Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

ADINT : les marchands de pub vendent aussi les données GPS de militaires et d’espions

Ad débloqueurs

ADINT : les marchands de pub vendent aussi les données GPS de militaires et d’espions

L’ex-station d’écoute de la NSA de Bad Aibling, rendue au renseignement allemand (BND) – BR

Un journaliste allemand a réussi à obtenir, gratuitement, d'un databroker américain, un échantillon de plus de 3 milliards de données géolocalisées révélant les déplacements d'environ 11 millions de téléphones portables. Y figurent notamment des milliers de militaires et d'employés de services de renseignement allemands, et américains. Un phénomène dont l'ampleur interpelle, alors même que les projets de législations visant à renforcer la protection de la vie privée achoppent depuis dix ans aux États-Unis.

Le 22 novembre 2024 à 09h02

La CNIL et la Commission nationale de contrôle des techniques de renseignement (CNCTR) organisaient la semaine passée un colloque intitulé « La surveillance dans tous ses états. Quelle éthique pour protéger nos libertés ? ». Sébastien Bourdon, vice-président d'Open Facto (dont l’objectif est de fédérer les acteurs de l'OSINT, ou renseignement d'origines sources ouvertes) et journaliste au Monde, y est notamment revenu sur sa récente enquête consacrée aux traces laissées par les gardes du corps d'Emmanuel Macron, Joe Biden et Vladimir Poutine sur l'application Strava.

En réaction, Nicolas Lerner, directeur général de la sécurité extérieure (DGSE), a quant à lui opportunément pointé du doigt les problèmes, encore plus grands, que pose l'ADINT (pour ADvertising INTelligence), du nom donné à la collecte de données publicitaires, potentiellement encore plus intrusives.

L'été dernier, Bayerischer Rundfunk (BR, le service public audiovisuel de la Bavière) et le média indépendant netzpolitik.org, défenseur des libertés numériques, ont ainsi révélé, dans toute une série d'articles, qu'il était possible de géolocaliser des personnes à l'intérieur de bâtiments de l'armée et des services de renseignement allemands.

Après un bref appel téléphonique, Sebastian Meineck, de netzpolitik.org, avait en effet réussi à obtenir, de la part d'un courtier de données états-unien, un fichier comportant 3,6 milliards de points de localisations collectés sur une période d'environ huit semaines fin 2023.

Le fichier lui avait été fourni gratuitement à titre d'échantillon via Datarade, une place de marché en ligne basée à Berlin de mise en relation avec plus de 500 databrokers internationaux, commercialisant près de 600 catégories de données. Un abonnement comprenant des données de localisation mises à jour toutes les heures pour des personnes résidant dans plus de 150 pays lui aurait coûté 14 000 dollars par mois.

Le vendeur n'avait pas précisé comment, ni auprès de quelles applications, il s'était procuré les données. Collectées via le tracking d'environ 11 millions d'identifiants publicitaires de téléphones portables, elles révélaient leurs géolocalisations GPS, et donc les déplacements de leurs millions de propriétaires.

Si les identifiants publicitaires ne sont pas nominatifs, ils permettent donc néanmoins d'identifier où travaillent les détenteurs des téléphones portables associés, où ils vivent et résident, où ils se rendent le soir, le week-end et pendant leurs congés.

Basé aux États-Unis, le courtier était passé outre l'obligation de recueil du consentement prévu par le RGPD. Et rien n'empêchait Datatrade de mettre des clients européens en contact avec le databroker, la place de marché se contentant de mettre en relations les parties intéressées, sans pour autant elle-même traiter les données.

