Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

ADINT : les marchands de pub vendent aussi les données GPS de militaires et d’espions

Ad débloqueurs

ADINT : les marchands de pub vendent aussi les données GPS de militaires et d’espions

L’ex-station d’écoute de la NSA de Bad Aibling, rendue au renseignement allemand (BND) – BR

Un journaliste allemand a réussi à obtenir, gratuitement, d'un databroker américain, un échantillon de plus de 3 milliards de données géolocalisées révélant les déplacements d'environ 11 millions de téléphones portables. Y figurent notamment des milliers de militaires et d'employés de services de renseignement allemands, et américains. Un phénomène dont l'ampleur interpelle, alors même que les projets de législations visant à renforcer la protection de la vie privée achoppent depuis dix ans aux États-Unis.

Le 22 novembre à 09h02

La CNIL et la Commission nationale de contrôle des techniques de renseignement (CNCTR) organisaient la semaine passée un colloque intitulé « La surveillance dans tous ses états. Quelle éthique pour protéger nos libertés ? ». Sébastien Bourdon, vice-président d'Open Facto (dont l’objectif est de fédérer les acteurs de l'OSINT, ou renseignement d'origines sources ouvertes) et journaliste au Monde, y est notamment revenu sur sa récente enquête consacrée aux traces laissées par les gardes du corps d'Emmanuel Macron, Joe Biden et Vladimir Poutine sur l'application Strava.

En réaction, Nicolas Lerner, directeur général de la sécurité extérieure (DGSE), a quant à lui opportunément pointé du doigt les problèmes, encore plus grands, que pose l'ADINT (pour ADvertising INTelligence), du nom donné à la collecte de données publicitaires, potentiellement encore plus intrusives.

L'été dernier, Bayerischer Rundfunk (BR, le service public audiovisuel de la Bavière) et le média indépendant netzpolitik.org, défenseur des libertés numériques, ont ainsi révélé, dans toute une série d'articles, qu'il était possible de géolocaliser des personnes à l'intérieur de bâtiments de l'armée et des services de renseignement allemands.

Après un bref appel téléphonique, Sebastian Meineck, de netzpolitik.org, avait en effet réussi à obtenir, de la part d'un courtier de données états-unien, un fichier comportant 3,6 milliards de points de localisations collectés sur une période d'environ huit semaines fin 2023.

Il reste 83% de l'article à découvrir.

Déjà abonné ? Se connecter

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Commentaires (33)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
L'industrie publicitaire est une m*e, épisode n°814566516658711 ...
votre avatar
Encore plus que la présence de ces mouchards et la facilité avec laquelle il semble possible d'y accéder, c'est l'apathie générale envers tout ça que je trouve sidérante.
Même au Pentagone, ça fait juste hausser les épaules en se disant que c'est "inévitable". Quasiment tout le monde s'en fout...
votre avatar
Ce qui me ferait marrer, c'est si un jour les chefs d'entreprise (voire leurs employés) de ces databrokers se faisaient doxer sur le Net, en mode : on sait que vous habitez à telle adresse grâce à Jean-Michel qui nous a vendu vos données.
votre avatar
Est-ce que ça change quelque chose si on a adblock / ublock origin ?
votre avatar
Je sais pas pourquoi quelqu'un a réagis avec "mdr", la question me parait pertinente.
J'imagine que si on empêche complètement l'affichage des pubs ça limite la surface d'exposition.
Je suppose aussi que désactiver l'identifiant publicitaire aide aussi.
votre avatar
Oui, le mdr c'est sans doute quelqu'un qui pense que les bloqueurs de pubs ne servent qu'à bloquer l'affichage, pas les trackers.

Intuitivement, avec un bloqueur qui bloque les trackers, logiquement tu laisses moins de traces chez les publicitaires. Mais j'ai du mal à évaluer à quel point ce "moins de traces" va rendre compliquée une démarche adint. Est-ce qu'il en reste quand même suffisamment pour être bien traçable, ou est-ce que ça rend les choses vraiment compliquées ?
votre avatar
Le problème semble plus relever de l'accès à la géolocalisation (et donc des app' qui sont autorisées à accéder au GPS) que des trackers (même s'il existe des moyens d'estimer la localisation d'un portable sans accès au GPS).

