Confidentialité

Les forces de l'ordre ont suivi 500 millions d'appareils grâce aux données publicitaires

11 avril 20264 min de lecture

Les forces de l'ordre ont utilisé des réseaux publicitaires pour suivre 500 millions d'appareils

Un nouveau rapport du Citizen Lab a mis au jour un outil de surveillance appelé Webloc, que des agences des forces de l'ordre aux États-Unis, en Hongrie et au Salvador utilisent pour surveiller jusqu'à 500 millions d'appareils mobiles dans le monde entier. Cet outil ne repose pas sur les écoutes téléphoniques traditionnelles ni sur les interceptions ordonnées par un tribunal. Il exploite plutôt la même infrastructure publicitaire qui alimente les applications gratuites sur votre téléphone.

Ces conclusions soulèvent de sérieuses questions quant à la manière dont les gouvernements acquièrent et utilisent des données disponibles dans le commerce, et ce que cela signifie pour la vie privée des personnes ordinaires qui n'ont jamais été soupçonnées du moindre crime.

Qu'est-ce que Webloc et comment fonctionne-t-il ?

Webloc collecte des données provenant d'applications mobiles et de réseaux publicitaires numériques. Lorsque vous utilisez une application gratuite, celle-ci partage généralement des informations avec des réseaux publicitaires afin de vous afficher des publicités ciblées. Ces données comprennent souvent un identifiant d'appareil, des coordonnées de localisation précises, ainsi que des attributs de profil tels que l'âge estimé, les centres d'intérêt et le comportement de navigation.

Webloc agrège ces informations et les rend consultables par les forces de l'ordre. Les autorités peuvent l'utiliser pour retracer les déplacements historiques d'un appareil, identifier le lieu de résidence ou de travail d'une personne, et dresser un profil comportemental détaillé, le tout sans obtenir de mandat traditionnel pour les données de localisation.

La portée de cet outil est saisissante. Les réseaux publicitaires opèrent à l'échelle mondiale et collectent des données de manière passive, ce qui signifie que le propriétaire d'un appareil n'a pas besoin de faire quoi que ce soit d'inhabituel pour figurer dans l'ensemble de données. Le simple fait d'utiliser des applications affichant des publicités peut suffire.

Une surveillance sans mandat par une porte dérobée commerciale

Le cadre juridique de cette situation a son importance. Les tribunaux de nombreuses juridictions ont imposé des restrictions sur la manière dont les gouvernements peuvent collecter directement des données de localisation auprès des opérateurs téléphoniques ou des systèmes GPS. Mais l'achat ou l'octroi de licences pour ces mêmes données par l'intermédiaire d'acteurs commerciaux a longtemps existé dans une zone grise que les législateurs ont tardé à encadrer.

Le rapport du Citizen Lab souligne qu'il ne s'agit pas d'une faille hypothétique. Les gouvernements l'exploitent activement. L'implication d'agences dans trois pays aux systèmes juridiques très différents laisse entendre que des outils de type Webloc sont attrayants précisément parce qu'ils contournent les exigences de mandat qui s'appliqueraient aux méthodes de surveillance directe.

La Hongrie et le Salvador ont toutes deux des antécédents en matière d'utilisation de technologies de surveillance contre des journalistes, des militants et des opposants politiques, ce qui rend la mise en lumière de cet outil particulièrement significative pour les chercheurs en libertés civiles.

Ce que cela signifie pour vous

Vous n'avez pas besoin d'être dans le viseur des forces de l'ordre pour que cela vous affecte. Les données collectées par les réseaux publicitaires sont indiscriminées. Elles quittent votre appareil chaque fois qu'une application contacte un serveur publicitaire, peu importe ce que vous faites ou qui vous êtes.