Géolocalisés de l'école de leurs enfants jusqu'à des maisons closes

L'enquête de BR et nextpolitik.org faisait suite à d'autres investigations de ce type effectuées aux USA, en Norvège, aux Pays-Bas et en Suisse. Le magazine WIRED vient de s'associer à eux pour tenter de mesurer ce que ces milliards de données révèlent au sujet des militaires basées dans les installations américaines sensibles en Allemagne, où les États-Unis maintiennent une force d'au moins 35 000 soldats :

« Il s'agit notamment de dizaines d'appareils situés dans des installations de surveillance ou d'analyse des signaux soupçonnées d'appartenir à la NSA, de plus d'un millier d'appareils dans un vaste complexe américain où des troupes ukrainiennes ont été formées en 2023, et de près de 2 000 autres dans une base aérienne qui a joué un rôle crucial dans les opérations de drones américains. »

Si nos enquêtes reposant sur Strava nous ont permis d'identifier où travaillaient un certain nombre d'agents de services de renseignement français et étrangers, mais aussi là où ils habitaient, l'ADINT est bien plus intrusive, puisqu'elle ne se limite pas, contrairement à Strava, aux seules activités sportives.

WIRED précise qu'il est ainsi possible de suivre les mouvements des militaires, non seulement de leur domicile jusqu'aux abris blindés d'une base aérienne où des armes nucléaires américaines seraient stockées, mais également jusqu'aux écoles de leurs enfants, notamment.

Les journalistes ont aussi identifié quatre appareils qui, émettant régulièrement des signaux à partir de la base aérienne de Ramstein, ont ensuite été localisés dans des maisons closes situées à l'extérieur de la base, « notamment dans un établissement à plusieurs étages appelé SexWorld ».

L'analyse a également révélé des données de localisation provenant de 12 313 appareils géolocalisés à l'intérieur ou à proximité d'au moins 11 sites militaires et de renseignement :

« Notre enquête a permis de découvrir 38 474 signaux de localisation provenant de 189 appareils à l'intérieur de la base aérienne de Büchel, une installation allemande de haute sécurité où pas moins de 15 armes nucléaires américaines seraient stockées dans des bunkers souterrains. Dans la zone d'entraînement de Grafenwöhr, où des milliers de soldats américains sont stationnés et ont entraîné des soldats ukrainiens sur des chars Abrams, nous avons repéré 191 415 signaux provenant de 1 257 dispositifs. »

Suivre à la trace des forces spéciales des États-Unis jusqu'en Syrie

WIRED souligne cela dit que les identifiants publicitaires mobiles peuvent être réinitialisés, et que plusieurs identifiants peuvent donc être attribués à un seul et même appareil : « Notre analyse a révélé que, dans certains cas, plus de 10 identifiants publicitaires mobiles avaient été attribués à des appareils ».

De plus, la précision de la localisation peut, elle aussi, être sujette à caution. Un journaliste dont l'identifiant figure dans la base de données a ainsi constaté qu'il était souvent identifié à un pâté de maisons de son appartement et à des moments où il n'était pas en ville.

Une étude du Centre d'excellence en communications stratégiques de l'OTAN a pour sa part estimé que « la quantité éclipse la qualité » dans le secteur du courtage de données et qu'en moyenne, seules 60 % des données étudiées pouvaient être considérées comme précises.

Sur son site, aujourd'hui fermé, le courtier de données Datastream Group expliquait qu'il commercialisait des « données publicitaires sur Internet couplées à des courriels hachés, des cookies et des données de localisation mobile ». Le courtier permettait aussi de cibler des catégories de niche telles que les propriétaires de bateaux, les demandeurs de prêts hypothécaires et les fumeurs de cigarettes, précise WIRED.

Le magazine avait déjà raconté comment Mike Yeagley, un entrepreneur et sous-traitant du gouvernement américain, avait expliqué, lors d'une conférence en 2016, son recours à de telles données pour suivre à la trace des téléphones de l'entourage de Vladimir Poutine. Il avait également suivi des soldats américains depuis leurs bases aux États-Unis jusque dans une cimenterie abandonnée près de Kobané, alors bastion de Daech au nord de la Syrie, identifiant ainsi une station d'opérations avancées pourtant secrète.

Sur son profil LinkedIn, Yeagley explique avoir « enseigné aux agences de renseignement américaines comment tirer parti de l'écosystème de la technologie publicitaire, la plus vaste entreprise de collecte d'informations jamais conçue par l'homme. Je n'ai pas piraté, volé ou intercepté les données - je les ai achetées ». Près de 10 ans plus tard, il se dit consterné de voir qu'il est toujours possible d'acquérir, sur le marché, de telles données sensibles.

