Recevez chaque jour toute l'actualité du numérique

x

L'armée américaine achète des données de localisation issues d'applications de rencontre, de prière, de météo…

Vu ailleurs L'US Army achète des données de localisation provenant d'applications de la vie quotidienne pour diriger ses opérations, en particulier pour les forces spéciales à l'étranger. Sont concernées des applications de rencontre et de prière dédiées aux musulmans, des trackers du nombre de pas, des systèmes alertes météorologiques… Les politiques de confidentialité de ces applications sont très obscures et ne mentionnent pas l'éventuelle vente des données de localisation à des tiers.
Twitter Facebook Linkedin Flipboard Email
×

L'armée américaine achète des données de localisation issues d'applications de rencontre, de prière, de météo…
L'armée américaine achète des données de localisation issues d'applications de rencontre, de prière, de météo… © US Army/ Facebook

L'armée américaine achète les données de localisation, récoltées à partir d'applications du quotidien, révèle Motherboard dans un article publié le 16 novembre. Le média ne cite aucune opération spécifique au cours dans laquelle ce type de données est utilisé.

Deux flux de de données
Grâce à des documents publics, des entretiens avec des développeurs et des analyses techniques, le média américain a découvert deux flux de données parallèles que l'armée utilise ou a utilisé pour obtenir ces données de localisation.

Le premier flux s'appuie sur une société située en Virginie, connue sous le nom de Babel Street, qui commercialise un produit appelé "Locate X". Le United States Special Operations Command (USSOCOM), une branche de l'armée chargée de la lutte anti-terroriste, de la contre-insurrection et de la special reconnaissance, a acheté un accès à Locate X pour assister les opérations des forces spéciales à l'étranger.

Remplir des missions à l'étranger
Dans une déclaration, le commandant de la marine Tim Hawkins, porte-parole du commandement des opérations spéciales des États-Unis, a confirmé cet achat. Il a ajouté : "notre accès au logiciel est utilisé pour répondre aux besoins des missions des forces d'opérations spéciales à l'étranger. Nous adhérons strictement aux procédures et politiques établies pour protéger la vie privée, les libertés civiles, les droits constitutionnels et légaux des citoyens américains".

Sollicité par Motherboard, un ancien employé de Babel Street a décrit comment les utilisateurs de Locate X peuvent dessiner une forme sur une carte, voir tous les appareils sur lesquels l'entreprise possède des données à cet endroit, puis suivre un appareil spécifique pour voir où il a été. Les données de Locate X sont "anonymisées", promet Babel Street. Mais l'ex employé a affirmé qu'elles pouvaient très facilement être "désanonymisées". Les collaborateurs de Babel Street "joueraient avec, pour être honnête", a-t-il ajouté.

Les développeurs sont rémunérés par rapport au nombre d'utilisateurs
Le second flux passe par la société X-Mode qui obtient les données de localisation directement depuis les applications puis les vend à des sous-traitants, comme l'armée. Dans les faits, elle encourage les développeurs à incorporer son SDK dans leurs propres applications. Le SDK collecte ensuite les données de localisation des utilisateurs et les envoie à X-Mode.

En retour, l'entreprise paie aux développeurs une redevance basée sur le nombre d'utilisateurs de chaque application. Par exemple, une application avec 50 000 utilisateurs actifs par jour aux États-Unis rapportera au développeur 1 500 dollars par mois, selon le site web de X-Mode. Ainsi, le SDK de X-Mode est intégré dans environ 400 applications.

Les applications qui envoient des données vers X-Mode incluent Muslim Pro, une application qui rappelle à ses utilisateurs les heures de la prière et la direction de la Mecque par rapport à leur localisation. L'application a été téléchargée plus de 50 millions de fois sur Android, d'après Google Play Store, et plus de 98 millions au total sur d'autres plateformes, dont iOS, selon le site web de Muslim Pro. X-Mode aspire également les données de Muslim Mingle, une application de rencontre qui a été téléchargée plus de 100 000 fois.

