La Cour suprême du Colorado valide les mandats d'arrêt par mots-clefs inversés

La Cour suprême du Colorado valide les mandats d’arrêt par mots-clefs inversés

OK Google

24

La Cour suprême du Colorado valide les mandats d'arrêt par mots-clefs inversés

La Cour suprême du Colorado juge que les policiers ont agi de bonne foi en demandant à Google une liste de personnes ayant recherché certains mots clés. La haute juridiction précise néanmoins que si des « problèmes dystopiques apparaissent, elle pourrait prendre des mesures ». Un « cas fascinant » estiment certains juristes, qui en inquiète d'autres, dont l’EFF. 

La Cour suprême du Colorado vient de juger que la police était dans son droit de réclamer à Google la liste des personnes ayant recherché tels ou tels mots-clefs, rapporte Bloomberg.

C'était la toute première fois qu'une Cour suprême états-unienne était amenée à examiner ce type de mandat, souligne l'EFF (Electronic Frontier Foundation, pionnière des ONG internationales de protection des libertés sur Internet), qui s'était « fortement impliqué dans l'affaire », et se dit « déçu » de cette décision.

Cinq « suspects » remontés par Google

Suite à un incendie criminel ayant tué trois adultes et deux enfants en 2020, la police de Denver, qui ne parvenait pas à identifier de suspects, avait demandé à Google la liste des personnes ayant effectué, dans les 15 jours précédents, des recherches au sujet de variantes de l'adresse de la maison incendiée. 

D’après Denver7, Google aurait cherché de potentiels suspects un peu partout dans le monde, que les recherches soient faites dans le moteur de recherche ou dans Maps. 

Après s'être initialement montré réticent, le moteur de recherche lui fournit une liste d'une soixantaine de recherches effectuées par 8 comptes, avec les adresses IP associées. Cinq de ces adresses étaient basées dans le Colorado, ce qui permit à la police d'identifier trois adolescents comme suspects. 

Les avocats de l'un d'entre eux, Gavin Seymour, qui avait recherché l'adresse quatorze fois, ont depuis contesté le mandat, et réclamé que les requêtes de leur client, qui avait alors 16 ans, soient effacées du dossier.

Un « cas fascinant »

Pour Ian Farrell, maitre de conférence au Sturm College of Law de Denver (spécialiste du droit et des procédures pénales), c’est un « cas fascinant », comme le rapportent nos confrères de Denver7 :

« L’argument des défendeurs est que, parce que l’information a été obtenue en violation de leurs droits garantis par le quatrième amendement, le juge a commis une erreur en permettant qu’elle soit présentée.

C’est un exemple classique des défis auxquels on est confronté lorsqu’on s’appuie sur un texte écrit dans les années 1780 et 1790, et qu’on essaie de l’appliquer à la technologie numérique ». 

Dans une décision de 74 pages, la Cour suprême du Colorado juge que les policiers ont agi de bonne foi, tout en soulignant que ce type de mandat devait être strictement limité aux faits incriminés :

« Si des problèmes dystopiques apparaissent, comme certains le craignent, les tribunaux sont prêts à entendre les arguments sur la manière dont nous devrions freiner l’utilisation par les forces de l’ordre d’une technologie en évolution rapide. »

Selon plusieurs spécialistes, cette histoire pourrait aller jusqu’à la Cour suprême des États-Unis, la plus haute juridiction du pays. 

Deux juges inquiets

Deux juges, Monica Márquez et Carlos Samour, ont émis une opinion dissidente, estimant que « les mandats d'arrêt par mots clés inversés deviendront rapidement l'outil d'enquête de premier recours », parce que « c’est un raccourci extrêmement simple pour générer une liste de suspects potentiels ».

Google a déclaré qu'il était « important » que le tribunal reconnaisse « les intérêts importants en matière de confidentialité et du premier amendement impliqués par les recherches par mots clés », et rappelé qu'il dispose d' « un processus rigoureux conçu pour protéger la vie privée de nos utilisateurs tout en soutenant l'application de la loi ».

Des craintes de dérives

ReadWrite relève que l'Electronic Privacy Information Center (EPIC) craint que ce type de mandats de recherche inversée puisse, tout comme les mandats de géolocalisation (ou « geofencing »), être utilisé pour poursuivre en justice des femmes qui avortent dans les États où cela est illégal.

