L'an passé, Forbes conseillait de désactiver la géolocalisation pour éviter d'être suspecté pour le seul tort d'avoir été géolocalisé à proximité (spatiale et horodatée) d'une scène de crime ou de délit. NBC vient de révéler que, a contrario, un suspect a pu démontrer son innocence parce qu'il avait gardé son historique de géolocalisations.
En décembre dernier, le New York Times mettait en ligne une enquête aussi longue que passionnante et inquiétante sur la géolocalisation des smartphones. Une source leur avait transmis la localisation précise de 12 millions d'appareils sur une période allant de 2016 à 2017. Et bien que les données aient été anonymisées, il était dans certains cas facile de remonter à leurs propriétaires, en suivant leurs mouvements notamment.
Les journalistes ont ainsi pu suivre les déplacements de militaires, d’avocats, de personnalités politiques, y compris dans des endroits sécurisés comme la Maison Blanche ou le Pentagone. Aux États-Unis, de plus en plus de services de police contactent Google pour obtenir de telles listes d'utilisateurs de ses services ou terminaux Android s'étant géolocalisés aux abords de scène de crimes ou de délits.
D'après NBC, l'entreprise aurait déclaré dans un dossier judiciaire l'année dernière que les demandes des autorités en matière de géorepérage (geofence en anglais) avaient ainsi augmenté de plus de 1500 % de 2017 à 2018, et de 500 % de 2018 à 2019. Nos confrères reviennent plus précisément sur l'histoire de Zachary McCoy.
Celui-ci a reçu en janvier un mail de l'équipe de soutien aux enquêtes juridiques de Google l'informant que la police locale avait demandé des informations relatives à son compte, et qu'elle allait les lui envoyer sauf s'il tentait de bloquer leur requête devant un tribunal, dans les sept jours suivants.
Cherchant à comprendre ce qui lui arrivait, il découvrit que cette requête était liée à un cambriolage qui avait eu lieu pas loin de sa maison, puis découvert que, ce jour-là, il était effectivement passé trois fois à proximité en roulant avec son vélo, tout en géolocalisant sa course horodatée au moyen d'une application dédiée.
« C'était un scénario cauchemardesque », se souvient McCoy. « J'utilisais une application pour voir combien de kilomètres j'avais parcouru en vélo et cela me plaçait maintenant sur les lieux du crime. Et j'étais le suspect principal. »
Après avoir transmis à la police la liste des utilisateurs anonymisées, Google prévenait McCoy qu'elle lui réclamait désormais plus d'informations à son sujet particulier. Et c'est notamment et paradoxalement parce qu'il avait gardé l'historique de la liste de toutes les autres courses géolocalisées aux abords de sa maison que l'avocat de McCoy a pu démontrer son innocence auprès du policier qui l'avait initialement suspecté.
Incarcéré pour avoir été au mauvais moment au mauvais endroit
En décembre dernier, Forbes révélait que Google tentait de limiter ce genre de recours. Le Bureau de l'alcool, du tabac, des armes à feu et explosifs lui avait en effet demandé d'identifier tous les terminaux géolocalisés dans un rayon de trois hectares, sur quatre périodes de neuf heures cumulées. Google leur avait renvoyé les identifiants de 1 494 terminaux puisés dans SensorVault, sa base de données enregistrant l'historique des géolocalisations de ses utilisateurs, lui demandant dès lors d'affiner ses requêtes.
Dans le cadre d'une autre enquête sur le braquage d'une banque, l'entreprise avait à ce titre réussi à convaincre les autorités de limiter la requête à un rayon de 50 mètres, et non de 400 mètres comme elles le lui réclamaient initialement. Google avait alors réussi à ne leur transmettre les identifiants que de six terminaux seulement, mais sans pouvoir les empêcher de devoir leur divulguer l'identité de leurs propriétaires, leurs adresses email « et d'autres données associées à leurs comptes Google » (sans plus de précisions).