Un tracker de pas, alertes météorologiques…
Motherboard cite également l'application de compteur de pas "Accupedo" téléchargée plus de 5 millions de fois, l'application "CPlus for Craigslist" qui permet aux utilisateurs de faire des recherches plus facilement sur le site de petites annonces Craigslist, et qui compte plus d'un million de téléchargements. Est également concernée "Global Storms", une application pour suivre les ouragans, les typhons et les tempêtes tropicales. Elle a été téléchargée plus d'un million de fois.

La société X-Mode se défend de vendre des données à n'importe qui. Dans un email, elle précise qu'elle n'accorde des licences qu'à "un petit nombre de sociétés technologiques qui peuvent travailler avec les services militaires gouvernementales". Et ajoute que son travail est "principalement axé sur trois cas d'usage : la lutte contre le terrorisme, la cybersécurité et la prévision des clusters du Covid-19".

De leurs côtés, la plupart des développeurs travaillant avec X-Mode ont expliqué qu'ils ne savaient pas que les données de localisation de leurs utilisateurs étaient envoyées à des sous-traitants dans le secteur de la défense. "Je ne peux pas savoir que X-Mode travaille avec des entreprises dans le domaine militaire s'ils ne le mentionnent pas clairement quelque part", a rétorqué Nicolas Dedouche, CEO de la société de développement d'applications Mobzapp. Mobzapp a créé une application de partage d'écran pour Android qui envoie des données de localisation à X-Mode et a été téléchargée plus d'un million de fois.

Des politiques de confidentialité obscures
Motherboard affirme que les politiques de confidentialité de ces applications ne mentionnent pas combien de secteurs, d'entreprises ou d'organismes gouvernementaux différents achètent ces données de localisation.

Ces pratiques soulèvent de nombreuses interrogations. En premier lieu, les forces de l'ordre sont en principe tenues d'obtenir un mandat judiciaire pour accéder à des données mais la législation américaine a adopté de nombreuses exceptions à cette obligation procédurale dans des cas urgents, tels que la commission d'un acte terroriste. Mais reste la question du consentement des utilisateurs.

A ce sujet, sur son site web, X-Mode mentionne une autorisation d'accès aux données de localisation au niveau du système d'exploitation et une politique de confidentialité. Lorsqu'un utilisateur ouvre l'application pour la première fois, il lui est indiqué que le logiciel peut collecter des données de localisation anonymes "pour alimenter des publicités personnalisées, des analyses basées sur la localisation, l'attribution et d'autres études civiques, de marché et scientifiques sur le trafic et les foules".

La politique de confidentialité de certaines applications ainsi que la propre politique de X-Mode indiquent également que la société peut utiliser les données de localisation "pour la prévention des maladies et la recherche, la sécurité, la lutte contre la criminalité et l'application de la loi".

Les transferts de données sont dissimulés
Mais reste que certaines applications qui récoltent des données de localisation pour le compte de X-Mode dissimilent volontairement le transfert de données. Muslim Pro ne mentionne pas X-Mode dans sa politique de confidentialité et ne précise pas lors de l'installation ou de l'ouverture de l'application qu'un transfert des données peut être opéré. Même constat pour l'application de rencontre Muslim Mingle.


Pourtant, X-Mode promet que ses applications partenaires sont contractuellement obligées de respecter la législation sur la protection des données et d'obtenir le consentement des utilisateurs. "Nous exigeons que toutes les applications sur notre plateforme respectent toutes les lois applicables en matière de protection de la vie privée et des données", a écrit l'entreprise dans un email. 

Contacté par Motherboard, Chris Hoofnagle, directeur de la faculté du Berkeley Center for Law & Technology, n'est pas vraiment convaincu par les déclarations de X-Mode. "La question à se poser est de savoir si un consommateur raisonnable de ces services prévoirait ces utilisations et les accepterait si on le lui demandait explicitement. On peut dire sans risque, dans ce contexte, que le consommateur raisonnable, qui n'est pas un technicien, n'aurait pas à l'esprit des utilisations militaires de ses données", affirme-t-il.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media