L'an passé, Forbes conseillait de désactiver la géolocalisation pour éviter d'être suspecté pour le seul tort d'avoir été géolocalisé à proximité (spatiale et horodatée) d'une scène de crime ou de délit. NBC vient de révéler que, a contrario, un suspect a pu démontrer son innocence parce qu'il avait gardé son historique de géolocalisations.
En décembre dernier, le New York Times mettait en ligne une enquête aussi longue que passionnante et inquiétante sur la géolocalisation des smartphones. Une source leur avait transmis la localisation précise de 12 millions d'appareils sur une période allant de 2016 à 2017. Et bien que les données aient été anonymisées, il était dans certains cas facile de remonter à leurs propriétaires, en suivant leurs mouvements notamment.
Les journalistes ont ainsi pu suivre les déplacements de militaires, d’avocats, de personnalités politiques, y compris dans des endroits sécurisés comme la Maison Blanche ou le Pentagone. Aux États-Unis, de plus en plus de services de police contactent Google pour obtenir de telles listes d'utilisateurs de ses services ou terminaux Android s'étant géolocalisés aux abords de scène de crimes ou de délits.
D'après NBC, l'entreprise aurait déclaré dans un dossier judiciaire l'année dernière que les demandes des autorités en matière de géorepérage (geofence en anglais) avaient ainsi augmenté de plus de 1500 % de 2017 à 2018, et de 500 % de 2018 à 2019. Nos confrères reviennent plus précisément sur l'histoire de Zachary McCoy.
Celui-ci a reçu en janvier un mail de l'équipe de soutien aux enquêtes juridiques de Google l'informant que la police locale avait demandé des informations relatives à son compte, et qu'elle allait les lui envoyer sauf s'il tentait de bloquer leur requête devant un tribunal, dans les sept jours suivants.
Cherchant à comprendre ce qui lui arrivait, il découvrit que cette requête était liée à un cambriolage qui avait eu lieu pas loin de sa maison, puis découvert que, ce jour-là, il était effectivement passé trois fois à proximité en roulant avec son vélo, tout en géolocalisant sa course horodatée au moyen d'une application dédiée.
« C'était un scénario cauchemardesque », se souvient McCoy. « J'utilisais une application pour voir combien de kilomètres j'avais parcouru en vélo et cela me plaçait maintenant sur les lieux du crime. Et j'étais le suspect principal. »
Après avoir transmis à la police la liste des utilisateurs anonymisées, Google prévenait McCoy qu'elle lui réclamait désormais plus d'informations à son sujet particulier. Et c'est notamment et paradoxalement parce qu'il avait gardé l'historique de la liste de toutes les autres courses géolocalisées aux abords de sa maison que l'avocat de McCoy a pu démontrer son innocence auprès du policier qui l'avait initialement suspecté.
Incarcéré pour avoir été au mauvais moment au mauvais endroit
En décembre dernier, Forbes révélait que Google tentait de limiter ce genre de recours. Le Bureau de l'alcool, du tabac, des armes à feu et explosifs lui avait en effet demandé d'identifier tous les terminaux géolocalisés dans un rayon de trois hectares, sur quatre périodes de neuf heures cumulées. Google leur avait renvoyé les identifiants de 1 494 terminaux puisés dans SensorVault, sa base de données enregistrant l'historique des géolocalisations de ses utilisateurs, lui demandant dès lors d'affiner ses requêtes.
Dans le cadre d'une autre enquête sur le braquage d'une banque, l'entreprise avait à ce titre réussi à convaincre les autorités de limiter la requête à un rayon de 50 mètres, et non de 400 mètres comme elles le lui réclamaient initialement. Google avait alors réussi à ne leur transmettre les identifiants que de six terminaux seulement, mais sans pouvoir les empêcher de devoir leur divulguer l'identité de leurs propriétaires, leurs adresses email « et d'autres données associées à leurs comptes Google » (sans plus de précisions).
Seuls deux d'entre eux furent par la suite inculpés, les quatre autres n'ayant été suspectés que du seul fait d'avoir eux aussi été au même endroit, mais au mauvais moment. L'article de Forbes se concluait par une invitation aux lecteurs à désactiver l'enregistrement de sa géolocalisation « par défaut »... ce qui a pourtant depuis, précisément, et paradoxalement, permis à McCoy de démontrer son innocence.
Le New York Times avait raconté, l'an passé, comment un innocent avait été incarcéré une semaine durant parce que son téléphone avait été géolocalisé près de la scène d'un meurtre, et qu'il avait suivi le parcours de la voiture présumée du meurtrier, dont la description correspondait à la sienne. Il fut finalement libéré quand la police découvrit que c'était l'ex-petite amie de sa mère qui avait emprunté sa voiture.