BR propose (en allemand) de vérifier/désactiver quelles app' ont accès à votre géolocalisation, et de réinitialiser ses identifiants publicitaires.
votre avatar
Comment on réinitialise ses identifiants publicitaires sur Android ?
votre avatar
Tout en bas de l'article, ils expliquent comment réinitialiser ou supprimer l'identifiant publicitaire de votre appareil.
votre avatar
J'ai mis "mdr" car j'ai cru à une question rhétorique à but humoristique.
Dans l'article on parle beaucoup de position GPS, qui induit normalement le tracking via des applications sur le téléphone, plus que via un site/navigateur, donc avoir un bloqueur de pub ne sert pas trop dans le cas présenté dans l'article. Cependant, ça aide quand même un peu.

EDIT : grillé par JMM. ^^'
votre avatar
Adblock / ublock ne fonctionne qu'au niveau de ton navigateur.
Ce n'est pas suffisant, car la plupart des données GPS viennent d'autres applications.

Il faut donc utiliser un bloqueur de trackers au niveau OS, et pas navigateur.
Un truc comme NextDNS, PiHole, Blokada... sera beaucoup plus efficace et complet.
votre avatar
Pour être certain d'avoir bien compris, en fait les données ne sont pas nominatives, elles sont juste liées à des identifiants publicitaires aléatoires et "uniques" ? Ce qui permet de relier ça à une personne sont les trajets domicile travail et ce genre de choses ?
votre avatar
Oui, j'ai donc rajouté cette phrase pour être plus clair : Si les identifiants publicitaires ne sont pas nominatifs, ils permettent néanmoins d'identifier où travaillent les détenteurs des téléphones portables associés, où ils vivent et résident, où ils se rendent le soir, le week-end et pendant leurs congés.
votre avatar
Question bête, que l'on y trouve des militaires US je comprends mais pour les allemands ?
votre avatar
Dans le cas révélé ici, oui les données ne sont pas nominatives par contre plusieurs boites vendent des softs pour les rendre nominatives. Elles s'appuient comme ici sur les banques vendu librement par les databrokers comprenant un ensemble de données agrégés (apps/trackers web/réseaux sociaux/operateurs tel. (Verizon, AT&T, etc...)) tout en faisant le lien.

Les forces de police dans certains comtés aux US ont des abonnements à des softs de localisation/téléphones ce qui leur permets de savoir qui il y avait à tel moment sur tel lieu sans passer par la case demande judiciaire (trop contraignant d'après eux). Un abo. sur certaines coute seulement 100$/mois quant ce n'est pas l'état fédéral ou le département (FBI, LAPD, etc...)qui fait l'investissement total quant il n'en abuse pas lui-même (exemple avec les migrants au Texas).

Voir :
https://www.eff.org/deeplinks/2022/08/how-law-enforcement-around-country-buys-cell-phone-location-data-wholesale

https://theconversation.com/what-is-fog-reveal-a-legal-scholar-explains-the-app-some-police-forces-are-using-to-track-people-without-a-warrant-189944

https://theintercept.com/2024/04/02/surveillance-tech-new-york-state-police/

https://theintercept.com/2020/12/23/police-phone-surveillance-dragnet-cellhawk/

https://theintercept.com/2021/09/21/surveillance-social-media-police-microsoft-shadowdragon-kaseware/

https://theintercept.com/2023/11/16/lexisnexis-cbp-surveillance-border/

Bon j'arrête là vu le nombre de softs et d'achats par les forces de police US sinon la liste serait interminable si je reprenais ces 12 dernières années.

Comme le dit @Tanyuu, ça fait 15 ans que les organismes de défense des droits civique se cassent les dents à empêcher la revente de données voir à faire adopter un RGPD US.
votre avatar
Que faire pour se protéger ? (question sérieuse)
Pour ma part, j'ai très rarement la localisation d'activée, et très peu d'applis qui y ont accès.

Après vérification, 4 applis qui ont le droit d'accéder à ma localisation "pendant qu'elles s'exécutent" (2 applis de navigation hors ligne, 1 de test satellites, 1 qui fait du Bluetooth et réclame la permission de localisation alors que plus nécessaire depuis Android 12, ceci dit elle n'a pas accès au réseau).

Pour les rares cas où je veux faire tourner une appli qui exige ma position mais que je ne souhaite pas la communiquer, j'utilise un "simulateur de position".

Une idée du risque que j'ai de faire partie de leurs jeux de données ?
votre avatar
Si tu as un Android, normalement GOOGLE se trouve dans la liste des apps qui ont accès à la géolocalisation (liste dans le Privacy Manager).