Seuls deux d'entre eux furent par la suite inculpés, les quatre autres n'ayant été suspectés que du seul fait d'avoir eux aussi été au même endroit, mais au mauvais moment. L'article de Forbes se concluait par une invitation aux lecteurs à désactiver l'enregistrement de sa géolocalisation « par défaut »... ce qui a pourtant depuis, précisément, et paradoxalement, permis à McCoy de démontrer son innocence.
Le New York Times avait raconté, l'an passé, comment un innocent avait été incarcéré une semaine durant parce que son téléphone avait été géolocalisé près de la scène d'un meurtre, et qu'il avait suivi le parcours de la voiture présumée du meurtrier, dont la description correspondait à la sienne. Il fut finalement libéré quand la police découvrit que c'était l'ex-petite amie de sa mère qui avait emprunté sa voiture.
Or, les méthodes de la police technique et scientifique (même et y compris basées sur les empreintes et marqueurs génétiques, longtemps présentées, à tort, comme la « reine des preuves ») ne sont jamais que des calculs de probabilités, avec leurs taux de faux positifs et de faux négatifs, au point qu'ils ont déjà entraîné plusieurs erreurs judiciaires.
Elles ne sauraient donc être considérées comme des preuves, mais comme des indices, qu'il convient donc de recouper.
Si problématique que même le FBI n'en veut pas
Dans une autre enquête, Politico revient de son côté sur l'application « Locate X », permettant de géorepérer tous les terminaux s'étant géolocalisés dans une zone donnée, mais également de consulter l'historique des autres endroits où ils s'étaient géolocalisés (soit volontairement, soit via des publicités ciblées) dans les mois précédents.
Les données, achetées à des agrégateurs de données qui les acquièrent eux-mêmes auprès de sociétés tierces de développement d'applications mobiles, sont anonymisées, permettant dès lors aux autorités de ne pas avoir besoin de mandats pour y accéder ni les exploiter.
Babel Street, société qui a développé l'application, qui l'avait gardé secrète jusqu'alors et qui a notamment recruté un ancien responsable de la National Geospatial Intelligence Agency (l'agence en charge du renseignement géographique –ou GEOINT), a refusé de répondre à Politico, notamment quant aux risques de désanonymisation.
Elle aurait déjà perçu plusieurs millions de dollars de la part de nombreuses forces de l'ordre américaines (son chiffre d'affaires serait passé de 64 000 de dollars en 2016 à 2,1 millions en 2017 et 5,3 millions en 2018).
Non contente de leur demander de ne pas en parler, elle leur a aussi fait signer des conditions d'utilisation leur interdisant d'utiliser ni de mentionner « Locate X » comme étant à l'origine des preuves qu'elles pourraient faire valoir devant des tribunaux ou dans le cadre de leurs procédures judiciaires.
D'après Politico, les douanes, services d'immigration, le Secret Service (en charge de la lutte contre la criminalité financière, mais également de protéger le président, sa famille et ses prédécesseurs), le département de la Justice, les gardes côtes, l'armée et la Drug Enforcement Administration figureraient au nombre de ses clients.
Un ancien employé de Babel Street a expliqué à Politico que la technologie était si problématique que plusieurs agences officielles, dont le FBI, ont refusé de l'acheter après que leurs avocats le leur avaient déconseillé. Babel Street aurait, de son côté, décidé de ne pas la commercialiser auprès de clients privés, de forces de police locale non plus que de gouvernements étrangers.
Pendant un temps, l'application recourrait à une pop-up pour rappeler à ses utilisateurs qu'elle ne pouvait servir que dans le cadre d'enquêtes portant sur des crimes graves et des questions de sécurité nationale, élément qu'elle a retiré après que plusieurs utilisateurs s'en étaient plaints.
Un cas qui fera jurisprudence
Lawfare revient pour sa part sur le premier recours judiciaire effectué, aux États-Unis, par un suspect arrêté grâce au géorepérage. Enquêtant sur le braquage d'une banque, les autorités avaient réclamé à Google la liste des terminaux géolocalisés dans un rayon de 150 mètres 30 minutes avant ou après le moment du braquage, soit les données anonymisés de 19 appareils, dont l'un à l'intérieur de la banque à l'heure du crime.