Faciliter le chantage, la traque, le harcèlement et l'humiliation publique

Un rapport déclassifié l'été dernier par Avril Haines, directrice sortante du renseignement national, reconnaissait que les agences de renseignement états-uniennes avaient acheté de « grandes quantités » d'« informations sensibles et intimes » sur les citoyens américains à des courtiers de données. Il soulignait que, « dans de mauvaises mains », ces données pourraient « faciliter le chantage, la traque, le harcèlement et l'humiliation publique ».

Le rapport relevait aussi que si le gouvernement américain « n'aurait jamais été autorisé à contraindre des milliards de personnes à porter en permanence sur elles des dispositifs de localisation », les smartphones, les voitures connectées et le suivi sur le web ont rendu cela possible « sans la participation du gouvernement », résume WIRED.

Une présentation interne du Pentagone obtenue par le collectif de journalistes reconnaît néanmoins que ce type de collecte de données, certes susceptible de révéler des secrets militaires ou d'aider des puissances étrangères à espionner voire corrompre des soldats, est cela dit « inévitable ». Les militaires sont des êtres humains comme les autres, et ne peuvent donc tout simplement pas vivre sans téléphones portables et autres technologies connectées.

Une conclusion qui, souligne WIRED, « reflète étroitement » les observations du juge en chef John Roberts de la Cour suprême des États-Unis, qui, dans plusieurs affaires relatives à la protection de la vie privée, avait décrit les téléphones portables comme un « élément omniprésent et insistant de la vie quotidienne ». Au point que le fait d'en posséder un était devenu « indispensable à la participation à la société moderne ».

Chargé de cours à la Sanford School of Public Policy de l'université Duke, Justin Sherman dirige un projet de recherche sur le courtage de données. En 2023, raconte WIRED, son équipe avait obtenu un financement de 250 000 dollars de l'Académie militaire des États-Unis pour étudier la facilité avec laquelle il était possible d'acheter des données sensibles sur le personnel militaire auprès de courtiers en données.

Les résultats se sont avérés « alarmants » : au-delà des données géolocalisées, l'équipe avait en effet pu acheter des données médicales et financières « hautement sensibles, non publiques et individuellement identifiables » sur des militaires en service actif et ce, « sans aucun contrôle », relève WIRED.

Des projets de loi mis au placard par les Républicains, en attendant Trump

M. Sherman avait aussi participé à la rédaction d'un amendement à la loi sur l'autorisation de la défense nationale (National Defense Authorization Act), qui oblige le ministère de la Défense à veiller à ce que les données individuelles hautement identifiables partagées avec les sous-traitants ne puissent pas être revendues.

Une démarche qui, cela dit, lui semble vaine : « C'est l'ensemble du secteur qui pose problème. C'est une bonne chose d'adopter des contrôles ciblés sur certaines parties de l'écosystème, mais si vous ne vous occupez pas du reste de l'industrie, vous laissez la porte grande ouverte à tous ceux qui veulent obtenir des données de localisation sur les agents de renseignement », déplore-t-il.

Or, relève WIRED, les efforts du Congrès américain pour adopter une législation plus complète sur la protection de la vie privée « sont au point mort depuis une bonne dizaine d'années ». La dernière tentative en date, connue sous le nom de « American Privacy Rights Act », n'a pas progressé en juin après que les leaders du Parti républicain ont menacé de faire échouer le projet de loi, qui a ensuite été considérablement affaibli, avant d'être mis au placard.

Un autre projet de loi sur la protection de la vie privée, le « Fourth Amendment Is Not For Sale Act », vise de son côté à interdire au gouvernement états-unien d'acheter des données sur les citoyens américains qu'il devrait normalement obtenir par mandat.

Bien que ce projet de loi n'interdise pas totalement la vente de données de localisation commerciale, relève WIRED, il empêcherait cela dit les agences fédérales d'utiliser ces achats pour contourner les protections constitutionnelles confirmées par la Cour suprême. Le sort du projet de loi est encore entre les mains des leaders de la Chambre des représentants et du Sénat.

