IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

« Mon téléphone m'espionnait, alors j'ai traqué les surveillants ».
Comment les données personnelles européennes se sont retrouvées chez un sous-traitant du gouvernement américain

Le , par Stéphane le calme

833PARTAGES

18  0 
Venntel, un sous-traitant du gouvernement américain qui vend des données de localisation de smartphones à des organismes d'application de la loi américains, notamment l’ICE, le CBP et le FBI, recueille des informations via une chaîne d'approvisionnement très complexe d'agences de publicité, de revendeurs de données et, finalement, d'applications d'apparence inoffensive installées sur téléphones dans le monde entier, selon un cache de documents obtenus par NKR, une revue de presse norvégienne spécialisée en technologie.

Bien qu'il ne soit pas clair si Venntel fournit finalement toutes les données générées à partir de cette chaîne d'approvisionnement spécifique à des agences telles que l’ICE, les documents fournissent des informations beaucoup plus approfondies et non signalées auparavant sur la manière dont les données sont transférées des applications, des entreprises intermédiaires et des courtiers en données (dans ce cas, Venntel).

« Je ne pense pas que les gens comprennent à quel point votre emplacement peut révéler tout ce que vous devez savoir sur la vie de quelqu'un; à quel point c'est invasif », a déclaré aux médias américains une source sous couvert de l’anonymat qui travaillait auparavant dans une autre société de données de localisation qui a des contrats avec les forces de l'ordre américaines et les agences militaires.

En février, le Wall Street Journal a rapporté que Venntel avait vendu l'accès aux données de localisation des smartphones à l'ICE et au CBP. ICE a utilisé les données pour identifier les immigrants qui ont ensuite été arrêtés et le CBP a utilisé le produit de Venntel pour trouver une activité de téléphonie cellulaire dans des endroits inhabituels, tels que des sections éloignées de la frontière américano-mexicaine, selon le rapport. L'IRS a également utilisé les données de Venntel et fait actuellement l'objet d'une enquête de la part de l'inspecteur général pour l'avoir fait sans mandat. Les registres des marchés publics montrent que Venntel a également vendu des données à la DEA et au FBI.

Des documents obtenus par le biais de demandes légales dans le cadre du RGPD

Martin Gundersen est un journaliste pour le compte de la revue norvégienne. Sur son compte twitter, il a indiqué :

« Il y a 160 applications sur mon téléphone. Ce qu’elles font réellement, je ne sais pas. J'ai donc décidé de le comprendre en utilisant la puissance du RGPD - ou le nom plus boiteux Subject Access Request (SAR, littéralement demande d’accès par sujet) ».


Une demande d'accès par sujet, ou SAR, est une demande écrite adressée à une entreprise ou organisation dans laquelle vous requérez l'accès aux informations personnelles qu'elle détient sur vous. Toute personne physique peut accéder aux données qui la concernent (article 15 du RGPD). Une personne peut exercer son droit d’accès :
  • auprès d’une société dont elle est cliente, par exemple pour avoir la copie de son dossier client ou d’une conversation téléphonique avec le service clients qui a été enregistrée ;
  • auprès de son employeur pour accéder aux données de son dossier administratif ;
  • auprès de son médecin pour obtenir une copie des données de son dossier médical ;
  • auprès d’une administration pour obtenir la confirmation que des données la concernant sont traitées.

En principe, les délais pour répondre à ces demandes sont de :
  • 1 mois maximum pour une demande simple ;
  • 3 mois maximum pour une demande complexe (par exemple si une personne demande une copie de l’intégralité de ses données) ;
  • 8 jours maximum pour des données de santé. En ce qui concerne l’accès aux données de santé, les délais sont différents. La communication des données de santé (exemple : dossier médical) doit être faite au plus tard dans les 8 jours suivant la demande et au plus tôt – compte tenu du délai de réflexion prévu par la loi dans l’intérêt de la personne – dans les 48 heures. Si les informations remontent à plus de cinq ans, le délai est porté à 2 mois (article L.1111-7 du Code de la santé publique).

Quelle que soit la situation, il faut informer la personne des suites sous un mois maximum.


Les nouveaux documents, ont donc été obtenus par NRK par le biais de demandes légales dans le cadre du règlement général sur la protection des données (RGPD) nomment des courtiers en données spécifiques qui aident en fin de compte à envoyer des informations à Venntel et fournissent le premier aperçu public de la chaîne d'approvisionnement de l'entreprise.

