Les incendies criminels perpétrés à Milwaukee, dans le Wisconsin, entre 2018 et 2019 ont fait entre autres deux chiens morts et plus de 50 000 $ de biens endommagés. Pour trouver les auteurs, des agents du Bureau of Alcohol, Tobacco, Firearms and Explosives (le service fédéral des États-Unis chargé de la mise en application de la loi sur les armes, les explosifs, le tabac et l'alcool et de la lutte contre leur trafic) ont exigé que Google fournisse des enregistrements des appareils des utilisateurs dans les emplacements respectifs au moment où les incendies ont eu lieu. Les demandes, décrites dans deux mandats de recherche, exigeaient de savoir quels clients Google spécifiques étaient situés dans des zones couvrant 29 387 mètres carrés (ou 3 hectares) pendant un total de neuf heures pour les quatre incidents distincts. À l'insu de nombreux utilisateurs de Google, s'ils ont « l'historique des positions » activé, leur localisation est stockée par la grande enseigne numérique dans une base de données appelée SensorVault. Toutefois, Google rend difficile le refus de cette option et de nombreux utilisateurs peuvent ne pas comprendre qu'ils l'ont déjà accepté. De plus, les appareils Android collectent par défaut de nombreuses autres données de localisation, et il est extrêmement difficile de se soustraire à cette collection.
Dans ce cas, Google a trouvé 1 494 identifiants d'appareil dans SensorVault, les envoyant au Bureau of Alcohol, Tobacco, Firearms and Explosives pour qu'il les passe au peigne fin. En termes de nombre, il s'agit d'une demande sans précédent pour cette forme de recherche. Elle illustre comment Google peut localiser un grand nombre de téléphones mobiles en peu de temps et remettre ces informations au gouvernement.
Ce type de mandat, appelé reverse location search warrant (lorsque la police recherche des informations sur tous les téléphones portables proches d'une scène de crime), est devenu de plus en plus courant ces dernières années. Plus de 20 mandats de ce type ont été accordés dans le Minnesota et au moins un cas similaire a été mis au jour en Caroline du Nord. Le plus controversé, la technique a été utilisée pour identifier les suspects après un rassemblement devenu une émeute Proud Boy au centre-ville de Manhattan l'année dernière.
Une technique qui ne fait pas nécessairement ses preuves
Dans chaque cas, la police ne recherchait pas l’emplacement d’un suspect spécifique (là où les normes habituelles de soupçon raisonnable s’appliquaient). Au lieu de cela, elle recueillait le nom de chaque personne qui se trouvait à proximité lorsqu’un crime a été commis. Pour les groupes de défense des libertés civiles, il s’agit d’un dépassement dangereux et potentiellement inconstitutionnel du pouvoir de la police. Mais ces préoccupations n’ont pas suffi à empêcher la police d'obtenir ces mandats lorsqu’ils piétinaient dans une affaire.
Le 13 octobre 2018, deux hommes sont entrés dans une banque du Great Midwest Bank dans un centre commercial en périphérie de Milwaukee. Ils étaient les deux premiers clients lorsque la banque a ouvert, à peine reconnaissables derrière des lunettes de soleil et une barbe épaisse, mais très vite, les employés de la banque ont compris ce qu’ils cherchaient. Un homme a sauté sur le comptoir et a sorti une arme de poing, jetant un sac à ordures pour que les caissiers le remplissent d'argent. Ils ont quitté la banque à 9 h 09, sept minutes seulement après leur entrée, avec leur sac plein d'argent, trois tiroirs dans le coffre-fort, ainsi que les clés.
En novembre 2018, après avoir eu du mal à retrouver ces voleurs, les agents fédéraux ont adressé un mandat de recherche à Google, demandant des données permettant d'identifier tout utilisateur de Google qui se trouvait à moins de 30 mètres de la banque pendant une demi-heure avant le vol. Ils cherchaient les deux hommes qui étaient entrés dans la banque, ainsi que le chauffeur qui avait débarqué et emmené l’équipage, et qui risquaient de se retrouver pris dans le même sac. Dans cette affaire, l’utilité de cette technique n’est pas claire. Lorsque les médias ont demandé à la division du FBI à Milwaukee si des accusations avaient été portées, les officiers ont déclaré que l'affaire était en cours et qu'ils ne pouvaient donc fournir aucune information supplémentaire. Plus d’un an s’est écoulé depuis l'attribution de ce mandat, ce qui donne à penser qu'il n’aurait peut-être pas été aussi fructueux que les enquêteurs l’espéraient.
