Un fournisseur du gouvernement américain a intégré un SDK dans des centaines d'apps

Mickaël Bazoge |

Donald Trump cherche des poux aux applications chinoises, suspectées d'espionnage de données pour le compte de Pékin. Mais même si les autorités chinoises ne sont pas des anges, le président américain devrait aussi balayer devant sa porte : les agences américaines aussi exploitent des données personnelles.

Anomaly Six vend un kit de développement qui permet à ses clients de collecter des données de localisation, comme c'est le cas de nombreux SDK à visée publicitaire. Plus de 500 applications mobiles utilisent cet outil. Rien de très nouveau sous le soleil, à l'exception notable que cette entreprise créée par deux vétérans de l'armée US est aussi un fournisseur du gouvernement américain… Les autorités US sont donc clientes d'Anomaly Six, selon le Wall Street Journal.

L'entreprise assure que les données de localisation des utilisateurs américains ne sont vendues qu'à des clients du secteur privé. On peut donc légitimement en déduire que le gouvernement US peut exploiter les données des utilisateurs d'ailleurs dans le monde… Le SDK est embarqué dans des centaines de millions de smartphones sur le globe. Les informations recueillies sont anonymisées et ne sont pas liées aux noms des utilisateurs ; néanmoins, en croisant plusieurs bases de données et avec un peu d'ingénierie sociale (les habitudes de déplacement, par exemple), il est possible d'identifier un individu.

Il est commun que des agences de pub et de marketing achètent ce genre de bases de données de localisation. Il peut leur arriver de revendre ces informations à des organisations gouvernementales ou à leurs fournisseurs. Mais la collecte directe de ces données par un organisme public — en l'occurrence des agences de sécurité — est beaucoup moins fréquente. Le tout dans l'opacité la plus totale, puisque les utilisateurs ne sont pas au courant de la présence du SDK d'Anomaly Six dans leurs apps, ni de l'exploitation de leurs données.

L'entreprise assure que toutes les données générées par son SDK peuvent être achetées par n'importe qui — secteur privé ou public — et qu'elle respecte toutes les lois en vigueur. Pour faire bonne mesure, elle indique supporter toutes les initiatives visant à renforcer la transparence sur la collecte et l'usage des données, sans aller jusqu'à indiquer quelles apps utilisent son SDK.

Si les gouvernements peuvent être dans leur bon droit d'acquérir ce genre de données directement depuis un mouchard présent dans une application, l'utilisateur pourrait aussi demander à en être prévenu. Aux États-Unis, le marché de la vente et de l'achat de données est présenté par les analystes comme un far-west où tout est possible, y compris le pire. Le RGPD est dans ce contexte une véritable avancée en matière de protection des données, qui ne s'applique toutefois qu'à l'Union européenne bien évidemment.


avatar bidibout | 

Je serais curieux de connaître la liste des ces apps.

avatar redchou | 

C’est parti... Étrange timing que cette révélation... Va-t-on assister à une escalade de boule puante?

avatar r e m y | 

"L'entreprise assure que les données de localisation des utilisateurs américains ne sont vendues qu'à des clients du secteur privé."
Et plus loin...
"L'entreprise assure que toutes les données générées par son SDK peuvent être achetées par n'importe qui — secteur privé ou public"

Bref ils vendent à qui veut bien acheter, entreprise privée ou publique!
Mais que les utilisateurs des données soient publics ou privés au fond qu'est-ce que ça change? Vaut-il mieux être localisé par une structure gouvernementale ou par une quelconque agence de barbouzes privés?

avatar Paquito06 | 

“Aux États-Unis, le marché de la vente et de l'achat de données est présenté par les analystes comme un far-west où tout est possible, y compris le pire.”

Suivant les Etats, et pour la majorite, certes. En Californie, on a une equivalence du RGPD.