Voici quelques points pratiques à comprendre :

Les identifiants d'appareils sont persistants. L'identifiant publicitaire de votre téléphone est conçu pour vous suivre d'une application à l'autre. Le réinitialiser périodiquement réduit la continuité de votre profil, même si cela n'élimine pas entièrement la collecte de données.
Les autorisations de localisation ont leur importance. Les applications qui demandent un accès précis à la localisation en arrière-plan sont les plus susceptibles de contribuer au type de données que collecte Webloc. Examiner et restreindre les autorisations de localisation pour les applications qui n'en ont pas réellement besoin est une démarche simple et accessible.
La collecte de données publicitaires est largement invisible. Contrairement à un cookie de suivi sur un site web que vous pouvez théoriquement supprimer, les données transitant par les SDK publicitaires mobiles ne sont présentées aux utilisateurs d'aucune manière significative.
Les VPN peuvent limiter une partie de l'exposition. Masquer votre adresse IP réduit un point de données que les réseaux publicitaires utilisent pour corréler votre activité et approximer votre localisation, bien qu'un VPN seul n'empêche pas une application de lire les coordonnées GPS de votre appareil si vous lui avez accordé cette autorisation.
Les paramètres de confidentialité des systèmes d'exploitation aident. Android et iOS ont tous deux ajouté des options pour limiter le suivi publicitaire au niveau du système. Activer ces options ne vous rend pas invisible, mais réduit la richesse du profil qui peut être constitué.

Le rapport du Citizen Lab rappelle que l'économie des données construite pour servir les annonceurs est également devenue une infrastructure pour la surveillance étatique. Les deux n'ont jamais été entièrement distincts, mais l'ampleur et le niveau de détail opérationnel révélés ici rendent ce lien concret.

La réponse la plus efficace n'est pas la panique, mais un changement délibéré des habitudes. Faites l'inventaire des applications sur votre appareil, restreignez les autorisations qui ne servent pas un objectif clair, et considérez l'accès à la localisation comme une autorisation sensible plutôt que comme une autorisation de routine. Ces mesures ne protégeront personne d'une enquête déterminée et bien dotée en ressources, mais elles réduisent considérablement l'exposition passive aux programmes de collecte de données en masse comme Webloc.

Alors que les gouvernements et les tribunaux continuent de débattre de la position des limites légales, les utilisateurs qui comprennent le fonctionnement de ce pipeline de données sont mieux armés pour se protéger en son sein.

// FAQ

Qu'est-ce que Webloc et qui l'utilise ?

Webloc est un outil de surveillance qui collecte des données provenant d'applications mobiles et de réseaux publicitaires numériques, et les rend consultables par les forces de l'ordre. Des agences aux États-Unis, en Hongrie et au Salvador l'utilisent pour surveiller jusqu'à 500 millions d'appareils mobiles dans le monde entier.

Comment Webloc collecte-t-il des données de localisation et de profil sans mandat ?

Webloc exploite l'infrastructure publicitaire utilisée par les applications gratuites, qui partagent passivement des identifiants d'appareils, des coordonnées de localisation précises et des profils comportementaux avec des réseaux publicitaires. Étant donné que les gouvernements achètent ou obtiennent des licences pour ces données par l'intermédiaire d'acteurs commerciaux plutôt que de les collecter directement, cette pratique a existé dans une zone grise juridique qui contourne les exigences traditionnelles en matière de mandat.

Dois-je être un suspect pour que mon appareil figure dans ces données ?

Non, les données collectées par les réseaux publicitaires sont indiscriminées et quittent votre appareil chaque fois qu'une application contacte un serveur publicitaire, indépendamment de vos activités. Le simple fait d'utiliser des applications affichant des publicités suffit pour qu'un appareil figure dans l'ensemble de données.

Quelle organisation a publié le rapport exposant Webloc ?

Le rapport a été publié par le Citizen Lab, qui a mis en évidence le fait que les gouvernements utilisent activement des outils de données commerciales pour mener des activités de surveillance.

Pourquoi l'implication de la Hongrie et du Salvador est-elle considérée comme particulièrement significative ?

La Hongrie et le Salvador ont toutes deux des antécédents documentés en matière d'utilisation de technologies de surveillance contre des journalistes, des militants et des opposants politiques, ce qui rend la mise au jour de cet outil particulièrement significative pour les chercheurs en libertés civiles.

Les forces de l'ordre ont utilisé des réseaux publicitaires pour suivre 500 millions d'appareils

Qu'est-ce que Webloc et comment fonctionne-t-il ?

Une surveillance sans mandat par une porte dérobée commerciale

Ce que cela signifie pour vous

// FAQ

// Similaires