Skip to content
Les trackers d’applications vendent secrètement vos données de localisation au gouvernement.  Les magasins d’applications ne les arrêteront pas.
Les trackers d’applications vendent secrètement vos données de localisation au gouvernement.  Les magasins d’applications ne les arrêteront pas.
Votre application peut envoyer des données de localisation à une entreprise qui vend vos données à une autre entreprise qui vend vos données au gouvernement. | Chandan Khanna / AFP via Getty Images

Google ne peut pas empêcher les trackers de ses applications de vendre des données de localisation au gouvernement. Peut-être que le gouvernement le peut.

Les trackers d’applications vendent secrètement vos données de localisation au gouvernement.  Les magasins d’applications ne les arrêteront pas.

Si vous vous fiez aux règles de l’App Store d’Apple et de Google pour protéger vos données de localisation des entreprises qui les vendent au gouvernement, vous voudrez peut-être repenser cette politique. Mais si vous comptez sur le système juridique pour empêcher les agences gouvernementales d’acheter ces données, vous pourriez avoir de la chance – peut-être.

Un nouveau rapport de l’inspecteur général du département du Trésor indique qu’il ne pense pas que les agences aient le droit légal d’acheter des données de localisation auprès de services commerciaux sans obtenir de mandat. Le chien de garde avait enquêté sur l’Internal Revenue Service (IRS) pour faire exactement cela, mais l’IRS n’est pas la seule agence qui achète des données de localisation sur le marché libre. L’armée, le Federal Bureau of Investigation (FBI), la Drug Enforcement Administration (DEA) et le Department of Homeland Security (DHS) le font également.

Les agences ont déclaré qu’elles ne faisaient rien d’illégal puisqu’elles achetaient simplement des données disponibles dans le commerce fournies par des utilisateurs qui ont consenti à ce que ces données soient collectées. Ce nouveau rapport jette un doute sur cette affirmation, affirmant qu’une décision de la Cour suprême de 2018 exigeant que les forces de l’ordre obtiennent un mandat pour les données des tours de téléphonie cellulaire pourrait également être appliquée aux données de localisation.

Si l’inspecteur général a raison, cela pourrait mettre un terme à l’achat par le gouvernement de données de localisation qui sont obtenues par une série d’intermédiaires, une chaîne d’approvisionnement qui est très difficile à suivre et donc difficile à arrêter. Les magasins d’applications ont tenté de prendre des mesures, mais leurs interdictions peuvent être fuites et incomplètes. Google a récemment interdit un tracker des applications de son App Store, mais les chercheurs ont trouvé à plusieurs reprises des applications qui le contiennent encore. Et, avec toute une industrie dédiée à la récolte et à la vente de données de localisation, même une interdiction complète d’un tracker ne fera pas grand-chose.

La zone grise juridique exploitée par le «blanchiment de données» – et que Google ne s’arrêtera pas

La source de ces données est votre téléphone mobile. Plus précisément, ce sont les applications que vous y installez, qui peuvent renvoyer des données de localisation à des sociétés tierces spécialisées dans la vente de données de localisation, ou y accéder, à des annonceurs, des spécialistes du marketing et des courtiers en données – même à d’autres fournisseurs de données de localisation. Il peut passer par plusieurs entreprises avant d’atteindre son utilisateur final. La chaîne d’approvisionnement des données de localisation est intentionnellement opaque, mais vos données (et celles de millions d’autres) peuvent finir par se retrouver entre les mains de tout organisme d’application de la loi prêt à payer pour cela.

Sean O’Brien, chercheur principal du Digital Security Lab d’ExpressVPN, a un terme pour cela: le blanchiment de données.

«Il y a tellement d’acteurs qui partagent et vendent des données qu’il est incroyablement difficile de suivre la piste», a déclaré O’Brien à Recode.

