L'Electronic Frontier Foundation s'est procuré des dizaines de documents révélant qu'un petit data broker revendait à des dizaines de forces de l'ordre américaines l'accès à des milliards de données géolocalisées. Elles portent sur plus de 250 millions de téléphones portables et seraient issues de plus de 700 applications, à l'insu de ces dernières et des utilisateurs.
Près d'une vingtaine de forces de police américaines ont utilisé « Fog Reveal », qu'on pourrait traduire par « dissiper le brouillard ». Cet « obscur outil de suivi des téléphones portables, parfois sans mandat de perquisition », permettait d'effectuer des recherches de géolocalisation au sein de « centaines de milliards d'enregistrements issus de 250 millions d'appareils mobiles », révèle Associated Press. Leur enquête est basée sur des documents obtenus et analysés par l'Electronic Frontier Foundation (EFF) via le Freedom of Information Act (FOIA).
L'un des documents, datant de fin 2019, précise que cette plateforme traiterait 15 milliards de géolocalisations par jour, ainsi que 250 millions de terminaux par mois, aux États-Unis (qui dénombraient 290 millions de smartphones en 2019) ainsi qu'à l'international.
Extrait d'une brochure commerciale de présentation de Fog Reveal
Des chiffres à prendre avec des pincettes, analyse l'EFF, pour qui « il est probable que Fog ne puisse accéder aux données de localisation des utilisateurs que lorsqu'ils ont des applications ouvertes, ou d'un sous-ensemble d'utilisateurs qui ont accordé un accès à la localisation en arrière-plan à certaines applications tierces » :
« Certains appareils enregistrent en moyenne plusieurs centaines de pings par jour, tandis que d'autres ne sont vus que quelques fois par jour. Les utilisateurs qui n'installent pas beaucoup d'applications tierces, ou qui ont choisi de ne pas être suivis via l'App Tracking Transparency (ATT) d'Apple, peuvent ne pas être présents du tout dans l'ensemble de données ».
Des données de géolocalisation issues de plus de 700 applications
« Fog Reveal » est commercialisé par Fog Data Science LLC, une entreprise créée par deux anciens hauts fonctionnaires du Département de la sécurité intérieure sous l'ancien président George W. Bush. Ce logiciel serait exploité « depuis au moins 2018 dans des enquêtes criminelles allant du meurtre d'une infirmière dans l'Arkansas au suivi des mouvements d'un participant potentiel à l'insurrection du 6 janvier au Capitole ».
Or, ce recours à Fog Reveal serait « rarement, voire jamais, mentionné dans les dossiers judiciaires », ce qui empêcherait les avocats de défendre correctement leurs clients.
Fog Reveal s'appuierait sur des identifiants publicitaires extraits d'applications « telles que Waze, Starbucks » et « plus de 700 applications ». Des data brokers leur rachètent les données géolocalisées des déplacements de leurs utilisateurs, identifiables non par leurs noms mais via leurs identifiants publicitaires, avant de les revendre à des entreprises tierces comme Fog.
Fog explique ne pas savoir comment ceux qui lui fournissent des données les acquièrent. Starbucks et Waze ont de leur côté nié avoir quelque relation que ce soit avec ce data broker. L'EFF relève par ailleurs que des documents précisent qu'aucune donnée n'émane de Twitter, Google ou Facebook.
Ces numéros uniques ne contiennent pas de nom, mais permettent tout de même de remonter jusqu'aux domicile et lieu de travail des propriétaires, ou encore d'identifier quels téléphones se trouvaient à tels endroits à tels moments. Des recoupements sont ensuite largement possibles.
Alors qu'il faut d'abord obtenir un mandat, puis attendre plusieurs jours, voire semaines avant que des entreprises telles que Google ou Apple répondent à ce genre de demandes de « geofencing » (ou géorepérages en français), Fog Reveal peut le faire beaucoup plus rapidement.