L’EFF craint en outre que cela puisse aussi être utilisé pour identifier des personnes en recherche de soins relatifs à leur genre, ou encore des informations sur les drogues psychédéliques. Et ce, d'autant qu'une enquête de Bloomberg montre que la police se tourne de plus en plus vers les données de Google, même pour les crimes non violents.

Sur Twitter, Alexandre Archambault, avocat spécialiste du numérique, souligne que ce type de problématique « reste à ce jour fort peu probable de ce côté-ci de l'Atlantique, dans la mesure où les intermédiaires techniques ont interdiction *absolue* de conserver les informations de navigation ».

Commentaires (24)


C’est le moment de commencer à utiliser autre chose que Google pour faire ses recherches ou à passer par Tor pour les faire.



Certains gouvernements devraient s’engouffrer dans la brèche (si ce n’est pas déjà fait), à moins que Google ne réponde qu’à la justice américaine.


C’est pas si facile, si je ne dis pas de bêtise il n’y a que 3 moteurs de recherche principaux au monde : Google, Bing et Baidu… Au boulot j’ai mis Bing en moteur principal mais c’est déjà moins efficace que Google pour les recherches un peu élaborées, et de toute façon étant Américain aussi je ne me fais pas d’illusions sur leur indépendance vis-à-vis des autorités non plus.
Toutes les autres alternatives (Duckduckgo, etc…) reposent en général sur Google et Bing, ils rajoutent juste une couche d’anonymisation par-dessus.


dtb06

C’est pas si facile, si je ne dis pas de bêtise il n’y a que 3 moteurs de recherche principaux au monde : Google, Bing et Baidu… Au boulot j’ai mis Bing en moteur principal mais c’est déjà moins efficace que Google pour les recherches un peu élaborées, et de toute façon étant Américain aussi je ne me fais pas d’illusions sur leur indépendance vis-à-vis des autorités non plus.
Toutes les autres alternatives (Duckduckgo, etc…) reposent en général sur Google et Bing, ils rajoutent juste une couche d’anonymisation par-dessus.


Je savais pas pour duckduckgo. C’est du Bing ? J’obtiens des résultats très différents de google


Amabaka

Je savais pas pour duckduckgo. C’est du Bing ? J’obtiens des résultats très différents de google


Apparemment (je ne suis pas un expert), mais Duckduckgo c’est un mix entre les résultats de Bing et Google. Tous ces “moteurs”-là, ce qu’ils font en général, c’est comme une sorte de VPN. Tu fais ta requête à Duckduckgo, ils cherchent de leur côté les résultats Bing ou Google de leurs serveurs, ils moulinent un peu et te renvoient une réponse un peu remixée. C’est une surcouche sans doute super pour l’anonymat, mais ce n’est pas à proprement parler un moteur de recherche. Un moteur de recherche utilise des robots (“crawlers”) qui parcourent tous les sites possibles en suivant les liens entre eux. Par exemple il va parcourir le site SNCF Connect qui va renvoyer sur le site corporate SNCF , qui va parler d’un achat de trains Alstom, il va parcourir le site Alstom qui va renvoyer sur une page de leur agence de com’, le robot va parcourir le site de l’agence de com’ qui va avoir un lien vers Wordpress sur une des pages, donc le robot va aller sur Wordpress, qui va dire qu’un de ses clients est le la fédération des boulangers de la Creuse, donc le robot va aller sur leur site… Tout ça en indexant tout et en essayant de stocker des métadonnées à chaque fois, du coup quand quelqu’un fait une recherche sur de la levure il saura vers qui le renvoyer. Mais c’est ultra-consommateur en bande passante, en stockage et en traitement de données, et c’est très compliqué de gérer ces données correctement. En plus, les pages périment, les liens changent, donc il faut en permanence reconduire le process. C’est pour cela que seuls des grands groupes avec des moyens faramineux s’en sortent. Et je ne suis pas fan de Google, mais il n’y a pas photo, aucun concurrent ne lui arrive à la cheville. Bing étant le seul outsider correct, et les autres étant à des années lumière. Et dois-je rappeler les mésaventures de Qwant (trouvables ici sur NXI) qui avaient vendu un moteur d’indexation indépendant à la hauteur de celui de Google et qui renvoyait vers des pages qui avaient plus de 5 ans et qui étaient obsolètes… Et en regardant le site de Duckduckgo, c’est presque aussi malhonnête, on accuse Google de revente de données, mais à aucun moment ils n’avouent l’utiliser pour les résultats. Et il ne faut pas oublier non plus que si Google est aussi pertinent, aussi puissant et gratuit, c’est qu’il revend vos données personnelles en permanence !



pamputt a dit:


C’est le moment de commencer à utiliser autre chose que Google pour faire ses recherches ou à passer par Tor pour les faire.



