Selon de nouveaux documents publiés par l'Union américaine pour les libertés civiles (ACLU), le ministère de la Sécurité intérieure (DHS) a acheté des données de localisation à des tiers pour contourner la procédure traditionnelle des mandats.Ces documents montrent que des agences telles que Customs and Border Protection (CBP) et Immigration and Customs Enforcement (ICE) ont pu acheter de grandes quantités de données de localisation sans aucun contrôle judiciaire et les utiliser pour suivre les mouvements de millions de téléphones portables.
Dans un rapport publié récemment, l'équipe Photon Research de Digital Shadows révèle qu'environ 24,6 milliards de jeux complets de noms d'utilisateur et de mots de passe sont actuellement en circulation sur le dark Web. Cela représente quatre jeux complets d'informations d'identification pour chaque personne sur Terre, mais aussi une augmentation de 65 % depuis la dernière fois que cette étude a été réalisée, en 2020. Cela montre que les cybercriminels continuent de profiter largement de la difficulté des internautes et des organisations à bien protéger leurs identifiants et leurs codes d'accès aux diverses plateformes qu'ils utilisent.
Le rapport, intitulé Account Takeover in 2022, fait un tour d'horizon des fuites de données personnelles, les identifiants et mots de passe divulgués, qui ont eu lieu au cours de ces deux dernières années. L'analyse a révélé que plus de la moitié des 24,6 milliards de paires d'identifiants volés disponibles à la vente sur le dark Web ont été exposées au cours de l'année dernière. Dans l'ensemble des données d'identification du dark Web, environ 6,7 milliards d'offres présentaient une combinaison unique de nom d'utilisateur et de mot de passe, indiquant que la combinaison n'était pas dupliquée dans les bases de données.
En décembre 2020, l'ACLU et la NYCLU ont intenté une action en justice en vertu de la loi sur la liberté d'information afin d'obtenir des documents auprès des services des douanes et de la protection des frontières, de l'immigration et des douanes et d'autres services du département de la sécurité intérieure concernant ces pratiques d'achat de données de localisation de téléphones cellulaires collectées à partir d'applications de smartphones.
Sans que les utilisateurs s'en rendent compte, les responsables d'applications vendent régulièrement les informations de localisation des utilisateurs à d'autres sociétés tierces, comme Venntel et Babel Street, qui les utilisent à des fins de marketing et autres. Ces entreprises tierces compilent ensuite ces données et les commercialisent auprès d'agences gouvernementales.
En général, l'obtention de données sur les communications nationales directement auprès des fournisseurs (c'est-à-dire les sociétés de télécommunications) nécessite un mandat, qui doit être approuvé par un juge. Mais l'achat de données auprès d'organisations intermédiaires n'est pas soumis aux mêmes contraintes et donne effectivement carte blanche aux forces de l'ordre pour recueillir des données personnelles auxquelles elles n'auraient pas accès autrement.
Le volume de données de localisation divulgué dans les documents nouvellement publiés est énorme et laisse présager un niveau encore plus élevé d'acquisition de données par les agences concernées. Les documents ont été obtenus par l'ACLU en vertu des lois sur la liberté d'information après qu'une action en justice a été intentée en 2020, à la suite d'un reportage du Wall Street Journal qui a révélé l'achat de données de localisation commerciales par des agences gouvernementales.
Certains des documents communiqués à l'ACLU comprenaient un ensemble de feuilles de calcul contenant un sous-ensemble de données de localisation achetées par le CBP auprès du courtier en données Venntel. Selon l'analyse de l'ACLU, pour une période de trois jours en 2018, les enregistrements contiennent environ 113 654 points de localisation - ce qui équivaut à plus de 26 points de localisation enregistrés par minute. Mais même ces données sont confinées à une zone géographique du sud-ouest, ce qui suggère qu'il ne s'agit que d'une fraction du volume total de données de localisation que les agences fédérales ont obtenu.
Comme le rapporte Politico, dans des courriels échangés entre Venntel et l'ICE, le courtier en données affirme collecter les données de localisation de plus de 250 millions d'appareils mobiles et traiter plus de 15 milliards de points de données de localisation par jour.
Un autre courtier en données identifié dans les documents est Babel Street. Comme Venntel, Babel Street obtient des données de localisation en payant des développeurs pour qu'ils incluent des bribes de son code dans d'autres applications mobiles, qui - largement inconnues des utilisateurs - transmettent les données aux serveurs de l'entreprise. En 2021, Motherboard a rapporté que Venntel avait un contrat avec le Florida Department of Corrections pour fournir des informations sur tous les téléphones portables qui se trouvaient près des prisons d'État.
Dans une déclaration, Nathan Freed Wessler, directeur adjoint du projet Speech, Privacy, and Technology de l'ACLU, a déclaré que les courtiers en données constituaient une nouvelle menace pour la vie privée et qu'à ce titre, ils devaient être réglementés par le gouvernement.
La Cour suprême a clairement indiqué « qu'étant donné que l'historique de la localisation de nos téléphones portables révèle un grand nombre de "détails de la vie", il mérite une protection complète au titre du quatrième amendement », a déclaré Wessler. « Pourtant, nous voyons ici des courtiers en données et des agences gouvernementales qui s'emmêlent les pinceaux en essayant d'expliquer comment les gens peuvent ne pas avoir d'attentes en matière de vie privée pour des informations de localisation aussi manifestement personnelles et sensibles. Le potentiel d'abus étant si élevé, le Congrès doit intervenir pour mettre définitivement fin à cette pratique. »
En fait, le Congrès aura bientôt l'occasion d'intervenir. Mardi, la commission judiciaire de la Chambre des représentants tiendra une audition sur les "filets numériques" et l'accès du gouvernement aux données sensibles. La sénatrice Elizabeth Warren (D-MA) avait déjà proposé un projet de loi visant à interdire totalement aux courtiers en données de vendre des données de localisation ou de santé.
Pour certains analystes, il ne serait pas juste de présenter négativement le suivi des données de localisation des téléphones portables par le gouvernement américain. En effet, pratiquement toutes les applications mobiles vendraient une partie des données de ses utilisateurs.
L’action en justice FOIA vise à obtenir des informations sur la façon dont le gouvernement justifie son contournement de la décision de la Cour suprême concernant le quatrième amendement, sur la façon dont il utilise les enregistrements de localisation et sur les contrôles mis en place pour protéger la vie privée des Américains.
En 2018, la Cour suprême a statué dans l'affaire Carpenter v. United States que le gouvernement a besoin d'un mandat pour obtenir les informations de localisation des téléphones cellulaires des fournisseurs de services cellulaires des personnes en raison de la « surveillance quasi parfaite » que ces informations permettent.
Source : ACLU
Et vous ?
Quel est votre avis sur le sujet ?Voir aussi :
Il y aurait 24,6 milliards de paires d'informations d'identification en vente sur le dark Web, dont certains mots de passe pourraient être déchiffrés en moins d'une seconde, selon un rapport Un grand pari pour éliminer le besoin de mots de passe dans le monde, la FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe Les mots de passe enregistrés sur Google Chrome ne sont pas à l'abri des cyberattaques, la plateforme pourrait être à l'origine de la récente hausse observée des cyberattaques, selon ESET Microsoft, Apple et Google accélèrent les efforts pour éliminer les mots de passe sur les grandes plateformes, les géants de la Tech veulent déployer la norme "passkey" de FIDO dans l'année à venir 