Elles ont ensuite demandé les géolocalisations 30 minutes avant et après la précédente période d'une heure, parvinrent à localiser la résidence du suspect s'étant trouvé à l'intérieur de la banque au moment du cambriolage, et donc son nom, qu'elles se firent confirmer en réclamant enfin les données d'identité du titulaire du compte Google.
Pour son avocat, cela dit, cette façon de procéder reviendrait à perquisitionner l'ensemble des logements situés à proximité d'un cambriolage, ou à fouiller les sacs de toute personne étant passé à proximité de l'endroit où aurait été commis un vol.
Le gouvernement, de son côté, répond que la vidéosurveillance avait montré que le braqueur disposait d'un smartphone, que tous les appareils Android et nombre d'autres smartphones partagent leurs géolocalisations avec Google, et qu'il était donc probable que la firme de Moutain View dispose de données susceptibles d'intéresser les enquêteurs.
Pour Lawfare, la jurisprudence qui résultera de ce recours aura d'énormes conséquences, non seulement parce que de telles requêtes de géorepérages ne peuvent qu'augmenter, mais également parce qu'elle permettra de préciser jusqu'où les traces que nous laissons peuvent être exploitées à des fins judiciaires.
Commentaires (18)
#1
ça fait peur
" />
#2
En même temps, c’est un peu logique.
L’énorme quantité de données personnelles que nous émettons sans nous en rendre compte servent aussi bien commercialement que pour la police.
Après, il faut qu’il y ait des gardes-fous si l’on ne veut pas que ça devienne n’importe quoi: c’est le rôle des magistrats, normalement.
Et bien évidemment, faut aussi que la police fasse un travail d’enquête un peu sérieux. Enfermer un innocent 1 semaine pour s’apercevoir que c’était la copine qui était concernée, c’est juste de l’incompétence.
J’espère que les policiers concernés ont été renvoyés pour ça.
#3
#4
Je reste cloitré chez moi, ouf !
#5
L’élément le plus intéressant, c’est qu’il y a des gens qui gardent leur smartphone sur eux lorsqu’ils commettent des delits ou des crimes prémédités !
#6
Il reste la solution de s’auto-traquer avec un soft que l’on contrôle.
Si on veut pouvoir s’en servir comme alibi, il suffit de l’envoyer (chiffré) toutes les 10mn sur un cloud commercial (pour l’horodatage).
C’est à ce moment que la police rebranchera le cerveau et pourra dire que la localisation d’un téléphone ne prouve rien sur celle de son proprio.
[\edit après relecture]
#7
Pas mal la promo pour son propre article…
#8
Si on n’active pas la géoloc, pas besoin de s’en servir pour prouver son innocence, puisqu’elle ne permet pas d’être suspecté…
#9
Et en prime, il n’y a aucune obligation légale à avoir toujours son téléphone avec soi.
#10
Moralité , si tu veux faire un forfait, délaisse ton portable dans les près :)
#11
Je viens de recevoir de GOOOOOOgle mes actions du mois de février…
Pas au point, on me dit dans des magasins où je n’ai jamais mis les pieds !
#12
En même temps avec un surnom pareil, …
" />
" />
Comment tu veux être connecté?
Tu lis des cassettes analogiques pour envoyer un signal analogique sur une TV, non mais allo quoi!
#13
Tu peux être suspecté via un faisceau d’indice qui n’a rien à voir avec la géoloc, et que la géoloc soit un des indices/preuves qui te disculpent.
#14
c’est pour pouvoir faire un selfie dans le cœur de l’action voyons !
#15
Ou pour vérifier l’état du trafic avant de se barrer avec le magot
#16
certes…mais l’inverse est possible AUSSI !!!
" />
(c’est ‘une arme à double-tranchant”–>-50⁄50)
#17
Oui je ne dis pas le contraire. Comme être sur les lieux (ou environ) d’un crime et être vu par des témoins, caméra etc. ou tout simplement en allant témoigner…
Je dis justement que la géoloc peut servir “positivement”. Libre à chacun d’évaluer ses besoins versus vie privée.
#18
Quid d’Apple? Sont-ils aussi souples avec la transmission d’infos persos aux “autorités”?