Certains gouvernements devraient s’engouffrer dans la brèche (si ce n’est pas déjà fait), à moins que Google ne réponde qu’à la justice américaine.




Attenton, si tu passes par Tor mais que t’es connecté avec ton compte Google, alors ca revient au même au final. Tor ne fait qu’anonymiser son IP.


Perso, ce qui m’a interpelé, c’est cette phrase:




Après s’être initialement montré réticent, le moteur de recherche lui fournit une liste de cinq personnes ayant recherché cette adresse dans les quatorze jours précédant l’incendie. Trois suspects avaient alors été retenus par les forces de l’ordre.




J’ai lu la source et on y lit




After some back and forth over how Google would be able to provide information without violating its privacy policy, Google produced a spreadsheet of sixty-one searches made by eight accounts. Google provided the IP addresses for those accounts, but no names. Five of the IP addresses were based in Colorado and police obtained the names of those people through another search warrant. After investigating those people, police eventually identified three teens as suspects.




Donc, Google n’a pas explicitement fournit la liste de 5 personnes comme on pourrait le comprendre dans la formulation écrite ici.



De plus, ici, il est question de comptes utilisateur (“accounts”) de Google et pas de recherche hors compte. Pour quelle raison n’eusse-t-elle été faite que sur des comptes et pas sur les recherches globales ?



obor2 a dit:


Perso, ce qui m’a interpelé, c’est cette phrase:



J’ai lu la source et on y lit



Donc, Google n’a pas explicitement fournit la liste de 5 personnes comme on pourrait le comprendre dans la formulation écrite ici.



De plus, ici, il est question de comptes utilisateur (“accounts”) de Google et pas de recherche hors compte. Pour quelle raison n’eusse-t-elle été faite que sur des comptes et pas sur les recherches globales ?




Ben oui “mode incognito + VPN”. Evidemment ! Là je vois pas trop comment Google pourrait identifier l’auteur de la requête… :keskidit:



Ha oui c’était un ado de 16 ans, y’a pas tout ça sur Facebook, Instagram et Tiktok… vu qu’il faut déjà se logger à la base… :reflechis:


Erwan123


obor2 a dit:


Perso, ce qui m’a interpelé, c’est cette phrase:



J’ai lu la source et on y lit



Donc, Google n’a pas explicitement fournit la liste de 5 personnes comme on pourrait le comprendre dans la formulation écrite ici.



De plus, ici, il est question de comptes utilisateur (“accounts”) de Google et pas de recherche hors compte. Pour quelle raison n’eusse-t-elle été faite que sur des comptes et pas sur les recherches globales ?




Ben oui “mode incognito + VPN”. Evidemment ! Là je vois pas trop comment Google pourrait identifier l’auteur de la requête… :keskidit:



Ha oui c’était un ado de 16 ans, y’a pas tout ça sur Facebook, Instagram et Tiktok… vu qu’il faut déjà se logger à la base… :reflechis:


Le mode incognito (s’il est question du mode “navigation privé”) ne cache aucunement l’adresse IP mais ne garde simplement pas trace de la navigation sur l’ordinateur du surfer.