« L'industrie non réglementée du courtage de données constitue une menace évidente pour la sécurité nationale », déplore pour sa part Ron Wyden, sénateur démocrate de l'Oregon, qui a supervisé pendant plus de 20 ans le travail des services de renseignement :

« Il est scandaleux que des courtiers en données américains vendent des données de localisation recueillies auprès de milliers de membres courageux des forces armées qui servent au péril de leur vie dans le monde entier. »

M. Wyden avait écrit au ministère américain de la Défense, à la Commission fédérale du commerce (FTC) ainsi qu'au Conseil national de sécurité (NSC) en septembre. Le ministère de la Défense, pas plus que le NSC, n'ont répondu à ses questions. Mais WIRED a appris que la FTC prévoit d'intenter prochainement plusieurs actions en justice afin de reconnaître officiellement que les installations militaires américaines sont des sites protégés.

La source de WIRED précise que ces actions s'inscrivent dans le cadre des efforts entrepris par Lina Khan, présidente de la FTC, afin de protéger les consommateurs états-uniens, y compris militaires, contre les pratiques de surveillance préjudiciables.

Reste à savoir ce qu'en fera l'administration Trump, qui remplacera Lina Khan, voire si la FTC survivra à la purge administrative promise par Elon Musk. Et ce, d'autant que le projet 2025, censé préparer la présidence Trump, suggère notamment d'abolir la Commission antitrust.

Commentaires (33)

votre avatar
L'industrie publicitaire est une m*e, épisode n°814566516658711 ...
votre avatar
Encore plus que la présence de ces mouchards et la facilité avec laquelle il semble possible d'y accéder, c'est l'apathie générale envers tout ça que je trouve sidérante.
Même au Pentagone, ça fait juste hausser les épaules en se disant que c'est "inévitable". Quasiment tout le monde s'en fout...
votre avatar
Ce qui me ferait marrer, c'est si un jour les chefs d'entreprise (voire leurs employés) de ces databrokers se faisaient doxer sur le Net, en mode : on sait que vous habitez à telle adresse grâce à Jean-Michel qui nous a vendu vos données.
votre avatar
Est-ce que ça change quelque chose si on a adblock / ublock origin ?
votre avatar
Je sais pas pourquoi quelqu'un a réagis avec "mdr", la question me parait pertinente.
J'imagine que si on empêche complètement l'affichage des pubs ça limite la surface d'exposition.
Je suppose aussi que désactiver l'identifiant publicitaire aide aussi.
votre avatar
Oui, le mdr c'est sans doute quelqu'un qui pense que les bloqueurs de pubs ne servent qu'à bloquer l'affichage, pas les trackers.

Intuitivement, avec un bloqueur qui bloque les trackers, logiquement tu laisses moins de traces chez les publicitaires. Mais j'ai du mal à évaluer à quel point ce "moins de traces" va rendre compliquée une démarche adint. Est-ce qu'il en reste quand même suffisamment pour être bien traçable, ou est-ce que ça rend les choses vraiment compliquées ?
votre avatar
Le problème semble plus relever de l'accès à la géolocalisation (et donc des app' qui sont autorisées à accéder au GPS) que des trackers (même s'il existe des moyens d'estimer la localisation d'un portable sans accès au GPS).

BR propose (en allemand) de vérifier/désactiver quelles app' ont accès à votre géolocalisation, et de réinitialiser ses identifiants publicitaires.
votre avatar
Comment on réinitialise ses identifiants publicitaires sur Android ?
votre avatar
Tout en bas de l'article, ils expliquent comment réinitialiser ou supprimer l'identifiant publicitaire de votre appareil.
votre avatar
J'ai mis "mdr" car j'ai cru à une question rhétorique à but humoristique.
Dans l'article on parle beaucoup de position GPS, qui induit normalement le tracking via des applications sur le téléphone, plus que via un site/navigateur, donc avoir un bloqueur de pub ne sert pas trop dans le cas présenté dans l'article. Cependant, ça aide quand même un peu.

EDIT : grillé par JMM. ^^'
votre avatar
Adblock / ublock ne fonctionne qu'au niveau de ton navigateur.
Ce n'est pas suffisant, car la plupart des données GPS viennent d'autres applications.

