Les identifiants uniques attribués aux appareils Android et iOS menacent votre vie privée. Qui l’aurait cru ?
Vous n’avez probablement jamais entendu parler de Babel Street ou de Location X, mais il y a de fortes chances qu’ils en sachent beaucoup sur vous et sur toutes les personnes que vous connaissez et qui gardent un téléphone à portée de main vingt-quatre heures sur vingt-quatre.
Située à Reston, en Virginie, Babel Street est l’entreprise peu connue à l’origine de Location X, un service capable de localiser des centaines de millions d’utilisateurs de téléphones sur des périodes prolongées. Apparemment, Babel Street limite l’utilisation de ce service au personnel et aux sous-traitants des services de police du gouvernement américain, y compris les entités étatiques. Malgré cette restriction, une personne travaillant pour le compte d’une société qui aide les gens à retirer leurs informations personnelles des bases de données des courtiers en données de consommation a récemment pu obtenir un essai gratuit de deux semaines en disant (sincèrement) à Babel Street qu’elle envisageait de travailler à l’avenir pour une agence gouvernementale.
Le suivi des lieux à grande échelle
KrebsOnSecurity, l’un des cinq organes de presse ayant obtenu l’accès aux données produites pendant le procès, indique que Location X permet notamment de tracer une ligne entre deux États ou d’autres lieux – ou une forme autour d’un bâtiment, d’un pâté de maisons ou d’une ville entière – et de consulter l’historique des appareils connectés à l’internet qui ont franchi ces limites.
Le journaliste Brian Krebs a déclaré que les données comprenaient près de 100 000 appels pour le téléphone d’un officier de police du New Jersey qui a récemment été victime d’une intense campagne de doxing qui l’a soumise, ainsi que sa famille, à des dizaines de menaces de mort de la part de personnes qui connaissaient l’adresse de son domicile et les numéros de téléphone d’elle et de son mari. Dans le cadre de cette campagne, des personnes masquées circulaient en voiture devant le domicile de la famille.
Les données consultées par la personne qui a utilisé les deux semaines d’essai ont permis de dresser un portrait détaillé et intime de l’agent pendant plusieurs mois. Rien n’indique que les personnes qui traquent et harcèlent la famille ont utilisé Location X, mais il ne fait aucun doute que le service aurait pu leur permettre de déterminer le numéro de téléphone et le lieu de résidence de l’agent.
404 Media, un autre média ayant eu accès aux données, a rapporté que ce trésor a permis à un journaliste de zoomer sur le parking d’une clinique d’avortement en Floride et d’observer plus de 700 points rouges, chacun représentant un téléphone qui s’était récemment rendu à la clinique. L’emplacement X a ensuite permis au journaliste de retracer les mouvements d’un appareil spécifique.
Cet appareil – et, par extension, la personne qui le porte – a commencé son voyage à la mi-juin depuis une résidence de l’Alabama. La personne est passée devant un magasin Lowe’s Home Improvement, a roulé sur une autoroute, a visité une église, a traversé la Floride et s’est finalement arrêtée à la clinique où le téléphone indique que la personne est restée deux heures avant de partir et de retourner en Alabama. Les données indiquent que le téléphone n’a visité la clinique qu’une seule fois.
La Technologie qui rend possible cette vaste collecte de données est, bien entendu, les mécanismes de suivi intégrés à Android et iOS et aux Applications qui fonctionnent sur ces systèmes d’exploitation. Par défaut, Android attribue un identifiant publicitaire unique à chaque appareil et le met à la disposition de toute application disposant d’autorisations de localisation. iOS, en revanche, garde son “identifiant pour les annonceurs” privé, mais donne à chaque application installée la possibilité de demander l’accès à cet identifiant.
Certaines applications sont autorisées à accéder à la localisation d’un téléphone, puis à la vendre à des courtiers en données de consommation. Les données peuvent également être mises à disposition par l’intermédiaire de l’écosystème de la publicité sur le Web. Lorsqu’une page financée par la publicité se charge, le Réseau publicitaire organise une vente aux enchères en temps réel pour vendre une publicité personnalisée au plus offrant. L’une des principales informations utilisées par les enchérisseurs pour fixer le prix est – vous l’aurez deviné – la localisation de l’appareil qui exécute le Navigateur. Les annonceurs génèrent des revenus supplémentaires en vendant cet historique à des sociétés telles que Babel Street, fournisseur d’informations sur la localisation.
