité
      C’était présenté comme un moyen de trouver quelqu’un avec qui aller voir un match de baseball quand on avait des billets gratuits en centre-ville, mais les gens ont pris peur en réalisant que l’appareil connaissait leur position, et ça a été un échec total
      Nextel avait aussi sorti une application de suivi d’entreprise pour les sociétés de livraison, permettant de surveiller la position des véhicules et les temps d’arrêt ; une entreprise a annulé son déploiement après l’opposition des employés, et dans une autre, après l’installation, les employés ont intenté une action pour atteinte à la vie privée, ce qui a conduit à son retrait en quelques mois
      À l’époque, on ne voulait pas de ce genre de choses ; il est étrange de voir qu’aujourd’hui on est passé à une situation où l’on transmet simplement toutes ses informations personnelles à des entreprises privées
    • Dire qu’il y a « zéro régulation », n’est-ce pas oublier le RGPD ?
  • La première fois que j’ai été confronté à l’idée que les données de téléphone mobile pouvaient être revendues à des tiers, c’était en 2003, lors d’un voyage en Tchéquie
    Dès que j’ai franchi la frontière autrichienne, mon téléphone américain a commencé à recevoir des SMS de spam : d’abord un message de bienvenue de l’opérateur local, quelques minutes plus tard une information d’itinérance de T-Mobile, puis des publicités pour des hôtels, restaurants et casinos
    C’était déjà le cas avant l’ère des « smartphones », donc il n’est pas surprenant que la situation se soit fortement aggravée aujourd’hui

    • Le mois dernier, j’ai pris l’avion pour une autre région des États-Unis et j’ai commencé à recevoir du spam politique par SMS correspondant à cette région ; même après mon retour, il a fallu environ deux semaines pour que le niveau de spam revienne à la normale
    • Il y a quelques années, quand je suis allé à Detroit, j’ai reçu le lendemain matin un message d’un opérateur canadien, probablement Rogers, me souhaitant la bienvenue au « Canadia »
      Je n’ai pas reçu de spam supplémentaire, mais c’est la première fois que je me suis dit que les problèmes techniques liés à la réception de signaux de plusieurs pays près d’une frontière devaient être des défis assez « amusants »
  • Le mode « nuit » de Babel Street permet de déterminer facilement, à quelques mètres près, où une personne dort généralement chaque nuit
    Il y a très peu de raisons pour lesquelles quelqu’un, y compris les forces de l’ordre, aurait besoin d’une telle fonction d’estimation de la position nocturne, et les raisons qui viennent à l’esprit paraissent toutes assez sombres

    • Cette fonction peut être très utile à la police lorsqu’elle prépare une opération d’arrestation
      Car savoir qu’un suspect est endormi réduit fortement le risque que les policiers se fassent tirer dessus
      Mais cette information n’a pas de lien direct avec l’établissement des faits dans une affaire ; elle est pertinente uniquement sur le plan tactique, pas stratégique
      Je me demande donc s’il faudrait un mécanisme allant au-delà du quatrième amendement
      En regardant les choses naïvement, si une information ne peut pas servir de preuve pour établir une affaire, les forces de l’ordre ne devraient pas y avoir accès, et probablement personne ne devrait y avoir accès
  • Il suffit d’utiliser et de configurer Pi-Hole
    Configuration de Pi-Hole : https://jeffmorhous.com/block-ads-for-your-entire-network-wi...
    Vidéo pour ceux qui préfèrent YouTube : https://www.youtube.com/watch?v=eCA24qJBG8Q

    • Si un appareil mobile maintient simultanément une connexion cellulaire en plus du Wi-Fi et que les applications peuvent accéder aux deux, ou s’il sort du LAN sans VPN à tunnel forcé, Pi-Hole n’a aucun effet
      Même avec un tel VPN, les interfaces réseau cellulaires d’Android et d’iOS conservent des chemins de secours intégrés
      Ajoutez à cela la configuration de Pi-Hole, du LAN et de DoH, et cela devient encore plus complexe
      Comme le disent Krebs et les personnes qu’il cite, il est temps qu’Apple et Google suppriment complètement les MAID
      Mais ne downvotez pas pour autant le commentaire parent : il faut utiliser des bloqueurs de publicité fiables partout où c’est possible
    • À cause de DoH/DoT et des IP codées en dur, le blocage publicitaire basé sur le DNS devient impossible
  • J’ai discuté avec quelqu’un qui travaillait sur la publicité chez Google, et il a affirmé que ce type de suivi n’y était pas utilisé
    Mais même au sein de ces entreprises, j’imagine qu’ils chercheraient à dissimuler le niveau de suivi qu’ils pratiquent
    Pour l’empêcher, il faudrait rendre les entreprises responsables de ce qui arrive à cause des données qu’elles collectent
    Qu’elles aient été vendues, volées ou transmises, si les données qu’une entreprise a collectées sont utilisées de manière inappropriée, cette entreprise devrait en payer le prix

