Connexion
Abonnez-vous

Outre-Atlantique, AT&T permet de localiser un abonné mobile à partir d’informations basiques

Le consentequoi ?

Outre-Atlantique, AT&T permet de localiser un abonné mobile à partir d'informations basiques

Le 16 octobre 2017 à 16h00

À partir d'une API fournie par AT&T, des sociétés proposent d'authentifier une transaction mobile, voire de déterminer où se trouve un smartphone. Problème : ces outils se contentent de peu de données pour ouvrir l'accès à des informations sensibles, avec un consentement peu garanti.

Un accès simple aux données des mobinautes, depuis une simple interface web. C'est ce qu'a découvert Philip Neustrom, cofondateur de Shotwell, comme il l'explique dans un billet sur Medium. Deux sociétés (Danal Inc et Payfone) proposent deux interfaces de démonstration d'accès aux données de mobinautes, avec pour point d'entrée l'adresse IP du téléphone.

Le numéro de téléphone, des données de facturation ainsi que la localisation (si l'antenne connectée le permet) sont consignés. Danal Inc et Payfone sont des spécialistes de l'authentification mobile, capables de vérifier l'identité d'un internaute à partir de son appareil, en exploitant au moins une API du premier opérateur américain, AT&T. Un des principaux usages est la lutte contre la fraude, qui semble moyennement se soucier du consentement de l'internaute.

Un consentement des plus flous

Annoncée en décembre 2013 par AT&T, la Mobile Identity API donne la possibilité de croiser les informations fournies par l'internaute avec celles possédées par l'opérateur. La révélation de l'outil était accompagnée d'un accord avec Payfone, qui vante la capacité de savoir si un employé est bien là où il est censé être.

« En utilisant cette API, le service de Payfone permettra aux entreprises de confirmer qu'un terminal utilisé dans une transaction est authentifié sur le réseau mobile d'AT&T. L'accord souligne le soutien d'AT&T à l'innovation et à la création de valeur pour les développeurs et fournisseurs de solutions pour entreprises » écrivait fièrement l'opérateur à l'époque.

Les deux outils de démonstrations semblent avoir été mis hors ligne suite à la publication du billet sur Medium, tout comme la documentation de l'API de Payfone. L'article relevait un point important : le consentement du client de l'opérateur à une telle exploitation de ses données est des plus flous.

Si les deux pages d'essai demandent d'être connecté avec la bonne adresse IP, ce n'est pas le cas des API des services en elles-mêmes, qui semblent se contenter d'une simple case cochée par celui qui requiert les informations. À noter que ces boites à outils permettent aussi des requêtes de masse, sur lesquelles l'accord explicite du client peut être encore plus oublié.

Opérateurs américains et vie privée, c'est compliqué

« Ces services pourraient être utilisés pour suivre ou désanonymiser n'importe qui avec un téléphone aux États-Unis sans contrôle » estime donc Philip Neustrom. Contacté par TechCrunch, Payfone répond qu'« il y a un cadre très rigoureux de sécurité et du consentement à la vie privée ».

L'utilisation du réseau pour les besoins de sociétés tierces est une source importante « d'innovation » pour les opérateurs. Et de soucis avec le régulateur. Début 2016, Verizon avait accepté de payer 1,35 million de dollars à la FCC, à cause de ses « cookies zombies », injectés en boucle dans le trafic des mobinautes.

Ils fournissaient un identifiant unique par utilisateur, utilisé par certains publicitaires, qui pouvaient continuer de cibler un même client sans que ce dernier ne le sache. Le nettoyage des données des navigateurs n'y changeait rien, le cookie étant renvoyé par le réseau.

La nouvelle tombait en plein débat sur de nouvelles règles de vie privée, voulues par la FCC de l'époque, sous direction démocrate. Elle avait beaucoup servi la cause du régulateur, alors que les lobbies des opérateurs et des publicitaires réclamaient des règles flexibles en matière de protection des données, avec l'idée qu'ils pourraient par exemple partager l'historique de navigation.

Adoptées en octobre 2016, elles ont été supprimées en avril 2017 par Donald Trump, épaulé par le Congrès à majorité républicaine, avec le soutien d'une FCC passée sous le même pavillon. Ils ne devraient donc pas avoir beaucoup à redire sur les outils d'AT&T pour l'authentification mobile, quand bien même la confidentialité laisserait à désirer.

Commentaires (8)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

ça me rappel la phrase d’Apple à l’époque “il y à une appli pour ça” ^^

votre avatar

Ça pue tout ça !

Heureux d’être né un 6 janvier dans un pays où la CNIL (qui est née par une loi du 6 janvier 1976) existe.



Pendant la lecture de l’article, j’ai pensé aux régressions poussées par Trump qui sont citées en fin d’article.

votre avatar

Lu.

votre avatar

<img data-src=" />

votre avatar

Vrai, que c’est des bon biscuit.<img data-src=" />

votre avatar

Tu peux remercier l’Europe aussi,&nbsp; parce que ce qui arrive le 18 mai avec le RGPD, ça va monter d’un gros cran les droits des utilisateurs, en particulier le consentement explicite pour toute collecte de données.

votre avatar

La centralisation des bases de données est un poison pour la vie privée et intime. Les big data, on en reviendra un jour, peut-être après quelque “incident regrettable” ?



&nbsp;Ça me rappelle un article du journal Le Monde paru le 21 mars 1974 :



votre avatar

« L’anonymat sur Internet : protection de la vie privée, ou licence pour troller ?

On en parle avec la Présidente de la Commission Nationale de l’Informatique et des Libertés, samedi à 23h30 sur ARTE, ou tout de suite sur sites.arte.tv Arte»

source :

ARTE Philosophie - facebook.com - 20/10/2017



à voir également dans le #Replay de Next inpact du même jour.

Outre-Atlantique, AT&T permet de localiser un abonné mobile à partir d’informations basiques

  • Un consentement des plus flous

  • Opérateurs américains et vie privée, c'est compliqué

Fermer