Or, les méthodes de la police technique et scientifique (même et y compris basées sur les empreintes et marqueurs génétiques, longtemps présentées, à tort, comme la « reine des preuves ») ne sont jamais que des calculs de probabilités, avec leurs taux de faux positifs et de faux négatifs, au point qu'ils ont déjà entraîné plusieurs erreurs judiciaires.
Elles ne sauraient donc être considérées comme des preuves, mais comme des indices, qu'il convient donc de recouper.
Si problématique que même le FBI n'en veut pas
Dans une autre enquête, Politico revient de son côté sur l'application « Locate X », permettant de géorepérer tous les terminaux s'étant géolocalisés dans une zone donnée, mais également de consulter l'historique des autres endroits où ils s'étaient géolocalisés (soit volontairement, soit via des publicités ciblées) dans les mois précédents.
Les données, achetées à des agrégateurs de données qui les acquièrent eux-mêmes auprès de sociétés tierces de développement d'applications mobiles, sont anonymisées, permettant dès lors aux autorités de ne pas avoir besoin de mandats pour y accéder ni les exploiter.
Babel Street, société qui a développé l'application, qui l'avait gardé secrète jusqu'alors et qui a notamment recruté un ancien responsable de la National Geospatial Intelligence Agency (l'agence en charge du renseignement géographique –ou GEOINT), a refusé de répondre à Politico, notamment quant aux risques de désanonymisation.
Elle aurait déjà perçu plusieurs millions de dollars de la part de nombreuses forces de l'ordre américaines (son chiffre d'affaires serait passé de 64 000 de dollars en 2016 à 2,1 millions en 2017 et 5,3 millions en 2018).
Non contente de leur demander de ne pas en parler, elle leur a aussi fait signer des conditions d'utilisation leur interdisant d'utiliser ni de mentionner « Locate X » comme étant à l'origine des preuves qu'elles pourraient faire valoir devant des tribunaux ou dans le cadre de leurs procédures judiciaires.
D'après Politico, les douanes, services d'immigration, le Secret Service (en charge de la lutte contre la criminalité financière, mais également de protéger le président, sa famille et ses prédécesseurs), le département de la Justice, les gardes côtes, l'armée et la Drug Enforcement Administration figureraient au nombre de ses clients.
Un ancien employé de Babel Street a expliqué à Politico que la technologie était si problématique que plusieurs agences officielles, dont le FBI, ont refusé de l'acheter après que leurs avocats le leur avaient déconseillé. Babel Street aurait, de son côté, décidé de ne pas la commercialiser auprès de clients privés, de forces de police locale non plus que de gouvernements étrangers.
Pendant un temps, l'application recourrait à une pop-up pour rappeler à ses utilisateurs qu'elle ne pouvait servir que dans le cadre d'enquêtes portant sur des crimes graves et des questions de sécurité nationale, élément qu'elle a retiré après que plusieurs utilisateurs s'en étaient plaints.
Un cas qui fera jurisprudence
Lawfare revient pour sa part sur le premier recours judiciaire effectué, aux États-Unis, par un suspect arrêté grâce au géorepérage. Enquêtant sur le braquage d'une banque, les autorités avaient réclamé à Google la liste des terminaux géolocalisés dans un rayon de 150 mètres 30 minutes avant ou après le moment du braquage, soit les données anonymisés de 19 appareils, dont l'un à l'intérieur de la banque à l'heure du crime.
Elles ont ensuite demandé les géolocalisations 30 minutes avant et après la précédente période d'une heure, parvinrent à localiser la résidence du suspect s'étant trouvé à l'intérieur de la banque au moment du cambriolage, et donc son nom, qu'elles se firent confirmer en réclamant enfin les données d'identité du titulaire du compte Google.
Pour son avocat, cela dit, cette façon de procéder reviendrait à perquisitionner l'ensemble des logements situés à proximité d'un cambriolage, ou à fouiller les sacs de toute personne étant passé à proximité de l'endroit où aurait été commis un vol.
Le gouvernement, de son côté, répond que la vidéosurveillance avait montré que le braqueur disposait d'un smartphone, que tous les appareils Android et nombre d'autres smartphones partagent leurs géolocalisations avec Google, et qu'il était donc probable que la firme de Moutain View dispose de données susceptibles d'intéresser les enquêteurs.
Pour Lawfare, la jurisprudence qui résultera de ce recours aura d'énormes conséquences, non seulement parce que de telles requêtes de géorepérages ne peuvent qu'augmenter, mais également parce qu'elle permettra de préciser jusqu'où les traces que nous laissons peuvent être exploitées à des fins judiciaires.