Le processus commence avec des applications particulières. Dans ce cas, Martin Gundersen de NRK a installé un certain nombre d'applications sur un appareil Android, y compris certaines de la société de navigation cartographique Sygic telles que "Sygic GPS Navigation & Offline Maps" qui compte plus de 50 millions de téléchargements selon sa page Google Play Store.

Et Martin de raconter :

« Pour la faire courte : J'ai beaucoup de données sur mes mouvements. En fait, plus de 75 000 points de données sur ma localisation précise. Comment: j'ai conçu une expérience dans laquelle j'ai installé de nombreuses applications sur un téléphone Android. J'ai ensuite accepté de partager mes données de localisation. Ensuite, j'ai inversé les rôles: en utilisant les SAR, je relie les flux de données de moi à différentes entreprises.


« L'application Funny Weather est apparue dans les métadonnées fournies par Venntel et Gravy Analytics. Les données ont peut-être été partagées via Predicio, mais la société n'a répondu à aucune demande d'entretien.

« Complementics et Predicio ont envoyé mes données personnelles à Gravy Analytics, un important courtier de données dans le secteur du marketing. J’ai su ceci par un SAR de Gravy. Gravy n'a pas répondu à ma demande de commentaire.

« Venntel est une filiale de Gravy Analytics. Venntel a beaucoup de contrats gouvernementaux - CBP, ICE, IRS, FBI, DEA. Venntel m'a dit dans une demande d'accès par sujet que mes données avaient été partagées, mais ils n'ont pas indiqué à qui. Lorsqu'ils ont été contactés plus tard, ils m'ont dit dans une brève déclaration que les données n'étaient pas partagées avec l'ICE ou le CBP ».

Lawiusz Fras, le développeur de l’application Funny Weather, a déclaré : « Predicio partage des données avec de nombreuses entreprises et celles-ci peuvent partager les informations avec d'autres et ainsi de suite. Par conséquent, il m'est pratiquement impossible de connaître chaque flux de données possible ».

« Ma coopération avec Predicio est destinée à couvrir les dépenses d'exploitation de Funny Weather, en particulier les frais que je paie pour les données météorologiques. On ne sait peut-être pas que chaque utilisateur de l'application génère non seulement des revenus mais aussi des coûts », a ajouté Fras .


Flux de données des applications à Venntel

La réaction du sénateur Ron Wyden et de l’ACLU

Dans un communiqué, le sénateur Ron Wyden a déclaré : « Venntel a bloqué le Congrès pendant des mois et a refusé d'identifier les sources des données qu'il vend aux douanes et à la protection des frontières ainsi qu’à d'autres agences gouvernementales. Les États-Unis ont besoin de lois beaucoup plus strictes pour protéger la vie privée des Américains et garantir la transparence sur la destination de nos données ».

« J’ai proposé le projet de loi Fourth Amendment is Not For Sale Act pour garantir que les courtiers en données louches ne laissent pas le gouvernement bafouer les droits des Américains », ajoute le communiqué.

Le bureau de Wyden a mené ses propres enquêtes sur Venntel et le secteur plus large des données de localisation. Le comité de surveillance et de réforme de la Chambre enquête également sur la société.

Le Wall Street Journal a rapporté que l’inspecteur général du DHS a déclaré qu'il enquêtait officiellement sur l'utilisation des données de localisation par l'agence. « L'audit vise à déterminer si le Département de la sécurité intérieure (DHS) et ses composants ont développé, mis à jour et adhéré aux politiques relatives aux dispositifs de surveillance des téléphones portables », a écrit Joseph V. Cuffari, l'inspecteur général, dans une lettre récente.

L’American Civil Liberties Union (ACLU), le défenseur des droits numériques, a opté pour déposer une plainte

Sources : Martin Gundersen, Cnil

Et vous ?

Cette situation vous semble-t-elle surprenante ? Dans quelle mesure ?
Comment procédez-vous pour les autorisations que vous accordez sur votre téléphone ?
Pensez-vous que les décisions prises par les mobinautes (par exemple de ne pas accorder le droit d'utiliser la géolocalisation à une application de type calculatrice) sont nécessairement respectées ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 07/12/2020 à 21:11
Cette situation vous semble-t-elle surprenante ? Dans quelle mesure ?

Ce n'est absolument pas surprenant, ça fait même 30~40 ans que les populations sont espionné par un gouvernement ou un autre et plus récemment par des sociétés.
Ca a déjà été prouvé et démontré à de multiples reprise, donc non, pas surpris mais plutôt exaspéré.
D'autant qu'avec internet et la démocratisation des "blackbox" dans tous les produits tech, ça doit pas mal leurs faciliter le boulot.

