Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Outre-Atlantique, AT&T permet de localiser un abonné mobile à partir d'informations basiques

Le consentequoi ?
Internet 3 min
Outre-Atlantique, AT&T permet de localiser un abonné mobile à partir d'informations basiques
Crédits : Manuel-F-O/iStock

À partir d'une API fournie par AT&T, des sociétés proposent d'authentifier une transaction mobile, voire de déterminer où se trouve un smartphone. Problème : ces outils se contentent de peu de données pour ouvrir l'accès à des informations sensibles, avec un consentement peu garanti.

Un accès simple aux données des mobinautes, depuis une simple interface web. C'est ce qu'a découvert Philip Neustrom, cofondateur de Shotwell, comme il l'explique dans un billet sur Medium. Deux sociétés (Danal Inc et Payfone) proposent deux interfaces de démonstration d'accès aux données de mobinautes, avec pour point d'entrée l'adresse IP du téléphone.

Le numéro de téléphone, des données de facturation ainsi que la localisation (si l'antenne connectée le permet) sont consignés. Danal Inc et Payfone sont des spécialistes de l'authentification mobile, capables de vérifier l'identité d'un internaute à partir de son appareil, en exploitant au moins une API du premier opérateur américain, AT&T. Un des principaux usages est la lutte contre la fraude, qui semble moyennement se soucier du consentement de l'internaute.

Un consentement des plus flous

Annoncée en décembre 2013 par AT&T, la Mobile Identity API donne la possibilité de croiser les informations fournies par l'internaute avec celles possédées par l'opérateur. La révélation de l'outil était accompagnée d'un accord avec Payfone, qui vante la capacité de savoir si un employé est bien là où il est censé être.

« En utilisant cette API, le service de Payfone permettra aux entreprises de confirmer qu'un terminal utilisé dans une transaction est authentifié sur le réseau mobile d'AT&T. L'accord souligne le soutien d'AT&T à l'innovation et à la création de valeur pour les développeurs et fournisseurs de solutions pour entreprises » écrivait fièrement l'opérateur à l'époque.

Les deux outils de démonstrations semblent avoir été mis hors ligne suite à la publication du billet sur Medium, tout comme la documentation de l'API de Payfone. L'article relevait un point important : le consentement du client de l'opérateur à une telle exploitation de ses données est des plus flous.

Si les deux pages d'essai demandent d'être connecté avec la bonne adresse IP, ce n'est pas le cas des API des services en elles-mêmes, qui semblent se contenter d'une simple case cochée par celui qui requiert les informations. À noter que ces boites à outils permettent aussi des requêtes de masse, sur lesquelles l'accord explicite du client peut être encore plus oublié.

Opérateurs américains et vie privée, c'est compliqué

« Ces services pourraient être utilisés pour suivre ou désanonymiser n'importe qui avec un téléphone aux États-Unis sans contrôle » estime donc Philip Neustrom. Contacté par TechCrunch, Payfone répond qu'« il y a un cadre très rigoureux de sécurité et du consentement à la vie privée ».

L'utilisation du réseau pour les besoins de sociétés tierces est une source importante « d'innovation » pour les opérateurs. Et de soucis avec le régulateur. Début 2016, Verizon avait accepté de payer 1,35 million de dollars à la FCC, à cause de ses « cookies zombies », injectés en boucle dans le trafic des mobinautes.

Ils fournissaient un identifiant unique par utilisateur, utilisé par certains publicitaires, qui pouvaient continuer de cibler un même client sans que ce dernier ne le sache. Le nettoyage des données des navigateurs n'y changeait rien, le cookie étant renvoyé par le réseau.

La nouvelle tombait en plein débat sur de nouvelles règles de vie privée, voulues par la FCC de l'époque, sous direction démocrate. Elle avait beaucoup servi la cause du régulateur, alors que les lobbies des opérateurs et des publicitaires réclamaient des règles flexibles en matière de protection des données, avec l'idée qu'ils pourraient par exemple partager l'historique de navigation.

Adoptées en octobre 2016, elles ont été supprimées en avril 2017 par Donald Trump, épaulé par le Congrès à majorité républicaine, avec le soutien d'une FCC passée sous le même pavillon. Ils ne devraient donc pas avoir beaucoup à redire sur les outils d'AT&T pour l'authentification mobile, quand bien même la confidentialité laisserait à désirer.

9 commentaires
Avatar de secouss Abonné
Avatar de secousssecouss- 16/10/17 à 16:03:46

ça me rappel la phrase d'Apple à l'époque "il y à une appli pour ça" ^^

Avatar de fred42 INpactien
Avatar de fred42fred42- 16/10/17 à 16:24:55

Ça pue tout ça !
Heureux d'être né un 6 janvier dans un pays où la CNIL (qui est née par une loi du 6 janvier 1976) existe.

Pendant la lecture de l'article, j'ai pensé aux régressions poussées par Trump qui sont citées en fin d'article.

Avatar de EMegamanu Abonné
Avatar de EMegamanuEMegamanu- 16/10/17 à 16:37:07

Lu.

Avatar de Gnppn Abonné
Avatar de GnppnGnppn- 16/10/17 à 18:36:49

:smack:

Avatar de Ami-Kuns INpactien
Avatar de Ami-KunsAmi-Kuns- 16/10/17 à 19:19:48

Vrai, que c'est des bon biscuit.:transpi:

Avatar de Joeman Abonné
Avatar de JoemanJoeman- 16/10/17 à 19:22:38

Tu peux remercier l'Europe aussi,  parce que ce qui arrive le 18 mai avec le RGPD, ça va monter d'un gros cran les droits des utilisateurs, en particulier le consentement explicite pour toute collecte de données.

Avatar de P-A Équipe
Avatar de P-AP-A- 19/10/17 à 06:59:55
Édité par P-A le 19/10/2017 à 07:00
Avatar de anonyme_d5bf0b9f87fd15affa58563db3b0ac5d INpactien

La centralisation des bases de données est un poison pour la vie privée et intime. Les big data, on en reviendra un jour, peut-être après quelque "incident regrettable" ?

 Ça me rappelle un article du journal Le Monde paru le 21 mars 1974 :

Édité par joma74fr le 21/10/2017 à 05:55
Avatar de anonyme_d5bf0b9f87fd15affa58563db3b0ac5d INpactien

« L’anonymat sur Internet : protection de la vie privée, ou licence pour troller ?
On en parle avec la Présidente de la Commission Nationale de l’Informatique et des Libertés, samedi à 23h30 sur ARTE, ou tout de suite sur https://sites.arte.tv/philosophie/fr »
source :
ARTE Philosophie - facebook.com - 20/10/2017

à voir également dans le #Replay de Next inpact du même jour.

Édité par joma74fr le 21/10/2017 à 21:47
Il n'est plus possible de commenter cette actualité.