Il faut donc utiliser un bloqueur de trackers au niveau OS, et pas navigateur.
Un truc comme NextDNS, PiHole, Blokada... sera beaucoup plus efficace et complet.
votre avatar
Pour être certain d'avoir bien compris, en fait les données ne sont pas nominatives, elles sont juste liées à des identifiants publicitaires aléatoires et "uniques" ? Ce qui permet de relier ça à une personne sont les trajets domicile travail et ce genre de choses ?
votre avatar
Oui, j'ai donc rajouté cette phrase pour être plus clair : Si les identifiants publicitaires ne sont pas nominatifs, ils permettent néanmoins d'identifier où travaillent les détenteurs des téléphones portables associés, où ils vivent et résident, où ils se rendent le soir, le week-end et pendant leurs congés.
votre avatar
Question bête, que l'on y trouve des militaires US je comprends mais pour les allemands ?
votre avatar
Dans le cas révélé ici, oui les données ne sont pas nominatives par contre plusieurs boites vendent des softs pour les rendre nominatives. Elles s'appuient comme ici sur les banques vendu librement par les databrokers comprenant un ensemble de données agrégés (apps/trackers web/réseaux sociaux/operateurs tel. (Verizon, AT&T, etc...)) tout en faisant le lien.

Les forces de police dans certains comtés aux US ont des abonnements à des softs de localisation/téléphones ce qui leur permets de savoir qui il y avait à tel moment sur tel lieu sans passer par la case demande judiciaire (trop contraignant d'après eux). Un abo. sur certaines coute seulement 100$/mois quant ce n'est pas l'état fédéral ou le département (FBI, LAPD, etc...)qui fait l'investissement total quant il n'en abuse pas lui-même (exemple avec les migrants au Texas).

Voir :
https://www.eff.org/deeplinks/2022/08/how-law-enforcement-around-country-buys-cell-phone-location-data-wholesale

https://theconversation.com/what-is-fog-reveal-a-legal-scholar-explains-the-app-some-police-forces-are-using-to-track-people-without-a-warrant-189944

https://theintercept.com/2024/04/02/surveillance-tech-new-york-state-police/

https://theintercept.com/2020/12/23/police-phone-surveillance-dragnet-cellhawk/

https://theintercept.com/2021/09/21/surveillance-social-media-police-microsoft-shadowdragon-kaseware/

https://theintercept.com/2023/11/16/lexisnexis-cbp-surveillance-border/

Bon j'arrête là vu le nombre de softs et d'achats par les forces de police US sinon la liste serait interminable si je reprenais ces 12 dernières années.

Comme le dit @Tanyuu, ça fait 15 ans que les organismes de défense des droits civique se cassent les dents à empêcher la revente de données voir à faire adopter un RGPD US.
votre avatar
Que faire pour se protéger ? (question sérieuse)
Pour ma part, j'ai très rarement la localisation d'activée, et très peu d'applis qui y ont accès.

Après vérification, 4 applis qui ont le droit d'accéder à ma localisation "pendant qu'elles s'exécutent" (2 applis de navigation hors ligne, 1 de test satellites, 1 qui fait du Bluetooth et réclame la permission de localisation alors que plus nécessaire depuis Android 12, ceci dit elle n'a pas accès au réseau).

Pour les rares cas où je veux faire tourner une appli qui exige ma position mais que je ne souhaite pas la communiquer, j'utilise un "simulateur de position".

Une idée du risque que j'ai de faire partie de leurs jeux de données ?
votre avatar
Si tu as un Android, normalement GOOGLE se trouve dans la liste des apps qui ont accès à la géolocalisation (liste dans le Privacy Manager).

En sélectionnant Never pour l'accès à la géolocalisation pour GOOGLE un pop-up s'affiche :

"If you deny this permission, basic feature of your device may not function as intended"

Du bluff pour faire peur... ? Peut-être même qu'ils ont été jusqu'à écrire des routines pour créer des problèmes bidons exprès pour forcer l'utilisateur à lui redonner son accès...

Je vais essayer tiens donc...On verra bien...
votre avatar
Hahaha je pense que dans les basic features tu as "find my phone"... D'ailleurs il est toujours cité dans mes problèmes de sécurité. Avoir la localisation désactivée est un grave problème.