En sélectionnant Never pour l'accès à la géolocalisation pour GOOGLE un pop-up s'affiche :

"If you deny this permission, basic feature of your device may not function as intended"

Du bluff pour faire peur... ? Peut-être même qu'ils ont été jusqu'à écrire des routines pour créer des problèmes bidons exprès pour forcer l'utilisateur à lui redonner son accès...

Je vais essayer tiens donc...On verra bien...
votre avatar
Hahaha je pense que dans les basic features tu as "find my phone"... D'ailleurs il est toujours cité dans mes problèmes de sécurité. Avoir la localisation désactivée est un grave problème.

Et clairement vu ma liste, les applis Google n'ont pas accès à la géo-localisation.
votre avatar
J'ai vérifié individuellement, play store et play service n'ont pas accès
votre avatar
J'avais lu un article il y a quelques années d'une interview d'un développeur chez Google (qui témoignait anonymement) et avait dit que même l'option "géolocalisation OFF", ça ne la coupait pas complétement... et qu'il y avait toujours des moyens d'accès...

Un peu comme le Wi-Fi d'ailleurs. Si on coupe le Wi-Fi, il est toujours actif derrière mais invisible.

Il faut activer les Developper Options et ensuite mettre sur OFF l'option Wi-Fi scanning car sinon il passe son temps à noter et enregistrer tous les réseaux WiFi aux alentours pour ensuite faire de la géolocalisation sans l'aide du GPS.

Quel est le % d'utilisateurs Android qui savent qu'il faut cliquer 7 fois de suite sur un mot en particulier dans Système/A Propos de.... pour ensuite faire apparaître un menu caché et décocher l'option Wi-Fi scanning...?

Faible le % à mon avis...
:fumer:
votre avatar
Je ne me souvenais même pas que c'était dans les options développeur maintenant.
Pour min petit cas personnel j'espère n'être affecté par aucun (GrapheneOS).
votre avatar
Après verif dans mon cas le wifi scanning est dans la rubrique "location" (GrapheneOS Android 15) a côté du Bluetooth scanning.
votre avatar
Ha ok, dans ma LineageOS 21 @ Android 14 "seulement", (avec mon POCO F2 @ 2020, j'en serais juste à du 12 au plus), et bien c'est dans les Developper Options.

GrapheneOS, oui j'aurai bien voulu voir, mais avec du Xiaomi, c'est mort... D'ailleurs avec quasiment tous les mobiles Android c'est mort...

Que du Pixel de 6 à 9 et absolument rien d'autre...
Donc 95%+ des utilisateurs Android n'ont aucune chance (même s'ils voulaient) de basculer sur du GrapheneOS.

J'imagine aussi que Xiaomi / Samsung ne veulent pas trop ouvrir les sources des drivers nécessaires ou un truc dans le genre...
et aussi que la team GrapheneOS doit être plus réduite que celle de LineageOS par exemple.

J'avais vu une fois seulement il y a quelques années quelq'un avec un Pixel à table (je dis à table car il était en face de moi à déjeuner à la cantine et que dans la rue, beaucoup plus dur de repérer un passant qui tient un Pixel entre ses mains... )

Tous les smartphones ont quasiment le même look et le même form factor maintenant, (le RAZR a fait un RAZ :D ... Ok c'est nul...)

Bref, un Pixel, ça court pas les rues...
:fumer:
votre avatar
Le choix du pixel pour Grapheneos est lié entre autre à la possibilité d'installer un os alternatif ET de désactiver ensuite le bootloader, à la durée du support, et à la présence de sécurité hardware. La liste complète des conditions est ici :
https://grapheneos.org/faq#future-devices

Le support ne sera jamais aussi large que lineage, qui n'a absolument pas les mêmes objectifs en terme de sécurité. J'ai fini par acheter un pixel à contrecœur pour GrapheneOS, et je pense que la démarche inverse (tient, j'ai un pixel, si je mettait GrapheneOS dessus) est assez rare. Je ne regrette absolument pas ce choix, même si pendant un moment quelques fonctions n'étaient pas disponibles.
Android auto n'est fonctionnel que depuis quelques mois, et les play services n'étaient pas disponibles pendant pas mal de temps, sans solution alternative (on peut maintenant les installer, mais c'est optionnel et tout est sandboxé, sans privilèges particulier).
La seule limitation que j'ai en tête est le fait que certaines applications bancaires ne fonctionne pas, mais je n'ai jamais été concerné, et c'est peut être résolu (c'était lié à SaferyNet, qui est en cours d'abandon).

