Le Far West mondial de la surveillance via les données publicitaires mobiles

 (krebsonsecurity.com)
1 points par GN⁺ 2024-10-25 | 1 commentaires | Partager sur WhatsApp

  • Expansion du suivi des données personnelles

    • Dans un récent débat constitutionnel autour de la loi sur la vie privée du New Jersey, une plainte a montré que n’importe qui peut suivre les déplacements quotidiens d’une personne à partir de données collectées par des applications mobiles et des sites web.
    • Atlas Data Privacy Corp. propose un service de suppression d’informations personnelles auprès des courtiers en données grand public et des services de recherche de personnes en ligne, et a intenté une action contre 151 courtiers en données au nom des forces de l’ordre du New Jersey.
    • Cette action vise des courtiers en données accusés d’avoir violé la Daniel’s Law, une loi qui permet de supprimer complètement des courtiers en données commerciaux les informations concernant les membres des forces de l’ordre, les responsables publics, les juges et leurs familles.

  • Procédure contre Babel Street

    • Atlas a engagé des poursuites contre l’entreprise technologique Babel Street, qui fournit une plateforme capable de suivre les déplacements des appareils mobiles dans une zone donnée.
    • La plateforme LocateX de Babel Street permet de suivre des utilisateurs mobiles individuels à l’aide des identifiants publicitaires mobiles.
    • Grâce à l’essai gratuit de Babel Street, les enquêteurs d’Atlas ont pu identifier l’adresse et les déplacements quotidiens d’un policier du New Jersey.

  • Les risques d’une surveillance sans mandat

    • Pendant la période d’essai de Babel Street, Atlas a pu retrouver des informations sur des personnes ayant visité des lieux sensibles comme une mosquée, un tribunal ou une clinique pratiquant l’avortement.
    • Les fonctionnalités de Babel Street permettent d’identifier la localisation nocturne d’un appareil donné, ce qui peut être utilisé pour suivre les déplacements quotidiens d’une personne.

  • Le problème des identifiants publicitaires mobiles

    • Les identifiants publicitaires mobiles (MAID) ont été conçus pour distinguer des utilisateurs mobiles individuels sans recourir à des informations d’identification personnelle, mais il existe désormais tout un secteur qui vend des listes de MAID accompagnées d’informations personnelles.
    • Atlas a pu retrouver les enregistrements MAID de membres des forces de l’ordre du New Jersey, et de nombreux courtiers en données les vendaient.

  • Mesures de protection de la vie privée

    • Des moyens existent sur les appareils Android et iOS pour supprimer l’identifiant publicitaire ou bloquer le suivi.
    • Les utilisateurs peuvent gérer, dans les réglages de leur appareil, les autorisations d’accès à la localisation accordées aux applications.

Le récapitulatif de GN⁺

  • Cet article souligne l’ampleur prise par les données publicitaires mobiles et l’importance de la protection de la vie privée.
  • Des plateformes comme Babel Street comportent le risque de permettre un suivi très facile des déplacements quotidiens d’une personne.
  • Il pointe le problème de la commercialisation des données personnelles dans un contexte de régulation juridique insuffisante, et insiste sur la nécessité de mesures légales pour protéger la vie privée.
  • Parmi les autres projets offrant des fonctions similaires figurent SilentPush et Fog Reveal.

À lire aussi

1 commentaires

 
GN⁺ 2024-10-25
Commentaires Hacker News
  • Il faut débattre de la possibilité pour la police d’accéder à ces données, et l’absence totale de réglementation actuelle est problématique
    • Le mode « nuit » de Babel Street permet de repérer facilement la localisation d’une personne, ce qui en fait une fonctionnalité dangereuse
  • D’après une expérience de travail chez Google, une fonctionnalité fournissant de fausses données aux applications a été proposée, mais les réactions ont montré à quel point les incitations sont importantes
  • Lors d’une conversation avec quelqu’un ayant travaillé sur la publicité chez Google, cette personne affirmait que le suivi n’était pas utilisé, mais il y a des soupçons que l’entreprise cherche aussi en interne à dissimuler le niveau réel du suivi
    • Si les données sont utilisées de manière inappropriée, l’entreprise qui les a collectées doit en porter la responsabilité
  • Il est possible de bloquer les publicités sur tout le réseau avec Pi-Hole
    • Une vidéo associée est également fournie
  • La publicité est comme un virus qui infecte tout l’écosystème
  • Criminaliser la possession de ces données, et permettre de réclamer des dommages-intérêts forfaitaires lorsqu’elles sont découvertes, serait peut-être la seule solution
    • Il existe un précédent dans l’industrie musicale
  • Demande d’explication sur le fonctionnement sur iOS après la suppression de l’IDFA par Apple
    • L’identifiant publicitaire n’est pertinent que pour certaines applications, et il est difficile d’accéder à d’autres identifiants sur iOS
    • On se demande si « 25 % des téléphones Apple » désigne des appareils utilisant d’anciennes versions d’iOS
  • 12 ans dans l’industrie adtech, dont 3 ans dans une entreprise utilisant les données de campagnes « drive to store »
    • Les données étaient anonymisées conformément au RGPD, mais les données de localisation permettent malgré tout d’identifier des personnes
    • En France et dans d’autres secteurs en Europe, la réglementation reste insuffisante
  • Lors d’une visite en République tchèque en 2003, première expérience de vente de données mobiles à des tiers
    • Dès le passage de la frontière, des SMS spam ont commencé à arriver, à une époque antérieure aux smartphones
    • Il n’est pas surprenant que la situation ait empiré aujourd’hui