“On peut donc légitimement en déduire que le gouvernement US peut exploiter les données des utilisateurs en dehors des États-Unis…”

Et comment Trump est il arrivé au pouvoir? Il a quelques histoires avec le FBI et la Mafia 😁

avatar r e m y | 

A noter que je ne vois pas le rapport entre ces 2 phrases:
"L'entreprise assure que les données de localisation des utilisateurs américains ne sont vendues qu'à des clients du secteur privé. On peut donc légitimement en déduire que le gouvernement US peut exploiter les données des utilisateurs en dehors des États-Unis…"

Donc le "on peut donc légitimement en déduire " m'échappe 🤔

avatar Mickaël Bazoge | 
Le gouvernement US ne peut pas acheter les données d'utilisateurs US. Par contre il peut acheter des données d'utilisateurs non US.
avatar r e m y | 

@MickaëlBazoge

Ah ok, je n'avais pas noté la précision sur la nationalité des utilisateurs... mais si les données sont anonymisees, comment on sépare celles qui concernent telle ou telle nationalité ???

avatar DG33 | 

@MickaëlBazoge

Merci pour La vie des autres. 🎞

avatar Lu Canneberges | 

@r e m y

Si l’entreprise prend la peine de préciser que les données des usagers spécifiquement états-uniens ne sont pas accessibles au gouvernement, c’est que celles des non-états-uniens n’ont pas cette garantie.

avatar r e m y | 

@Lu Canneberges

Oui je n'avais pas vu cette précision quant à la nationalité... mais ça pose d'autres questions!
Comment connaît-on la nationalité d'un utilisateur? (Je n'ai jamais fourni la copie de mon passeport à qui que ce soit pour utiliser mon iPhone!)
Comment distingue-t-on les données en fonction de la nationalité supposée de l'utilisateur si ces données sont effectivement anonymisees?

D'autre part, que l'administration américaine ne puisse pas acheter en direct ces données, ne garantit pas qu'elle ne puisse pas les acheter aux sociétés privées les ayant achetées (et éventuellement enrichies en les croisant avec d'autres)

avatar Paquito06 | 

@r e m y

"Comment connaît-on la nationalité d'un utilisateur? (Je n'ai jamais fourni la copie de mon passeport à qui que ce soit pour utiliser mon iPhone!)
Comment distingue-t-on les données en fonction de la nationalité supposée de l'utilisateur si ces données sont effectivement anonymisees?"

De la meme facon dont fonctionne le GPDR en Europe: Under the GDPR, “personal data” means information relating to an identified or identifiable natural person. A person can be identified from information such as name, ID number, location data, online identifier or other factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person. This even includes IP addresses, cookie strings, social media posts, online contacts and mobile device IDs.

avatar r e m y | 

@Paquito06

Rien de tout cela ne donne la nationalité !

avatar Paquito06 | 

@r e m y

"Rien de tout cela ne donne la nationalité !"

Non, ca ne donne pas la nationalité, mais ils s’en battent l’oeuf, j’ai pour ma part les deux nationalites, je tombe sous quel regime? Ils veulent seulement t’identifier plus ou moins comme avec FATCA en quelque sorte.

avatar r e m y | 

@Paquito06

Du coup leur affirmation que les données des utilisateurs américains ne sont vendues qu'à des sociétés privées et pas à l'administration Américaine , c'est du bullshit.

avatar Paquito06 | 

@r e m y

"Du coup leur affirmation que les données des utilisateurs américains ne sont vendues qu'à des sociétés privées et pas à l'administration Américaine , c'est du bullshit."

C’est surtout qu’ils peuvent passer par des societes tierces (indirectement). Je suis certain qu’ils n’ont pas de mauvaises intentions et veulent defendre avant tout les US (le patriotisme est fort), mais ils peuvent nous prendre pour du jambon beurre au passage, ca ne les derangerait pas. La fin justifie les moyens. On en a un apercu avec le FBI et les iPhone verrouillés.

avatar gwen | 

@r e m y

Complètement puisqu’un utilisateur américain habitant parus sera considéré comme français.

avatar marenostrum | 

bien sûr que oui, par ex paquito compte pour eux en tant que français, parce que il maitrise la langue et passe beaucoup de temps dans les sites francophones. ils peuvent analyser les posts aussi, pour savoir tes opinions politiques (pro ou anti Trump) et autres.