Comment procédez-vous pour les autorisations que vous accordez sur votre téléphone ?

Franchement, c'est pas comme si le système d'autorisation empêcher quoi que ce soit.
La moitié des applis de mon "espionphone" sont d'ailleurs préinstallés en root par le constructeur et je n'y est pas accès (normalement s'entend).
L'autre moitié, j'en est besoin et suis donc obliger de leurs accordé les autorisation qu'elles me demande, c'est pas vraiment un choix éclairé de ma part, juste une obligation.
Après, on est bien d'accord que quand une application de cuisine veut accéder à votre localisation, il y a un loup, mais si vous en avez besoin, juste pas le choix.

Pensez-vous que les décisions prises par les mobinautes (par exemple de ne pas accorder le droit d'utiliser la géolocalisation à une application de type calculatrice) sont nécessairement respectées ?

Absolument pas, mais comme écrit plus haut, c'est pas un choix puisque c'est imposé.

De manière plus générale, quand chaque objet tech de votre quotidien est une "blackbox", qu'est ce que vous pouvez bien y faire ?
A part arrêter complètement d'utiliser toutes technologie moderne, pas grand chose.
7  0 
Avatar de marc.collin
Membre expérimenté https://www.developpez.com
Le 07/12/2020 à 14:28
non vraiment pas surprenant, les gouvernements ne semble pas trop se préoccuper du numérique et donc des données.......
confiance aveugle? aucunement idée...

mais peu d'état peu se venter d'être autonome

avec l'agissement des usa depuis plusieurs années, j'aurais pensé que certain se seraient réveillé.... mais non

jusqu'à peu j'utilisais blackberry os 10..... j'ai pu passé à un iphone et un android.... et j'ai clairement vu une différent au niveau du spam, publicité... je me cherche donc quelques chose de plus sûr

le pinephone est pas très puissant
librem 5 est cher...

il reste les mobiles asiatique avec un bon ratio qualité prix..... et ensuite tu y met lineageos...

Sailfish supporte peu de mobile
2  0 
Avatar de LokiZ
Membre à l'essai https://www.developpez.com
Le 12/12/2020 à 5:32
@defZero
Tu peux utiliser /e/Os, comme moi
https://fr.wikipedia.org/wiki//e/

site officiel,
https://e.foundation/fr/
1  0 
Avatar de QSdF53OKrj34
Membre du Club https://www.developpez.com
Le 07/12/2020 à 16:15
Petit conseil gratuit : Je suis tombé un jour sur Netguard (sur Fdroid), ça me semble une très bonne contre-mesure.
Après si le client veut recevoir ses notifications whatsapp, libre à lui d'autoriser google & facebook (ou tout autre société qui vous veut du bien) à l’espionner (en échange du service gratuit) mais au moins c'est un choix volontaire.
0  0 
Avatar de tanaka59
Membre extrêmement actif https://www.developpez.com
Le 12/12/2020 à 23:15
Bonsoir,

« Mon téléphone m'espionnait, alors j'ai traqué les surveillants ». Comment les données personnelles européennes se sont retrouvées chez un sous-traitant du gouvernement américain

Cette situation vous semble-t-elle surprenante ?
Absolument pas .

Dans quelle mesure ?
L'état comme des administrations locales/nationales ont les mêmes droits, en matières d'achats et de location de données que les entreprises privées. La ou cela devient compliqué c'est quand le secret d'état / défense entre en piste

Comment procédez-vous pour les autorisations que vous accordez sur votre téléphone ?
1) soit je n'utilise pas l'app
2) soit l'app est redirigée vers une adresse mail / compte poubelle qui n'est jamais lu ... et draine un flux de données tellement énorme (voir même biaisé ou volontairement truqué avec de la reception de newsletters) pour ne pas être pollué la ou je le souhaite
3) mettre le plus de restriction possible lors de l'utilisation d'une app comme facebook ou google (pas de partage, pas d'ouverture de vanne des profils à tout public .... )

Pensez-vous que les décisions prises par les mobinautes (par exemple de ne pas accorder le droit d'utiliser la géolocalisation à une application de type calculatrice) sont nécessairement respectées ?
Comme dit plus haut par un autre membre , c'est le fonctionnement qui le contraint. Si on refuse ... pas possible d'utiliser le produit.
0  0