Accessible via un portail web, les enquêteurs peuvent en effet y entrer directement les coordonnées d'une scène de crime afin d'obtenir en retour les numéros d'identification publicitaire uniques des smartphones qui y ont borné à tel ou tel moment. Ils peuvent aussi suivre tous les endroits où le téléphone d'un suspect a borné dans les 18 derniers mois, avec un filtrage par plages de dates.
Le double discours sur l’anonymisation
Les données sont donc liées à un identifiant publicitaire… mais est-il possible de remonter la trace de l’utilisateur ? La réponse de Fog dépend de l’interlocuteur (spoiler : l’anonymat n’est donc pas garanti). Ainsi, à un policier qui se demandait si l’utilisation de ce logiciel était légale, un commercial de Fog affirmait n’avoir « aucun moyen de relier les signaux à un appareil ou à un propriétaire spécifique ». Nous allons voir que ce n’est pas toujours le cas.
Selon le commercial, pas besoin donc de recourir à un mandat pour exploiter les données car elles seraient anonymisées. « Nous comblons un vide pour les départements sous-financés et en sous-effectif », explique Matthew Broderick, associé directeur de Fog, qui précise que « les mandats de perquisition ne sont pas nécessaires pour l'utilisation des données publiques disponibles sur le marché » des data brokers.
D’un autre côté, Fog explique également qu’il aide les policiers à identifier leurs utilisateurs… cassant donc la promesse de l’anonymat faite à un enquêteur. D'une part parce qu'en recoupant les lieux où dorment et travaillent les utilisateurs, il peut être possible de lever le pseudonymat de l'identifiant publicitaire.
D'autre part parce qu'un de ses « partenaires de données », Venntel, un courtier prestataire de l'Immigration and Customs Enforcement et du FBI, disposerait en outre d'« une quantité encore plus grande de données mobiles des utilisateurs » susceptibles d'aider les policiers à identifier les détenteurs des portables géolocalisés. La désanonymisation pourrait en partie émaner de ce partenariat.
L'EFF relève à ce titre que les brochures de Fog et Venntel se ressemblent trait pour trait, tant pour ce qui est de l'argumentaire marketing, des photos et infographies, que des codes couleur :
« Les deux entreprises utilisent la même capture d'écran d'un emplacement à Santa Teresa, NM, pour illustrer leurs capacités. En outre, elles font des déclarations identiques sur la couverture de leurs données, notamment le fait qu'elles analysent "les signaux de localisation de 250 millions d'appareils mobiles aux États-Unis" et "plus de 15 milliards de signaux de localisation par jour". Ces affirmations pourraient être la preuve que les deux sociétés ont accès au même ensemble de données. »
De plus, l'enquête de l'EFF sur le code de l'application Fog a révélé de nombreuses URLs contenant le mot Venntel : « par exemple, lorsqu'un utilisateur de Reveal effectue une requête sur un dispositif géorepéré, cette requête est soumise en envoyant une demande à l'URL "/Venntel/GetLocationData" ».
Fog Data Science disposerait de données remontant à 2017, d'après les documents obtenus par l'EFF, mais Broderick rétorque que Fog Reveal ne pourrait remonter que jusqu'à « trois ans en arrière ».
Enfin, Fog Reveal ne se contente pas d'afficher l'identifiant publicitaire des smartphones, il propose aussi la famille et la version de l'OS et du navigateur, son « User agent », les type, modèle et famille du terminal, s'il est un résident européen, ainsi que sa dernière adresse IP connue.
Un procureur vante Fog Reveal
Kevin Metcalf, procureur du comté de Washington et président du National Child Protection Task Force (NCPTF), une organisation à but non lucratif qui lutte contre l'exploitation et la traite des enfants, explique que Fog Reveal a été « inestimable pour résoudre les cas d'enfants disparus et les homicides » : « Le temps est essentiel dans ces situations. Nous ne pouvons pas attendre la voie traditionnelle du mandat de perquisition. »
Metcalf évoque ainsi le cas d'une infirmière qui avait disparu lors d'un footing et dont le téléphone avait été retrouvé dans un fossé. Fog permit d'identifier quels autres téléphones avaient borné au même endroit, puis de conduire à l'arrestation de son meurtrier.