En novembre dernier, Vice a réussi à suivre une piste, rapportant qu’une société de données de localisation appelée X-Mode vendait les données obtenues via son kit de développement logiciel (SDK), qui se trouve dans des centaines d’applications avec des millions d’utilisateurs, à des entrepreneurs de la défense. Ces entrepreneurs ont ensuite vendu ces données aux militaires. (Le sénateur Ron Wyden (D-OR) avait mené une quête parallèle pour enquêter sur les courtiers en données et est parvenu à une conclusion similaire à peu près au même moment.)

Suite à ce rapport, Apple et Google ont interdit le SDK de X-Mode de leurs magasins d’applications. Mais des mois plus tard, les chercheurs découvrent toujours ce SDK dans des applications comptant des milliers d’utilisateurs. Le laboratoire de sécurité numérique d’O’Brien, avec la co-fondatrice de Defence Lab Agency, Esther Onfroy, a examiné 450 applications Android et trouvé le SDK de X-Mode dans près de 200 d’entre elles, dont certaines envoyaient des données à X-Mode même après l’interdiction. Google a supprimé au moins une de ces applications après avoir été informé qu’elle avait glissé sur le réseau de l’entreprise. Ensuite, ExpressVPN a trouvé 25 autres applications avec le SDK, la plupart provenant d’un développeur appelé CityMaps2Go. Google a supprimé ces applications de la boutique, admettant qu’elles avaient réussi son processus de filtrage en raison d’un « oubli de notre processus d’application ».

ExpressVPN a déclaré à Recode qu’il avait ensuite trouvé 22 autres applications avec le SDK X-Mode dans le Google Play Store, toutes développées par CityMaps2Go, indiquant que le processus d’application de Google avait besoin de travail. À noter: certaines d’entre elles sont des applications payantes, ce qui devrait dissiper le mythe selon lequel le paiement d’une application garantit votre confidentialité. Bien qu’il sache que certaines des applications de CityMaps2Go avaient le SDK interdit, Google n’a pas vérifié ses autres. Lorsque Recode a informé Google de la surveillance, la société a supprimé les applications du magasin.

Que se passe t-il ici? La société derrière CityMaps2Go, Ulmon, a fait faillite l’année dernière. CityMaps2Go a ensuite été racheté par une société appelée Kulemba. Kulemba a déclaré à Recode qu’il avait du mal à accéder au code pour supprimer les SDK des applications Android. Cela laisse à Google le soin de trouver et de supprimer les applications qui enfreignent ses règles, et le consommateur doit simplement espérer que c’est le cas. Avec près de 50 applications qui passent entre les mailles du filet jusqu’à présent, cet espoir pourrait être mal placé. O’Brien pense que Google peut faire mieux.

« Les chercheurs en dehors de Google peuvent identifier la présence de ces SDK interdits sans l’avantage de posséder et d’exploiter Google Play », a déclaré O’Brien. «Nous avons examiné les applications de développeurs ayant des liens connus vers X-Mode et découvert le SDK incriminé à l’aide de méthodes bien connues. Les consommateurs doivent raisonnablement s’attendre à ce que Google, ou le responsable de tout magasin d’applications, protège les utilisateurs des SDK qui ont été interdits – ou il existe un sérieux décalage entre la politique et la pratique. « 

Mais il y a un autre problème plus important ici que le SDK d’une entreprise et les difficultés apparentes de Google à faire respecter ses propres règles. X-Mode n’est pas la seule entreprise à fournir des données de localisation aux agences gouvernementales, et ce n’est pas la seule entreprise à laquelle le gouvernement les achète. Les interdictions des magasins d’applications Whack-a-mole ne suffiront pas à arrêter l’industrie massive, opaque et labyrinthique des données de localisation qui vaut des milliards.

«Les courtiers en données de localisation utilisent de nombreuses façons de trouver des données à partir d’applications», a déclaré Wolfie Christl, un chercheur qui étudie l’industrie des données, à Recode. «Ils peuvent faire en sorte que les applications intègrent leur code de collecte de données, le récupèrent du bidstream dans la publicité numérique, l’approvisionnent directement auprès de fournisseurs d’applications ou simplement l’achètent auprès d’autres courtiers en données.»

