Outre-Atlantique, AT&T permet de localiser un abonné mobile à partir d'informations basiques

Outre-Atlantique, AT&T permet de localiser un abonné mobile à partir d’informations basiques

Le consentequoi ?

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

16/10/2017 4 minutes
9

Outre-Atlantique, AT&T permet de localiser un abonné mobile à partir d'informations basiques

À partir d'une API fournie par AT&T, des sociétés proposent d'authentifier une transaction mobile, voire de déterminer où se trouve un smartphone. Problème : ces outils se contentent de peu de données pour ouvrir l'accès à des informations sensibles, avec un consentement peu garanti.

Un accès simple aux données des mobinautes, depuis une simple interface web. C'est ce qu'a découvert Philip Neustrom, cofondateur de Shotwell, comme il l'explique dans un billet sur Medium. Deux sociétés (Danal Inc et Payfone) proposent deux interfaces de démonstration d'accès aux données de mobinautes, avec pour point d'entrée l'adresse IP du téléphone.

Le numéro de téléphone, des données de facturation ainsi que la localisation (si l'antenne connectée le permet) sont consignés. Danal Inc et Payfone sont des spécialistes de l'authentification mobile, capables de vérifier l'identité d'un internaute à partir de son appareil, en exploitant au moins une API du premier opérateur américain, AT&T. Un des principaux usages est la lutte contre la fraude, qui semble moyennement se soucier du consentement de l'internaute.

Un consentement des plus flous

Annoncée en décembre 2013 par AT&T, la Mobile Identity API donne la possibilité de croiser les informations fournies par l'internaute avec celles possédées par l'opérateur. La révélation de l'outil était accompagnée d'un accord avec Payfone, qui vante la capacité de savoir si un employé est bien là où il est censé être.

« En utilisant cette API, le service de Payfone permettra aux entreprises de confirmer qu'un terminal utilisé dans une transaction est authentifié sur le réseau mobile d'AT&T. L'accord souligne le soutien d'AT&T à l'innovation et à la création de valeur pour les développeurs et fournisseurs de solutions pour entreprises » écrivait fièrement l'opérateur à l'époque.

Les deux outils de démonstrations semblent avoir été mis hors ligne suite à la publication du billet sur Medium, tout comme la documentation de l'API de Payfone. L'article relevait un point important : le consentement du client de l'opérateur à une telle exploitation de ses données est des plus flous.

Si les deux pages d'essai demandent d'être connecté avec la bonne adresse IP, ce n'est pas le cas des API des services en elles-mêmes, qui semblent se contenter d'une simple case cochée par celui qui requiert les informations. À noter que ces boites à outils permettent aussi des requêtes de masse, sur lesquelles l'accord explicite du client peut être encore plus oublié.

Opérateurs américains et vie privée, c'est compliqué

« Ces services pourraient être utilisés pour suivre ou désanonymiser n'importe qui avec un téléphone aux États-Unis sans contrôle » estime donc Philip Neustrom. Contacté par TechCrunch, Payfone répond qu'« il y a un cadre très rigoureux de sécurité et du consentement à la vie privée ».

L'utilisation du réseau pour les besoins de sociétés tierces est une source importante « d'innovation » pour les opérateurs. Et de soucis avec le régulateur. Début 2016, Verizon avait accepté de payer 1,35 million de dollars à la FCC, à cause de ses « cookies zombies », injectés en boucle dans le trafic des mobinautes.

Ils fournissaient un identifiant unique par utilisateur, utilisé par certains publicitaires, qui pouvaient continuer de cibler un même client sans que ce dernier ne le sache. Le nettoyage des données des navigateurs n'y changeait rien, le cookie étant renvoyé par le réseau.

La nouvelle tombait en plein débat sur de nouvelles règles de vie privée, voulues par la FCC de l'époque, sous direction démocrate. Elle avait beaucoup servi la cause du régulateur, alors que les lobbies des opérateurs et des publicitaires réclamaient des règles flexibles en matière de protection des données, avec l'idée qu'ils pourraient par exemple partager l'historique de navigation.

Adoptées en octobre 2016, elles ont été supprimées en avril 2017 par Donald Trump, épaulé par le Congrès à majorité républicaine, avec le soutien d'une FCC passée sous le même pavillon. Ils ne devraient donc pas avoir beaucoup à redire sur les outils d'AT&T pour l'authentification mobile, quand bien même la confidentialité laisserait à désirer.

9

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un consentement des plus flous

Opérateurs américains et vie privée, c'est compliqué

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (9)


ça me rappel la phrase d’Apple à l’époque “il y à une appli pour ça” ^^


Ça pue tout ça !

Heureux d’être né un 6 janvier dans un pays où la CNIL (qui est née par une loi du 6 janvier 1976) existe.



Pendant la lecture de l’article, j’ai pensé aux régressions poussées par Trump qui sont citées en fin d’article.


<img data-src=" />


Vrai, que c’est des bon biscuit.<img data-src=" />


Tu peux remercier l’Europe aussi,&nbsp; parce que ce qui arrive le 18 mai avec le RGPD, ça va monter d’un gros cran les droits des utilisateurs, en particulier le consentement explicite pour toute collecte de données.


La centralisation des bases de données est un poison pour la vie privée et intime. Les big data, on en reviendra un jour, peut-être après quelque “incident regrettable” ?



&nbsp;Ça me rappelle un article du journal Le Monde paru le 21 mars 1974 :




« L’anonymat sur Internet : protection de la vie privée, ou licence pour troller ?

On en parle avec la Présidente de la Commission Nationale de l’Informatique et des Libertés, samedi à 23h30 sur ARTE, ou tout de suite sur https://sites.arte.tv/philosophie/fr »

source :

ARTE Philosophie - facebook.com - 20/10/2017



à voir également dans le #Replay de Next inpact du même jour.