avatar r e m y | 

@marenostrum

Le problème n'est pas de "compter" pour telle ou telle nationalité mais de SAVOIR de façon certaine la nationalité de l'utilisateur pour pouvoir AFFIRMER que les données des utilisateurs de telle nationalité (ici américaine) sont traitées d'une façon spécifique.
C'est le même problème quand la Chine exige que les données iCloud des utilisateurs chinois soient stockées en Chine, ou quand l'Europe réclame que les données des utilisateurs européens soient stockées en Europe.
Personne ne peut être sûr que c'est respecté car la nationalité n'est pas une information connue (a fortiori quand on affirme que les données sont anonymisees...)

avatar pat3 | 

@r e m y

"Le problème n'est pas de "compter" pour telle ou telle nationalité mais de SAVOIR de façon certaine la nationalité de l'utilisateur pour pouvoir AFFIRMER que les données des utilisateurs de telle nationalité (ici américaine) sont traitées d'une façon spécifique."

A partir de la géolocalisation de tes données, utilisée par des milliers d’apps, des apps de météo à celles de streaming. Ce n’est pas la nationalité de tes papiers, c’est ta nationalité territoriale et linguistique, qui la recoupe dans la plupart des cas.
Et si tu parles deux langues ou plus, et qu’en plus tu voyages beaucoup entre deux pays ou plus… ben tu commences à être suspect pour lés agences…

avatar iPop | 

@r e m y

D’une manière ou d’une autre vous êtes un numéro.

avatar r e m y | 

@iPop

Le tout est de savoir si je suis un numéro américain ou pas... suis-je number seven? Ou numéro sept?

avatar iPop | 

@r e m y

Sincèrement, si vous ne voulez pas tomber dans la paranoïa...

avatar marenostrum | 

oui, en plus ils n'ont pas besoin de ton nom et prénom, (qui ne dit rien et qui est plus commun) mais de ton comportement (qui lui parle plus, il montre si t'es leurs "ami" ou "ennemi" par ex).

avatar marc_os | 

@ iPop
D'une manière ou d'une autre votre commentaire n'est rien d'autre qu'une attaque personnelle, qui de facto vous disqualifie.

avatar iPop | 

@marc_os

Je répète :
"Sincèrement, si vous ne voulez pas tomber dans la paranoïa... vaudrait mieux oublier"

Ou est "l’attaque " ?

avatar marc_os | 

@iPop
Mea culpa, vu l'indentation pour le moins limitée de ce "forum", j'aurais dû préciser :
Je commentais votre réponse du 08/08/2020 à 08:26 à r e m y. Cf. :
« D’une manière ou d’une autre vous êtes un numéro. »

avatar iPop | 

@marc_os

Oui nous sommes que des numéro dans le big Data,... et ?

avatar marc_os | 

@iPop

« vous êtes un numéro » c'est trop imprécis, et ça ne veut pas dire un « numéro dans le big Data ».
Pour preuve, je n'ai pas compris le sens caché de votre phrase.

avatar huexley | 

Un pauvre SDK pour réaliser que les US ne sont pas des anges ? Les gens ont oubliés Échelon ou même l'affaire Cisco ?

avatar Cactaceae | 

@huexley

Nan mais à l’heure où Trump accuse les chinois de faire la même chose en gros, c’est croustillant 😂

avatar huexley | 

Nan mais j'ai l'impression que les gens pensent qu'ils ont arrêté depuis vu que c'est "publique". Comme s'ils n'avaient pas des outils sans cesse plus performant.

avatar YetOneOtherGit | 

Quand Google ou FB le font ce n’est pas choquant, quand un état le fait ça l’est 🥳

avatar MGA | 

@YetOneOtherGit

Pour le moment aucune entreprise privée n’a utilisé de fichier pour exterminer une partie de la population

avatar YetOneOtherGit | 

@MGA

"Pour le moment aucune entreprise privée n’a utilisé de fichier pour exterminer une partie de la population"

Hélas non : en contribuant fortement à l’élection de Trump beaucoup d’entreprises sont complices de ses crimes 🤨

avatar TiTwo102 | 

Ça fonctionne comment ces SDK ? C’est un genre d’outil qu’un développeur d’app peut acheter pour ne pas avoir à le créer, afin de récupérer les données de localisation des utilisateurs de son app, et les créateurs du SDK ont aussi accès au données ?