    • Que faire lorsque le gouvernement récupère ces données, autorise et légalise leur collecte, et les collecte lui-même en secret ?
      Les grandes entreprises comme les organisations gouvernementales adorent les données
      Des secteurs comme la tech et la finance, ainsi que la forme de gouvernance planifiée à venir, c’est-à-dire la technocratie, sont eux aussi construits dessus
      Au final, la collecte de données fait déjà partie du plan ; la seule question qui reste est de savoir si les individus peuvent en avoir connaissance
    • Une citation souvent reprise, mais qui mérite de rester en tête : « Il est difficile de faire comprendre quelque chose à quelqu’un lorsque son salaire dépend du fait qu’il ne le comprenne pas »
      Quand on voit, dans de nombreux scandales, combien de personnes étaient au courant dès le départ, et à quelle fréquence les abus et les crimes sont étouffés ou exploités plutôt que signalés ou contestés, la malveillance paraît très ordinaire
      « La seule chose nécessaire au triomphe du mal est que les gens de bien ne fassent rien »
      Une entreprise étant au final un groupe de personnes, il faudrait peut-être des incitations plus fortes pour empêcher les gens de laisser « l’entreprise » commettre des actes antisociaux
      Au moins pour les dirigeants
      Il se peut que l’entreprise cache des choses, ou que les gens se mentent à eux-mêmes
      Ce sont des personnes assez intelligentes pour comprendre, mais à partir d’un certain point, cela devient de l’ignorance volontaire
  • Avec le temps, il deviendra sans doute de plus en plus clair que la seule solution est de criminaliser la détention même de ce type de données et de créer une procédure permettant de demander des dommages-intérêts forfaitaires lorsqu’elles sont découvertes
    Il existe un précédent dans l’industrie musicale, avec des dommages automatiques pour le partage de musique protégée par le droit d’auteur, sans calcul du préjudice réel
    Cette procédure comporte déjà des mécanismes raisonnables pour distinguer l’usage intentionnel de l’usage accidentel
    Cela ferait alors émerger une industrie chargée de rechercher des preuves sur la base d’honoraires de résultat

  • J’étais un Xoogler (2011–2018)
    À une époque, j’avais proposé une idée pour permettre aux utilisateurs de « mentir » facilement aux apps, par exemple en fournissant de fausses données de localisation lorsqu’une app demandait la position.
    Cela aurait permis de préserver un véritable choix client en matière d’anonymat.
    La réaction à cette idée m’a beaucoup appris sur les incitations.

    • On ne peut pas laisser les choses aussi mystérieuses ; je suis curieux de savoir ce qui s’est passé.
      Si tu n’es pas lié par quelque chose comme un NDA, j’aimerais que tu en parles.
    • L’altruisme efficace le plus efficace n’a absolument pas besoin d’anonymat.
  • La publicité est, au bout du compte, un virus qui infecte tout l’écosystème.

    • Ayant été indépendant par le passé, je trouve que la publicité a du bon.
      Elle aide les petites entreprises à rivaliser avec de grandes entreprises bien connues.
      Mais personne n’a besoin d’un tel niveau de données.
      Ce dont les annonceurs ont besoin, c’est simplement d’afficher une pub pour des chaussures quand un utilisateur cherche des chaussures sur Google.
      Cette publicité contextuelle est une bonne publicité et peut parfois être utile à l’utilisateur.
    • C’est pour cela que je n’utilise que des logiciels open source respectueux des utilisateurs.
    • La publicité est le moteur du marché libre.
      Le fait que la publicité sur le Web et dans les apps puisse être utilisée à des fins malveillantes ressemble au fait que l’argent liquide, ou presque n’importe quoi d’autre, peut aussi l’être.
      La réglementation tente de réduire ces dommages, mais elle n’est au fond qu’un dispositif pour traiter indirectement la malveillance humaine.
  • Si l’on appelait ce niveau délirant de traçage ultra-fin par son véritable nom, au regard de ses effets concrets, ce serait du harcèlement obsessionnel, et cela devrait être un crime.
    Si l’esprit de notre époque est dominé par un écart de cruauté, alors les données personnelles des personnes qui travaillent dans l’industrie de la « publicité » et du tracking, ainsi que ce qu’elles ont espionné grâce aux technologies de surveillance, devraient aussi se retrouver dans une base de données publique.
    S’il existe un excellent usage pour Google Glass, ce pourrait être de surveiller les surveillants.

  • Je me demande comment cela fonctionne sur iOS depuis qu’Apple a supprimé l’IDFA.
    L’identifiant publicitaire d’une app donnée (MAID) ne concerne que cette app et ne semble donc pas utile pour le profilage, et je ne vois pas bien comment une app pourrait accéder à un autre identifiant sur iOS.
    Les adresses MAC Wi‑Fi sont également randomisées.
    Si l’on va encore plus loin en coupant l’accès à la localisation pour les apps et en désactivant aussi l’identifiant publicitaire global, les recherches décrites dans l’article semblent difficiles.
    Les « 25 % de téléphones Apple » mentionnés dans l’article désignent-ils des appareils legacy utilisant une ancienne version d’iOS antérieure à la suppression de l’IDFA ?

    • Ces 25 % semblent désigner les utilisateurs qui ont volontairement choisi l’option autorisant le tracking.
      Ce rapport semble plutôt confirmer ce qu’Apple affirme depuis le début sur les effets de cette décision.