Recevez chaque jour toute l'actualité du numérique

x

Covid-19 : NSO Group utiliserait illégalement des données de localisation pour son outil de tracking

Vu ailleurs NSO Group enchaîne les couacs. En plein procès contre WhatsApp pour avoir exploité une faille de la messagerie, le spécialiste israélien des logiciels espions aurait utilisé des données de localisation de milliers de personnes, sans leur consentement, pour développer un outil de tracking des cas de Covid-19. Cette conclusion repose sur les travaux de plusieurs chercheurs.
Twitter Facebook Linkedin Flipboard Email
×

Covid-19 : NSO Group utiliserait illégalement des données de localisation pour son outil de tracking
Covid-19 : NSO Group utiliserait illégalement des données de localisation pour son outil de tracking © Unsplash/NESA by Makers

La société israélienne NSO Group, spécialisée dans les logiciels espions, aurait utilisé les données de localisation téléphoniques de milliers de personnes pour son application de tracking du Covid-19, d'après des chercheurs de l'Université de Londres cités par Techcrunch.

Suivre la propagation du virus
Connu pour son logiciel espion Pegasus vendu à de nombreux Etats, NSO Group a développé un outil destiné à aider les gouvernements à suivre la propagation du virus. Ce logiciel, baptisé "Fleming", permet de voir où se trouvait à tel instant un utilisateur, qui il a rencontré, à quel endroit et pendant combien de temps, "sans compromettre la vie privée des individus", promettait la société lors d'une démonstration.

Mais, en mai dernier, un chercheur spécialisé en cybersécurité a révélé au média américain qu'il avait trouvé une base de données non protégée stockant des milliers de coordonnées géographiques apparemment utilisées par NSO Group pour démontrer le fonctionnement de Fleming. Techcrunch a signalé le problème à la société qui a sécurisé ladite base. Elle affirmait néanmoins que les données de localisation stockées n'étaient "pas basées sur des données réelles et authentiques". Une affirmation contredite par des enquêtes menées par plusieurs médias israéliens.

Obtention des données auprès de courtiers
D'après les journalistes, pour "former son système", NSO Group utiliserait des données de localisation téléphoniques obtenues à partir de plateformes publicitaires. Tehilla Shwartz Altshuler, chercheur spécialisé dans la protection de la vie privée et qui a assisté à une démonstration du logiciel litigieux, a déclaré que la jeune pousse israélienne lui avait dit que les données avaient été obtenues auprès de coutiers en données. Ils vendent l'accès à de vastes quantités de données de localisation agrégées collectées à partir des applications installées sur des millions de téléphones.

Pour trancher cette affaire, Techcrunch a mandaté un groupe de chercheurs du Forensic Architecture de l'Université de Londres, spécialisé dans la violation des droits de l'Homme. Publiés ce mercredi, leurs travaux concluent à une utilisation "probable" des données réelles de géolocalisation pour développer Fleming. Ainsi, NSO Group aurait violé la vie privée de 32 000 personnes au Rwanda, en Israël, du Bahreïn, en Arabie Saoudite et aux Émirats arabes unis – des pays utilisateurs du logiciel.

L'ensemble des données n'est pas factice
Les chercheurs ont analysé un échantillon de données de localisation en cherchant des modèles qu'ils s'attendaient à trouver si le système fonctionnait avec des données réelles, tels qu'une concentration de personnes dans les grandes villes. Ils ont également trouvé des "irrégularités spatiales" qui sont forcément associées à des données réelles, comme des motifs en forme d'étoile. "L'ensemble des données n'est probablement pas 'factice' ni généré par un ordinateur mais reflète plutôt le mouvement de vrais individus, éventuellement acquis auprès d'opérations de télécommunications ou d'une source tierce", conclut les scientifiques.

Gary Miller, expert en sécurité des réseaux mobiles et fondateur de la société de cybersécurité Exigent Media, est arrivé à la même conclusion. "Si vous prenez un diagramme de dispersion des emplacements des téléphones portables à un moment T, il y aura une cohérence dans le nombre de points dans les banlieues par rapport aux emplacements urbains", explique-t-il. Il poursuit en précisant que même si les données sont anonymes, elles peuvent être utilisées pour trouver le domicile ou le lieu de travail d'une personne. "On peut apprendre de nombreux détails sur les individus simplement en regardant les modèles de mouvements géographiques", prévient-il. 

Un mélange de différentes sources
De son côté, John Scott-Railton, chercheur au sein du Citizen Lab de Toronto, précise que les données utilisées par Fleming proviennent vraisemblablement d'un "mélange de données GPS directes, de réseaux Wi-Fi proches et de capteurs intégrés au téléphone". Ainsi, "si vous regardez des données publicitaires, comme celles que vous achetez chez un courtier, elles ressemblent beaucoup à ça", poursuit-il. C'est logique, conclut-il, car l'utilisation de données simulées pour un système de recherche de contacts serait "contre-productive", car NSO Group voulait "former (Fleming, ndlr) sur des données qui sont aussi réelles et représentatives que possible".

La société israélienne a rejeté ces accusations. "Nous n'avons pas vu l'étude et nous nous interrogeons sur la manière dont ces conclusions ont été tirées. Néanmoins, nous nous en tenons à notre précédente réponse datant du 6 mai 2020. Le matériel de démonstration n'était pas basé sur des données réelles et authentiques relatives aux personnes infectées par le Covid-19", a déclaré un porte-parole. Techcrunch précise que le précédent commentaire de NSO Group ne faisait pas référence aux individus atteints par le virus. 

Une plainte de WhatsApp appuyée par Microsoft, Google et Cisco
Même si ces révélations sont inquiétantes, elles ne sont malheureusement pas étonnantes. NSO Group est impliquée dans de nombreux scandales. L'entreprise fait notamment face à un procès mené par WhatsApp, propriété de Facebook, qui l'accuse d'avoir exploité une faille dans sa messagerie pour infecter 1400 téléphones avec le logiciel espion Pegasus. Des journalistes et des militants des droits de l'Homme seraient concernés. En décembre dernier, une coalition d'entreprises, composée de Microsoft, Google, Cisco et VMware, s'est joint à cette action en justice. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.