Révélation Choc : Comment vos Apps Vendent les Données de Localisation du Personnel Militaire et du Renseignement Américain

Problématique des données de localisation capturées par les applications

De nombreuses applications capturent des données de localisation. Pour certaines, cette fonctionnalité est essentielle, comme pour les applications de cartographie ou de navigation. D'autres applications en bénéficient de façon indirecte, comme celles permettant de sauvegarder l’endroit où une photo est prise, à l'instar de l'application Appareil photo d'Apple. Cependant, d'innombrables autres applications collectent ces données sans raison apparente. Sur iOS, une demande de permission s'affiche, et nous avons sûrement tous déjà vu des applications demander cette autorisation sans motif clair.

La raison la plus probable est que ces données sont très prisées par les publicitaires. Les développeurs signent des accords avec des entreprises de ad-tech qui leur permettent de cibler les publicités en fonction de la localité, en échange d'un partage des revenus.

Le problème survient lorsque ces accords définissent de manière floue l'utilisation des données de localisation, pouvant ainsi permettre leur revente. Dans certains cas, même sans accord, des entreprises peu scrupuleuses les revendent tout de même.

Ventes de localisations de personnel militaire et de renseignement américain

L'année dernière, il a été découvert que Datastream, une entreprise américaine, vendait des données de localisation du personnel militaire et de renseignement américain. Une enquête par Wired et d'autres organes de presse a révélé la manière dont ces données étaient collectées.

L'enquête conjointe de Wired, Bayerischer Rundfunk (BR) et Netzpolitik.org a analysé un échantillon gratuit de données de localisation fourni par Datastream. Elle a montré que Datastream offrait un accès à des données de localisation précises provenant d’appareils appartenant probablement à du personnel militaire et de renseignement américain à l'étranger, notamment sur des bases aériennes allemandes censées stocker des armes nucléaires américaines. Datastream, en tant que courtier de données, obtient ces données d'autres fournisseurs pour ensuite les vendre.

Les données étaient probablement collectées grâce à des SDK (kits de développement logiciel) intégrés dans des applications mobiles par des développeurs, qui acceptent ces outils de suivi en échange d'accords de partage des revenus avec des courtiers de données.

À la suite de ce rapport, le bureau du sénateur Ron Wyden a exigé des réponses de Datastream Group concernant son rôle dans le trafic des données de localisation du personnel militaire américain. Datastream a identifié Eskimi comme son fournisseur, affirmant avoir obtenu les données légalement de la part d'un prestataire tiers réputé, Eskimi.com.

Eskimi est une entreprise ad-tech lituanienne, qui affirmait que les données n'étaient pas destinées à être revendues. À ce stade, on ne sait pas quelles applications étaient à l'origine des données, mais les enquêtes se poursuivent. Il reste aussi à déterminer si les accords signés par les développeurs autorisaient la revente des données de localisation, au lieu de les utiliser uniquement pour afficher des publicités au sein de leurs applications.

Il ne s’agit pas de suggérer que quelqu'un ait délibérément visé à capturer des données militaires, mais une filtration par les localisations des bases militaires américaines, tant sur le territoire national qu'à l'étranger, pourrait aisément identifier des personnes vraisemblablement membres du personnel.

Entreprises de surveillance avec de meilleurs modèles d'affaires

Zach Edwards, analyste de la menace sénior chez la firme de cybersécurité Silent Push, considère cela comme un exemple parmi d'autres d'un problème croissant. Il affirme que de nombreuses entreprises de ad-tech vendent des données de localisation à la fois aux entreprises et aux gouvernements.

“Les entreprises publicitaires ne sont que des entreprises de surveillance avec de meilleurs modèles d'affaires,” déclare Edwards.

Ce n'est pas la première fois que des applications divulguent des données de localisation de personnel militaire à l'étranger. Il existe également des exemples connus de l'armée et d'agences d'application de la loi américaines achetant des données de localisation.

Position de 9to5Mac

Même en mettant de côté la sensibilité des données militaires, aucun utilisateur d'une application iPhone ou Android ne s'attend à ce que ses données de localisation soient revendues, peu importe ce que peuvent cacher les petites lignes de la politique de confidentialité.

Il est temps que des lois interdisent la vente de données personnelles sensibles.

### Quels types d'applications capturent généralement les données de localisation ? Certaines applications, comme les cartes et les navigateurs de transport, nécessitent la capture de données de localisation pour fonctionner correctement. D'autres applications, comme les applications de caméra, peuvent stocker des informations sur l'endroit où une photo a été prise. Cependant, de nombreuses applications collectent des données de localisation sans raison claire. ### Pourquoi les applications collectent-elles des données de localisation ? Les données de localisation sont précieuses pour les annonceurs, car elles permettent de cibler les publicités par pays ou même par ville. Les développeurs signent des accords avec des entreprises de technologie publicitaire qui permettent de diffuser des annonces ciblées en échange d'une part des revenus. ### Quel est le problème avec la vente de données de localisation des militaires et du personnel de renseignement américains ? Il a été révélé que certaines entreprises vendaient des données de localisation précises de militaires américains et de personnels de renseignement, y compris ceux en poste à l'étranger. Ces informations peuvent être utilisées pour identifier des personnes en service ou leur emplacement exact, ce qui présente un risque de sécurité. ### Comment les données de localisation sont-elles revendues, même lorsque les accords ne le permettent pas ? Les accords avec les développeurs peuvent contenir des termes vagues qui permettent la revente de données. Même si l'accord interdit la revente, des entreprises malveillantes peuvent quand même le faire, en profitant des lacunes dans les conditions d'utilisation.