Utiliser un VPN ne signifie sans aucune certitude que l’adresse IP source ne soit pas repérable, tracée. C’est-à-dire qu’il faut que le prestataire VPN stipule qu’il ne collecte, n’historie pas les liaisons IP au sein du VPN pour que ce soit invisibilisé. En effet, les communications IP ne sont pas invisibles, loin de là. Tout est affaire de transferts de communication d’un point à un autre. Si on accède à un VPN, il y a une liaison entre l’adresse IP externe qui demande le transfert, celle qui est attribuée au sein du VPN. Rien n’empêche cette IP “interne VPN” d’être une adresse unicast (non locale) et donc établir un lien 1:1 entre le visible et l’invisibilisé. Mais ce n’est généralement pas le cas, on préfère utiliser un range d’IP locale et passer par une passerelle commune ; et, donc, par un routeur ou du NAT. Ce qui, par rebond, permettrait de faire le lien “IP passerelle” -> IP interne -> IP externe -> FAI -> Endpoint”; et, ce, à la seule condition que les traces de ces transferts soient accessibles (l’historique de ces traces en fait, car on devra remonter dans le passé)



dtb06 a dit:


C’est pas si facile, si je ne dis pas de bêtise il n’y a que 3 moteurs de recherche principaux au monde : Google, Bing et Baidu… Au boulot j’ai mis Bing en moteur principal mais c’est déjà moins efficace que Google pour les recherches un peu élaborées, et de toute façon étant Américain aussi je ne me fais pas d’illusions sur leur indépendance vis-à-vis des autorités non plus. Toutes les autres alternatives (Duckduckgo, etc…) reposent en général sur Google et Bing, ils rajoutent juste une couche d’anonymisation par-dessus.




Ca me fait penser qu’on n’entend plus du tout parler de Qwant 😂 (du moins sur Next, je ne cherche pas ailleurs). Mes pensées à sa famille, toussa.



obor2 a dit:


Utiliser un VPN ne signifie sans aucune certitude que l’adresse IP source ne soit pas repérable, tracée. C’est-à-dire qu’il faut que le prestataire VPN stipule qu’il ne collecte, n’historie pas les liaisons IP au sein du VPN pour que ce soit invisibilisé.




Il ne faut pas seulement stipuler, il faut surtout que ce soit effectif.
Des tas de fournisseurs VPN “no log” avaient/ont tous les logs de connexion…


Oui, et à ce moment-là, on peut toujours se retourner contre le prestataire pour rupture de contrat, plus une plainte pour non-conformité RGPD, etc. Comme partout ailleurs, il existe quatre faces : ce qui est dit, ce qui est écrit et ce qui est fait; les paroles s’envolent, les écrits restent et les actes sont jugés. La quatrième face ? ce qui est condamné… ou pas



grsbdl a dit:


Ca me fait penser qu’on n’entend plus du tout parler de Qwant 😂 (du moins sur Next, je ne cherche pas ailleurs). Mes pensées à sa famille, toussa.




Il n’y a qu’un moment où j’en entends parler : quand les collègues en ont marre de rechercher “google” sur Qwant, et qu’ils me demandent comment virer cette merde qui sert de moteur de recherche par défaut :D


Atta, vous avez Qwant en moteur par défaut ? :transpi:



Patch a dit:


Il n’y a qu’un moment où j’en entends parler : quand les collègues en ont marre de rechercher “google” sur Qwant, et qu’ils me demandent comment virer cette merde qui sert de moteur de recherche par défaut :D




Haha, joli ! 😁



dtb06 a dit:


C’est pas si facile, si je ne dis pas de bêtise il n’y a que 3 moteurs de recherche principaux au monde : Google, Bing et Baidu… Au boulot j’ai mis Bing en moteur principal mais c’est déjà moins efficace que Google pour les recherches un peu élaborées, et de toute façon étant Américain aussi je ne me fais pas d’illusions sur leur indépendance vis-à-vis des autorités non plus. Toutes les autres alternatives (Duckduckgo, etc…) reposent en général sur Google et Bing, ils rajoutent juste une couche d’anonymisation par-dessus.




Dans les vraies alternatives tu as Kagi qui gagne de plus en plus en popularité tant il change la façon de voir la recherche sur le web.
Ça reste une surcouche (avec anonymisation) à des gros moteurs existants mais l’ajout de fonctionnalités supplémentaires (ranking personnalisé des domaines, utilisation de lens pour mieux déterminer le périmètre de recherche…) fait que ça se démarque immédiatement de tout ce qui avait été proposé jusqu’à présent comme alternative aux gros moteurs.


Kagi, je ne connaissais pas mais faut créer un compte:
“Kagi Search requires an account only because it is a paid service which requires an account for the transaction.”