Une application développée par deux anciens responsables du DHS
Fog Data figure dans la liste des sponsors de la NCPTF, dont le président du conseil d'administration, Robert Liscouski, est aussi le fondateur de Fog Data LLC. Sa bio précise qu'il avait été nommé par le président George W. Bush comme premier secrétaire adjoint à la protection des infrastructures après la création du département américain de la sécurité intérieure en 2003 :
« À ce titre, il était responsable de la conception, du développement, de la mise en œuvre et de la supervision du Bureau des infrastructures, ce qui impliquait l'intégration de diverses unités provenant d'autres agences gouvernementales, notamment le FBI, le DoD, la General Services Administration, le Département de l'énergie et le Département du commerce. »
Broderick, associé directeur de Fog, est de son côté un ancien général de brigade des Marines qui dirigeait le centre technologique du Department of Homeland Security (DHS) lors de l'ouragan Katrina en 2005. Il a démissionné après avoir été accusé de ne pas avoir coordonné de réponse suffisamment rapide à l'ouragan meurtrier.
Un service commercialisé pour seulement 7 500 dollars par an
AP a pu documenter, via GovSpend, une société qui surveille les dépenses du gouvernement, que « Fog avait vendu son logiciel dans environ 40 contrats à près de deux douzaines d'agences ».
Outre ses fonctionnalités, elles auraient également été attirées par son faible coût : l'abonnement au service coûte entre 6 500 et 7 500 dollars par utilisateurs.
Les documents marketing consultés par AP indiquent que Fog Reveal vante également ses capacités en termes d' « analyses prédictives », susceptibles de fournir « des informations en temps quasi réel sur les mouvements quotidiens des personnes identifiées avec ces appareils mobiles ».
Une analyse erronée du consentement à être géolocalisé
Davin Hall, un ancien analyste de données de la police, explique à AP avoir démissionné après s'être plaint, en vain, auprès de sa hiérarchie, des problèmes posés par Fog Reveal :
« La possibilité qu'il avait de repérer n'importe qui dans une zone, qu'il soit en public ou chez lui, me semblait être une violation très claire du quatrième amendement. »
Une analyse que confirme l'EFF, pour qui « l'affirmation de Fog selon laquelle les personnes figurant dans sa base de données ont "opté pour" repose sur une fiction juridique de consentement que l'EFF, les tribunaux et les membres du Congrès ont critiquée à plusieurs reprises parce qu'elle ne protège pas correctement la vie privée des personnes » :
« Même si un utilisateur consent à ce qu'une application collecte des données de localisation, il est très peu probable qu'il consente à ce que ces données finissent entre les mains de Fog et soient utilisées pour les besoins de surveillance des forces de l'ordre. »
L'EFF n'en souligne pas moins que Fog Reveal pourrait être utilisé pour identifier les participants à une manifestation (d'après AP, il aurait été utilisé pour retracer les déplacements de l'un des insurgés qui avaient envahi la Capitole des États-Unis le 6 janvier 2021), ou encore les personnes se rendant dans des cliniques pratiquant des avortements.
Et ce, sans oublier les risques de voir des policiers utiliser ce système à des fins personnelles, pour traquer leurs ex, rivaux ou autres. L'EFF rappelle par ailleurs qu'il suffit d'interdire aux applications d'accéder à la géolocalisation pour se prémunir de ce type de risque.
En tout état de cause, si l'EFF y consacre 6 articles au total, elle n'en relève pas moins que Fog Reveal ne serait (ou n'aurait été, certains n'ayant pas renouvelé leur licence) utilisé que par « 50 - 60 » agences dans le pays, dont 18 qu'elle a formellement identifié.
Cette focale sur un cas particulier intervient cela dit alors que, ces dernières années, il s'est avéré que de plus en plus de data brokers fournissaient eux aussi aux autorités américaines des données géolocalisées issues d'applications revendant leurs données sans contrôler ce qui en est fait par la suite. Sujet auquel l'EFF consacre d'ailleurs tout un dossier.