Des inquiétudes sur la protection de la vie privée
Pour les enquêteurs, ce type de demande est utile, leur permettant de parcourir les données fournies par Google, de rechercher des appareils d'intérêt tels que le téléphone d'un suspect connu et de demander des informations plus personnelles sur l'utilisateur de ce mobile.
Mais c'est aussi le genre de recherche qui a inquiété les organismes de protection de la vie privée l'année dernière. Pour obtenir ces données, la police donne à Google une date, une fourchette de temps et une zone sur Google Maps dans laquelle trouver chaque utilisateur Android. Google examine ensuite sa base de données SensorVault à la recherche des emplacements des utilisateurs qui ont été localisés à partir d'appareils exécutant les services de Google comme Google Maps ou tout ce qui nécessite l'activation de la fonctionnalité « historique des positions ». La police examine ensuite la liste, décide quels appareils présentent un intérêt pour l'enquête et demande des informations sur les abonnés qui incluent des données plus détaillées telles que le nom, l'adresse e-mail, lorsqu'ils se sont inscrits aux services Google et ceux qu'ils ont utilisés.
Il n'est pas clair si Google a remis ou non des informations d'identification, mais pour Jerome Greco, avocat commis d'office à la Digital Forensics Unit de la Legal Aid Society, c'est un signe que ces types de mandats sont trop larges et mettent en danger la vie privée des utilisateurs : « Le nombre de téléphones identifiés dans cette zone montre deux points clés. Premièrement, il montre un échantillon du nombre de mouvements minute par minute effectués par Google. Deuxièmement, cela montre le caractère inconstitutionnel de ces mandats de perquisition parce qu'ils envahissent de manière inhérente la vie privée de nombreuses personnes, dont tout le monde convient qu'ils ne sont pas liés au crime faisant l'objet de l'enquête, pour la simple possibilité que cela puisse aider à identifier un suspect ».
Des groupes de défenses des droits numériques tels que l'EFF rencontrent de nombreux problèmes avec ce type de recherche, notamment parce que cette décision est contraire à la jurisprudence de la Cour suprême qui considère les données de localisation comme « une fenêtre intime sur la vie d'une personne ». Selon l'EFF :
« Les données que Google communique aux forces de l'ordre sont si précises qu'un chef de police adjoint a déclaré qu'elles "montraient tout le schéma de la vie". Elles sont collectées même lorsque les gens ne passent pas d'appels ou n'utilisent pas d'applications, ce qui signifie qu'elles peuvent être encore plus détaillées que les données générées par les tours cellulaires.
« Les données de localisation proviennent de signaux GPS, de tours de téléphonie mobile, de périphériques Wi-Fi à proximité et de balises Bluetooth. Selon Google, les utilisateurs optent pour la collecte des données de localisation stockées dans Sensorvault. Toutefois, Google rend difficile le refus de cette option et de nombreux utilisateurs peuvent ne pas comprendre qu'ils l'ont déjà accepté. De plus, les appareils Android collectent par défaut de nombreuses autres données de localisation, et il est extrêmement difficile de se soustraire à cette collection.
« En utilisant un seul mandat (souvent appelé “geo-fence warrant” ou “reverse location warrant”), la police peut accéder aux données de localisation de dizaines à des centaines de périphériques, des périphériques liés à des personnes réelles, dont beaucoup (et peut-être même dans certains cas toutes) n’ont eu aucun lien avec des activités criminelles et n’ont donné aucune raison d'être soupçonnées. Les mandats couvrent des zones géographiques allant de bâtiments uniques à plusieurs blocs, et des périodes allant de quelques heures à une semaine ».
Richard Salgado, directeur de l'application des lois et de la sécurité des informations de Google, a déclaré que la société disposait de processus pour examiner les demandes du gouvernement et garantir la confidentialité des clients. « Nous ne produisons des informations qui identifient des utilisateurs spécifiques que lorsque nous y sommes légalement tenus », a déclaré Salgado.
Source : Forbes
Et vous ?
Que pensez-vous de ce type de mandat qui permet à la police de rechercher des informations sur tous les téléphones portables proches d'une scène de crime ?Voir aussi :
La police américaine utilise les données de localisation de Google provenant de centaines de millions de téléphones pour traquer les criminels Google annonce que près de 60 % des applications Android du Top 1000 embarquent du code écrit en Kotlin et renouvelle ses engagements envers le langage Une vulnérabilité affectant des millions de téléphones Android est activement exploitée par des malware, leur permettant de se faire passer pour des applications déjà installées Entre Java et Kotlin, lequel de ces langages est le meilleur pour le développement d'applications Android ? Les données de centaines d'utilisateurs Facebook et Twitter ont été exposées aux développeurs, à cause d'un SDK malveillant sur Android 