C’est payant…
https://kagi.com/pricing
Du coup bof bof, même s’ils sont censé être les plus rapides :



https://help.kagi.com/kagi/search-details/search-speed.html



Product SERP Size CO2 Load Time
Kagi 0.76 MB 0.43 g 0.4 s
Ecosia 1.55 MB 0.89 g 1.2 s
Bing 1.94 MB 1.11 g 0.8 s
Google 2.43 MB 1.39 g 2.4 s
DuckDuckGo 2.48 MB 1.42 g 2.1 s



Du coup question pour les pros du domaine : c’est vraisemblable une telle différence entre la taille du contenu téléchargé et le temps de chargement??? Là ça me semble énorme.



Patch a dit:


Des tas de fournisseurs VPN “no log” avaient/ont tous les logs de connexion…




Source ?


Pas besoin, dans les pays où la législation impose d’avoir des logs, ben y a des logs, même si le fournisseur de VPN dit qu’il n’en a pas.
Et rien en prouve que dans les pays où il n’ai pas demandé d’avoir des logs, le fournisseur n’en ait pas.
J’ai souvenir d’un ou 2 articles qui expliquaient qu’un fournisseur de VPN avait répondu à des autorités :” désolé, on pas de log”. Donc cela doit exister, mais ce doit être une minorité.
Sinon, un article sympa :
https://le-routeur-wifi.com/vpn-quand-des-fournisseurs-no-log-font-fuiter-1-to-de-data-logs/



obor2 a dit:


De plus, ici, il est question de comptes utilisateur (“accounts”) de Google et pas de recherche hors compte. Pour quelle raison n’eusse-t-elle été faite que sur des comptes et pas sur les recherches globales ?




Google ne garde pas les traces des recherches faites sans compte parce que ce n’est pas obligatoire et parce que ça ne lui sert à rien.



Quand tu as un compte, tu es profilé (sauf si tu demandes à ne pas l’être). Si tu n’as pas fait cette demande, tu peux consulter ton “activité”. Et tu as de la pub en fonction de ton profil/activité.



Donc a priori, pour ne pas être victime d’une recherche inversée, il suffit configurer son compte pour qu’il ne mémorise rien.


Est-ce que c’est sûr?



Je vois bien Google logger les IP, ne serait-ce que pour des raisons de sécurité, voire pour matcher une IP avec un compte et faire de la pub ciblée (mais peut-être pas en Europe grâce à GDPR?).


Je crois que Brave a ses propres crawlers.



Quand à Google, il ne vend pas vos données personnelles. Il vend des emplacements publicitaires à des annonceurs. Ça n’est pas du tout la même chose. Un annonceur contacte Google, pour une pub pour un cure-dents, et bien Google va lui proposer un contrat “on affiche votre pub 1000 fois à des gens qui consultent des sites de dentifrice, ça fera 999€”.



Jamais l’annonceur ne récupère vos données personnelles.



shadowfox a dit:


Pour la blague https://www.politico.eu/article/comment-lancien-patron-de-qwant-champion-de-la-vie-privee-se-reinvente-dans-la-cybersurveillance/




S’il est aussi efficace que dans les moteurs de recherche… :transpi:




eglyn a dit:


Atta, vous avez Qwant en moteur par défaut ? :transpi:




Fonction publique d’Etat, donc Qwant par défaut sur tous les postes même si absolument personne ne l’utilise, à ma connaissance.
Heureusement, on a le droit d’en changer une fois que la session est créée sur le poste (pour le moment, ce n’est pas dit que ca dure).




Amabaka a dit:


Source ?




Par ex :
https://www.clubic.com/antivirus-securite-informatique/vpn/actualite-6563-fournisseurs-de-vpn-zero-log-font-fuiter-plus-de-1-to-de-logs.html


Ce qui m’intéresserait, perso, c’est une surcouche à Google qui soit capable d’éliminer les sites situés dans une liste noire que je définis (ou au contraire, de faire d’abord apparaître les sites auxquels j’attache le plus de valeur)



Exemple: Je fais du dépannage IT depuis déjà des années. Quand je fais une recherche sur un BSOD quelconque, par exemple, je voudrais pouvoir:




  • Faire complètement disparaître les résultats de “Comment ça marche” qui ne dit que de la merde

  • Faire remonter les résultats de sites comme Malekal, par exemple.



Quelqu’un connaîtrait une surcouche capable de réaliser ce travail ? :)


Fermer