Et clairement vu ma liste, les applis Google n'ont pas accès à la géo-localisation.
votre avatar
J'ai vérifié individuellement, play store et play service n'ont pas accès
votre avatar
J'avais lu un article il y a quelques années d'une interview d'un développeur chez Google (qui témoignait anonymement) et avait dit que même l'option "géolocalisation OFF", ça ne la coupait pas complétement... et qu'il y avait toujours des moyens d'accès...

Un peu comme le Wi-Fi d'ailleurs. Si on coupe le Wi-Fi, il est toujours actif derrière mais invisible.

Il faut activer les Developper Options et ensuite mettre sur OFF l'option Wi-Fi scanning car sinon il passe son temps à noter et enregistrer tous les réseaux WiFi aux alentours pour ensuite faire de la géolocalisation sans l'aide du GPS.

Quel est le % d'utilisateurs Android qui savent qu'il faut cliquer 7 fois de suite sur un mot en particulier dans Système/A Propos de.... pour ensuite faire apparaître un menu caché et décocher l'option Wi-Fi scanning...?

Faible le % à mon avis...
:fumer:
votre avatar
Je ne me souvenais même pas que c'était dans les options développeur maintenant.
Pour min petit cas personnel j'espère n'être affecté par aucun (GrapheneOS).
votre avatar
Après verif dans mon cas le wifi scanning est dans la rubrique "location" (GrapheneOS Android 15) a côté du Bluetooth scanning.
votre avatar
Ha ok, dans ma LineageOS 21 @ Android 14 "seulement", (avec mon POCO F2 @ 2020, j'en serais juste à du 12 au plus), et bien c'est dans les Developper Options.

GrapheneOS, oui j'aurai bien voulu voir, mais avec du Xiaomi, c'est mort... D'ailleurs avec quasiment tous les mobiles Android c'est mort...

Que du Pixel de 6 à 9 et absolument rien d'autre...
Donc 95%+ des utilisateurs Android n'ont aucune chance (même s'ils voulaient) de basculer sur du GrapheneOS.

J'imagine aussi que Xiaomi / Samsung ne veulent pas trop ouvrir les sources des drivers nécessaires ou un truc dans le genre...
et aussi que la team GrapheneOS doit être plus réduite que celle de LineageOS par exemple.

J'avais vu une fois seulement il y a quelques années quelq'un avec un Pixel à table (je dis à table car il était en face de moi à déjeuner à la cantine et que dans la rue, beaucoup plus dur de repérer un passant qui tient un Pixel entre ses mains... )

Tous les smartphones ont quasiment le même look et le même form factor maintenant, (le RAZR a fait un RAZ :D ... Ok c'est nul...)

Bref, un Pixel, ça court pas les rues...
:fumer:
votre avatar
Le choix du pixel pour Grapheneos est lié entre autre à la possibilité d'installer un os alternatif ET de désactiver ensuite le bootloader, à la durée du support, et à la présence de sécurité hardware. La liste complète des conditions est ici :
https://grapheneos.org/faq#future-devices

Le support ne sera jamais aussi large que lineage, qui n'a absolument pas les mêmes objectifs en terme de sécurité. J'ai fini par acheter un pixel à contrecœur pour GrapheneOS, et je pense que la démarche inverse (tient, j'ai un pixel, si je mettait GrapheneOS dessus) est assez rare. Je ne regrette absolument pas ce choix, même si pendant un moment quelques fonctions n'étaient pas disponibles.
Android auto n'est fonctionnel que depuis quelques mois, et les play services n'étaient pas disponibles pendant pas mal de temps, sans solution alternative (on peut maintenant les installer, mais c'est optionnel et tout est sandboxé, sans privilèges particulier).
La seule limitation que j'ai en tête est le fait que certaines applications bancaires ne fonctionne pas, mais je n'ai jamais été concerné, et c'est peut être résolu (c'était lié à SaferyNet, qui est en cours d'abandon).