La riposte
Les utilisateurs de téléphone doivent choisir plusieurs paramètres pour empêcher les fuites constantes de leur localisation. Pour les utilisateurs d’Android ou d’iOS, la première étape consiste à vérifier quelles applications ont actuellement la permission d’accéder à la localisation de l’appareil. Cela peut être fait sur Android en accédant à Paramètres > ; Localisation > ; Autorisations de localisation des applications et, sur iOS, Paramètres > ; Confidentialité & ; Sécurité > ; Services de localisation.
Les deux systèmes d’exploitation affichent une liste d’applications et indiquent si l’accès est autorisé en permanence, jamais, uniquement lorsque l’application est en cours d’utilisation, ou si l’autorisation doit être demandée à chaque fois. Les deux systèmes permettent également aux utilisateurs de choisir si l’application doit afficher des emplacements précis à quelques mètres près ou seulement un emplacement à gros grain.
Pour la plupart des utilisateurs, il est utile de permettre à une application de photos, de transports en commun ou de cartes d’accéder à l’emplacement précis de l’utilisateur. Pour d’autres catégories d’applications, par exemple les juke-boxes Internet dans les bars et les restaurants, il peut être utile d’avoir une localisation approximative, mais leur donner un accès précis et détaillé est probablement exagéré. Quant aux autres applications, elles n’ont aucune raison de connaître la position de l’appareil. À quelques exceptions près, il n’y a guère de raison pour que les applications aient toujours accès à la localisation.
Il n’est pas surprenant que les utilisateurs d’Android qui souhaitent bloquer la collecte intrusive de données de localisation aient plus de paramètres à modifier que les utilisateurs d’iOS. La première chose à faire est d’accéder à Paramètres > ; Sécurité & ; Confidentialité > ; Publicités et de choisir “Supprimer l’identifiant publicitaire”. Ensuite, ignorez rapidement le long et effrayant avertissement de Google et cliquez sur le bouton confirmant votre décision en bas de page. Si vous ne voyez pas ce paramètre, tant mieux pour vous. Cela signifie que vous l’avez déjà supprimé. Google fournit une documentation ici.
Par défaut, iOS ne donne pas aux applications l’accès à l'”Identifiant pour les annonceurs”, la version Apple du numéro de suivi unique attribué aux iPhones, iPads et AppleTV. Les applications peuvent toutefois afficher une fenêtre demandant d’activer le paramètre, il est donc utile de vérifier. Les utilisateurs d’iPhone peuvent le faire en accédant à Réglages > ; Confidentialité & ; Sécurité > ; Suivi. Toutes les applications autorisées à accéder à l’identifiant unique s’afficheront. Les utilisateurs devraient également désactiver le bouton “Autoriser les applications à demander le suivi”. Dans iOS Privacy & ; Security, les utilisateurs doivent naviguer jusqu’à Apple Advertising et s’assurer que les publicités personnalisées sont désactivées.
D’autres articles sur Location X publiés par Haaretz et NOTUS sont disponibles ici et ici. Le New York Times, l’autre publication ayant eu accès aux données, n’avait pas encore publié d’article au moment de la mise en ligne de ce billet d’Ars.
Jad MARCHI est un ardent défenseur de la technologie, passionné par son potentiel de transformation. Ayant accumulé une décennie d’expérience dans le secteur technologique, Jean a travaillé sur une variété de projets innovants qui l’ont amené à comprendre le paysage changeant de ce domaine. Il est fasciné par l’évolution rapide de la technologie et son impact sur notre société. Que ce soit l’intelligence artificielle, la robotique, la blockchain ou la cybersécurité, il est toujours à la recherche des dernières tendances. Ses articles cherchent à informer, à inspirer et à provoquer des réflexions sur la façon dont la technologie façonne notre avenir.