Comment fonctionne le financement entre les différentes parties et quels sont les intérêts des uns et des autres ?

avatar marenostrum | 

du code (qui envoie des infos chez eux) que tu intègres dans ton app (gratuit, rien est gratuit) pour recevoir une rémunération. c'est comme le code de Google qui se trouve sur ce site par ex. c'est eux qui s'occupent de filtrer les données ramassées par ce biais. le script envoie tout sur leurs serveurs.

par ex le rapport de confidentialité de Safari 14 (Big Sur) m'indique qu'il empêche 6 traqueurs qui essayent d'établir mon profil, sur igen.fr. 1Blocker il m'indique 9. après la rémunération se règle entre les deux parties.

avatar TiTwo102 | 

D’accord ! Merci.

En fait c’est l’équivalent d’un panneau publicitaire que mettrait en location un commerçant dans sa boutique. Sauf que le panneau en question récupère des infos sur toi.

Effectivement, sur le PC j’ai AdGuard et Malwarebites qui me donnent ces infos aussi, mais je ne connaissais pas le fonctionnement exact.

Ces infos sur l’utilisateur, le fournisseur du SDK peut en faire ce qu’il vaut ? Car au final, quand on se balade sur un iOS ou internet, y’a pas grand chose qui nous alerte de ça ! Je pense que pas mal de monde (moi y compris) utilisent des bloqueurs sans avoir l’idée de l’étendue des « dégâts » initiaux.

avatar Bigdidou | 

« Mais même si les autorités chinoises ne sont pas des anges, le président américain devrait aussi balayer devant sa porte : les agences américaines aussi exploitent des données personnelles. »

Et des données industrielles, financières, diplomatiques, scientifiques, militaire...
Tout ce qu’ils captent et analysent.

C’est que je répondait au naïfs qui se scandalisent d’un espionage chinois, comme si ça n’était une pratique universelle (y compris l’espionnage des « amis » et alliés) et ancienne.

avatar julien74 | 

C’est la où je supporte de moins en moins cette mentalité US d’hégémonie:
- ils sont vent debout contre Huawei pour suspicion de porte dérobées (a prouver mais veulent pas dire comment sinon ça divulguerai leur méthodes) dans leur équipement réseau, mais il est de notoriété publique que Cisco a integré ce genre de trou depuis des années sur demande du gouvernement US.
- Des entreprises étrangères (comme la BNP) se sont fait épinglées des millards de dollars d’amende du fait de l’extraterritorialité de lois US et parce que le Dollar est un passage obligé. Airbus pour aide alors que snowing n’a pas été moins aidé.
Etc...

Ils sont pour des règles sauf quand ça les arrange pas. Et avec un Trump a leur tête c’est d’autant plus insupportable.

avatar Paquito06 | 

@julien74

"C’est la où je supporte de moins en moins cette mentalité US d’hégémonie:
- ils sont vent debout contre Huawei pour suspicion de porte dérobées (a prouver mais veulent pas dire comment sinon ça divulguerai leur méthodes) dans leur équipement réseau, mais il est de notoriété publique que Cisco a integré ce genre de trou depuis des années sur demande du gouvernement US.
- Des entreprises étrangères (comme la BNP) se sont fait épinglées des millards de dollars d’amende du fait de l’extraterritorialité de lois US et parce que le Dollar est un passage obligé. Airbus pour aide alors que snowing n’a pas été moins aidé.
Etc...

Ils sont pour des règles sauf quand ça les arrange pas. Et avec un Trump a leur tête c’est d’autant plus insupportable."