Les autorisations pour les applications Google sont nettement plus limitées que sur d'autres version d'Android, et je confirme que la localisation n'est pas nécessaire pour un usage courant. Jamais eu de soucis et ça a toujours été désactivé dans mon cas.
votre avatar
Dans Android 14, je l'ai dans Position > Services de localisation > Analyse Wi-Fi (désactivée)
votre avatar
Je viens de vérifier et... Mea culpa, en effet l'option apparaît bien dans Location Services.:yes::incline:

J'avais confondu avec cette autre option qui elle est dans les Developper Options:

Wi-Fi scan throttling:
"Reduces battery drain and improves network performance"

J'avoue que je n'ai pas cherché dans le détail la fonctionnalité de cette option. Donc oui le scanning est désactivable simplement dans les options réseaux Android.

Edit:
"The throttling means foreground apps can only run four Wi-Fi scans every two minutes, while background apps are only allowed to run a scan once every 30 minutes."

Donc complètement différent du Wi-Fi scanning.
votre avatar
En fait, ce sont les "Services Google Play" qui offrent divers services (dont la géolocalisation) à tout un ensemble d'applications Google.
Donc, j'ai l'impression que même si tu désactives l'accès à la localisation sur certaines applications, elles y arriveront peut-être via "Services Google Play".
Et enlever des autorisations sur les "Services Google Play" semble risqué.
votre avatar
GrapheneOS mais il n'a pas ces permissions, et pas de problème.
votre avatar
De ce que j'ai compris, GrapheneoOS fourni une réimplémentation de certains services (dont celui de localisation) intégrés habituellement aux Play Services (les services de Google correspondants sont désactivés par défaut).

Je suppose que sans ça, certaines applications dépendantes de la fourniture de la géolocalisation (ou autre) par les Play Services ne vont plus fonctionner correctement.
votre avatar
Effectivement il marche comme ça, mais j'ai les play services installés, sans la permission d'accès à la localisation.
votre avatar
Je suis exactement dans la même config. Je voulais surtout préciser cette info pour ceux qui ne connaissent pas GrapheneOS (mais j'aurai peut être dû répondre plutôt à @Westvleteren )
votre avatar
Bluetooth et réclame la permission de localisation alors que plus nécessaire depuis Android 12.
Le bluetooth est presque aussi précis que le GPS pour la localisation : Bluetooth / Wifi / GPS sont utilisés pour te localiser, toute appli ayant accès au bluetooth ou au nom des AP wifi pourra te localiser précisément en quasi permanence.

J'ai installé un homeassistant pour gérer ma domotique, il y'a une tuile Bluetooth, qui liste notamment les beacons. En à peine une semaine, j'avais déjà 500 beacons différents vus : des voitures de livraison, des airtags... (sachant que c'est un PC fixe chez moi, je n'ai jamais eu d'inten,tion de collecter les va-et-viens de toutes ces personnes)

à un instant T toutes les apps qui voient se beacon sont au même endroit. Si au moins une a autorisé la collecte de localistaion, le broker connaît instantanément la position de tous les autres mobiles peu importe qu'il ait autorisé ou non la localisation GPS.

Sur le wifi c'est un peu plus statique mais c'est le même principe, si un seul de tes voisins a autorisé la localisation, une app peut positionner tous les APs visible par son téléphone. Que tu ais autorisé ou non l'accès au GPS une appli pourra te localiser simplement avec la liste des AP wifi visible par ton téléphone et en recoupant avec les données récoltées chez d'autres.
votre avatar
Je ne suis pas sûr de comprendre ton message.
Android 12 ne requiert plus cette permission si tu jures sur l'honneur (dans ton manifest) ne pas tenter de localiser l'utilisateur.
Pour ma part, la protection est simple : pas de Bluetooth allumé.
A contrario le scan wifi depuis Android 10 requiert la permission "location".
Donc en principe pas de Bluetooth et pas de permission "location" ça devrait compliquer le tracking.

ADINT : les marchands de pub vendent aussi les données GPS de militaires et d’espions

  • Géolocalisés de l'école de leurs enfants jusqu'à des maisons closes

  • Suivre à la trace des forces spéciales des États-Unis jusqu'en Syrie

  • Faciliter le chantage, la traque, le harcèlement et l'humiliation publique

  • Des projets de loi mis au placard par les Républicains, en attendant Trump

Fermer