Les autorisations pour les applications Google sont nettement plus limitées que sur d'autres version d'Android, et je confirme que la localisation n'est pas nécessaire pour un usage courant. Jamais eu de soucis et ça a toujours été désactivé dans mon cas.
votre avatar
Dans Android 14, je l'ai dans Position > Services de localisation > Analyse Wi-Fi (désactivée)
votre avatar
Je viens de vérifier et... Mea culpa, en effet l'option apparaît bien dans Location Services.:yes::incline:

J'avais confondu avec cette autre option qui elle est dans les Developper Options:

Wi-Fi scan throttling:
"Reduces battery drain and improves network performance"

J'avoue que je n'ai pas cherché dans le détail la fonctionnalité de cette option. Donc oui le scanning est désactivable simplement dans les options réseaux Android.

Edit:
"The throttling means foreground apps can only run four Wi-Fi scans every two minutes, while background apps are only allowed to run a scan once every 30 minutes."

Donc complètement différent du Wi-Fi scanning.
votre avatar
En fait, ce sont les "Services Google Play" qui offrent divers services (dont la géolocalisation) à tout un ensemble d'applications Google.
Donc, j'ai l'impression que même si tu désactives l'accès à la localisation sur certaines applications, elles y arriveront peut-être via "Services Google Play".
Et enlever des autorisations sur les "Services Google Play" semble risqué.
votre avatar
GrapheneOS mais il n'a pas ces permissions, et pas de problème.
votre avatar
De ce que j'ai compris, GrapheneoOS fourni une réimplémentation de certains services (dont celui de localisation) intégrés habituellement aux Play Services (les services de Google correspondants sont désactivés par défaut).

Je suppose que sans ça, certaines applications dépendantes de la fourniture de la géolocalisation (ou autre) par les Play Services ne vont plus fonctionner correctement.
votre avatar
Effectivement il marche comme ça, mais j'ai les play services installés, sans la permission d'accès à la localisation.
votre avatar
Je suis exactement dans la même config. Je voulais surtout préciser cette info pour ceux qui ne connaissent pas GrapheneOS (mais j'aurai peut être dû répondre plutôt à @Westvleteren )
votre avatar
Bluetooth et réclame la permission de localisation alors que plus nécessaire depuis Android 12.
Le bluetooth est presque aussi précis que le GPS pour la localisation : Bluetooth / Wifi / GPS sont utilisés pour te localiser, toute appli ayant accès au bluetooth ou au nom des AP wifi pourra te localiser précisément en quasi permanence.

J'ai installé un homeassistant pour gérer ma domotique, il y'a une tuile Bluetooth, qui liste notamment les beacons. En à peine une semaine, j'avais déjà 500 beacons différents vus : des voitures de livraison, des airtags... (sachant que c'est un PC fixe chez moi, je n'ai jamais eu d'inten,tion de collecter les va-et-viens de toutes ces personnes)

à un instant T toutes les apps qui voient se beacon sont au même endroit. Si au moins une a autorisé la collecte de localistaion, le broker connaît instantanément la position de tous les autres mobiles peu importe qu'il ait autorisé ou non la localisation GPS.

Sur le wifi c'est un peu plus statique mais c'est le même principe, si un seul de tes voisins a autorisé la localisation, une app peut positionner tous les APs visible par son téléphone. Que tu ais autorisé ou non l'accès au GPS une appli pourra te localiser simplement avec la liste des AP wifi visible par ton téléphone et en recoupant avec les données récoltées chez d'autres.
votre avatar
Je ne suis pas sûr de comprendre ton message.
Android 12 ne requiert plus cette permission si tu jures sur l'honneur (dans ton manifest) ne pas tenter de localiser l'utilisateur.
Pour ma part, la protection est simple : pas de Bluetooth allumé.
A contrario le scan wifi depuis Android 10 requiert la permission "location".
Donc en principe pas de Bluetooth et pas de permission "location" ça devrait compliquer le tracking.

ADINT : les marchands de pub vendent aussi les données GPS de militaires et d’espions

  • Géolocalisés de l'école de leurs enfants jusqu'à des maisons closes

  • Suivre à la trace des forces spéciales des États-Unis jusqu'en Syrie

  • Faciliter le chantage, la traque, le harcèlement et l'humiliation publique

  • Des projets de loi mis au placard par les Républicains, en attendant Trump

Fermer