Cette mentalité d’hegemonie, c’est l’Empire Romain de notre ère. Ca ne devrait durer qu’un temps.
Je suis d’accord avec tes points, sauf pour la BNP, où on peut considerer que c’est du racket pur et dur, mais le probleme vient des US qui imposent des lois, traités, barrieres, sanctions de maniere unilaterale a quiconque ne va pas dans son sens sur la planete et y a personne pour broncher et leur faire face. L’Europe est encore divisee a ce niveau et ne montre pas assez les dents de maniere commune, ele ne protege pas ses interets et se laisser marcher dessus. Du coup les US en profitent et font ce qu’ils veulent. Pour la BNP, ils ont amelioré leur processus depuis cette amende, afin d’eviter de faire du business avec les pays/personnes bannis meme si ca peut etre tres complexe. La BNP n’est pas si etrangere que ca, c’est le plus gros groupe bancaire en Europe, dans le top 3 monde, ils sont bien etablis a NYC, Chicago, Montreal, ou encore a l’Ouest avec des VC en Californie ou meme la Bank of the West (10,000 employes).

avatar julien74 | 

@Paquito06

Les US dictent leur lois car personne ne va contre eux et pourquoi? Parce qu’ils ont la puissance et surtout dissuasion militaire. Ils ont le discours « si vous êtes pas gentils, panpan culcul et on viendra pas vous aider ....
Donc on se couche devant eux et ils en profitent avec leur dollar

avatar Paquito06 | 

@julien74

"Les US dictent leur lois car personne ne va contre eux et pourquoi? Parce qu’ils ont la puissance et surtout dissuasion militaire. Ils ont le discours « si vous êtes pas gentils, panpan culcul et on viendra pas vous aider ....
Donc on se couche devant eux et ils en profitent avec leur dollar"

Ce discours... Ca peut marcher avec de petits pays, pas avec des puissances europeennes. Encore faut il que certaines aient leur independeance et ne soient pas truffees de bases de l’OTAN...

avatar julien74 | 

@Paquito06

Ce discours vient particulièrement bien de marcher avec les anglais et la France vis à vis de Huawei....
On dépend trop d’eux

avatar Paquito06 | 

@julien74

"Ce discours vient particulièrement bien de marcher avec les anglais et la France vis à vis de Huawei....
On dépend trop d’eux"

Oui c’est un probleme, personne pour dire non alors que la France, independante, pourrait, mais avec l’Europe et l’Allemagne dans la barque c’est different. Ca fait 20 ans que j’observe ca. Le dernier qui disait encore non et qui avaient un peu de couilles c’etait Chirac. Depuis, les Sarkozy, Hollande ou Macron, à l’international ça vaut peanuts.

avatar julien74 | 

@Paquito06

L’Allemagne s’est mis à dos Trump (pour ce que ça vaut...) et il a annoncé enlever 50% des troupes militaires. Après entre ce qu’il et qu’il fait...
On a qu’à continuer et voilà.

avatar Paquito06 | 

@julien74

"L’Allemagne s’est mis à dos Trump (pour ce que ça vaut...) et il a annoncé enlever 50% des troupes militaires. Après entre ce qu’il et qu’il fait...
On a qu’à continuer et voilà."

Il se met a dos tout le monde, y a pas frand monde qui lui mange dans la main. Meme pas son ami nord coreen 🤣
Les Americains, militairement, n’ont rien a foutre en Allemagne, c’est deja dingue. Comme l’Italie qui est truffee de bases americaines... 🤦🏼‍♂️

avatar julien74 | 

@Paquito06

C’est clair que j’ai moi même été surpris de leur présence en Allemagne. Les Allemands s’en remettrons du départ des boys. Et les USA auront perdus ce moyens de pression. Au final il fallait bien qu’un jour ils partent.

avatar Paquito06 | 

@julien74

"C’est clair que j’ai moi même été surpris de leur présence en Allemagne. Les Allemands s’en remettrons du départ des boys. Et les USA auront perdus ce moyens de pression. Au final il fallait bien qu’un jour ils partent."

C’est tant mieux. Il sera d’autant plus compliqué de justifier l’envoi de nouvelles troupes, donc elles ne peuvent que partir. On economisera des tonnes de ressources (financieres, humanitaires, energetiques, etc.).

avatar tbr | 

Faites ce que je dis, pas ce que je fais.

avatar Oracle | 

Le RGPD ne s’applique pas qu’à l’Europe mais à toute entreprise traitant des donnés d’européens, de mémoire ?

Pages

CONNEXION UTILISATEUR