X-Mode n’a pas répondu à la demande de commentaires sur si et comment il obtient et utilise encore des données de localisation, mais même si elles sont bel et bien coupées, nous savons déjà qu’il existe d’autres entreprises qui vendent des données de localisation au gouvernement: en particulier, Babel Street et Venntel. Trouver leurs principales sources de données est difficile – le blanchiment de données, encore une fois – mais des rapports récents ont lié Venntel à deux SDK, qui ont envoyé des données à Venntel via une série d’intermédiaires, y compris sa société mère Gravy Analytics.

L’un de ces SDK, d’une société appelée Predicio, a été banni du Play Store de Google début février. Nous verrons si Google est en mesure d’appliquer l’interdiction Predicio mieux que celle de X-Mode.

«L’économie des applications mobiles est devenue un cloaque d’exploitation des données», a déclaré Christl à Recode. «La seule façon de résoudre ce problème est d’appliquer enfin la loi sur la protection des données dans l’UE et d’introduire une législation forte aux États-Unis et dans d’autres régions.»

Si Google ne peut pas arrêter les courtiers en données de localisation, une nouvelle loi peut

Nous pourrions bientôt avoir une législation. Wyden, qui a demandé le rapport de l’inspecteur général de l’IRS en premier lieu dans le cadre de son enquête sur l’industrie des données de localisation et son utilisation par les agences gouvernementales, a déclaré à Recode qu’il avait l’intention de présenter un projet de loi interdisant aux forces de l’ordre d’acheter des données de localisation.

« Les Américains ont besoin de protections plus solides pour nos droits que les magasins d’applications jouant à la folie avec des courtiers de données louches », a déclaré Wyden à Recode. «Le Congrès doit combler les lacunes qui permettent aux intermédiaires de vendre nos données personnelles au gouvernement et de les intégrer dans une loi à la lettre noire, avec une loi stricte sur la protection de la vie privée des consommateurs pour rendre plus difficile l’assemblage des bases de données massives où nous allons, et nous lisons et achetons en ligne, et redonnons aux utilisateurs le contrôle de nos informations. »

«C’est pourquoi je présenterai le quatrième amendement à la loi n’est pas à vendre dans les semaines à venir, afin que le gouvernement obtienne un mandat pour obtenir des renseignements personnels, au lieu de simplement retirer une carte de crédit», a-t-il déclaré.

Il y a aussi une chance, comme le rapport de l’inspecteur général l’a dit, que les achats de données de localisation soient jugés par les tribunaux comme une violation du quatrième amendement, qui résoudra cette partie du problème pour nous.

Dans tous les cas, cela ne concerne qu’une seule catégorie de clients de données de localisation. Comme l’a dit Wyden, des lois sur la confidentialité des consommateurs sont également nécessaires. Jusqu’à (et si) nous les obtenons, nous devons compter sur les entreprises pour se réglementer et avoir confiance qu’elles le font. Si l’une des plus grandes entreprises du monde ne peut pas débarrasser sa propre boutique d’applications d’un seul SDK qui enfreint ses conditions d’utilisation, comment pouvons-nous nous attendre à ce qu’elle trouve et supprime les autres? Lorsque les entreprises de données de localisation filtrent leurs ventes de données via plusieurs intermédiaires, comment Google et Apple sont-ils censés savoir qui enfreint leurs règles en premier lieu?

«La réglementation et les poursuites judiciaires peuvent avoir un effet positif, mais je recherche toujours plus de solutions à la base», a déclaré O’Brien. «Les consommateurs doivent penser différemment à leur relation avec les smartphones, les réseaux sociaux et la technologie en général.»

Open Source est rendu possible par Omidyar Network. Tout le contenu Open Sourced est éditorialement indépendant et produit par nos journalistes.


Correction: Une version précédente de cet article disait que Kulemba avait acquis Ulmon. Kulemba n’a acquis que les applications CityMaps2Go d’Ulmon.