Outre-Atlantique, AT&T permet de localiser un abonné mobile à partir d'informations basiques

Le consentequoi ? 9
Accès libre
image dediée
Crédits : Manuel-F-O/iStock
Securité
Par
le lundi 16 octobre 2017 à 18:00
Guénaël Pépin

À partir d'une API fournie par AT&T, des sociétés proposent d'authentifier une transaction mobile, voire de déterminer où se trouve un smartphone. Problème : ces outils se contentent de peu de données pour ouvrir l'accès à des informations sensibles, avec un consentement peu garanti.

Un accès simple aux données des mobinautes, depuis une simple interface web. C'est ce qu'a découvert Philip Neustrom, cofondateur de Shotwell, comme il l'explique dans un billet sur Medium. Deux sociétés (Danal Inc et Payfone) proposent deux interfaces de démonstration d'accès aux données de mobinautes, avec pour point d'entrée l'adresse IP du téléphone.

Le numéro de téléphone, des données de facturation ainsi que la localisation (si l'antenne connectée le permet) sont consignés. Danal Inc et Payfone sont des spécialistes de l'authentification mobile, capables de vérifier l'identité d'un internaute à partir de son appareil, en exploitant au moins une API du premier opérateur américain, AT&T. Un des principaux usages est la lutte contre la fraude, qui semble moyennement se soucier du consentement de l'internaute.

Un consentement des plus flous

Annoncée en décembre 2013 par AT&T, la Mobile Identity API donne la possibilité de croiser les informations fournies par l'internaute avec celles possédées par l'opérateur. La révélation de l'outil était accompagnée d'un accord avec Payfone, qui vante la capacité de savoir si un employé est bien là où il est censé être.

« En utilisant cette API, le service de Payfone permettra aux entreprises de confirmer qu'un terminal utilisé dans une transaction est authentifié sur le réseau mobile d'AT&T. L'accord souligne le soutien d'AT&T à l'innovation et à la création de valeur pour les développeurs et fournisseurs de solutions pour entreprises » écrivait fièrement l'opérateur à l'époque.

Les deux outils de démonstrations semblent avoir été mis hors ligne suite à la publication du billet sur Medium, tout comme la documentation de l'API de Payfone. L'article relevait un point important : le consentement du client de l'opérateur à une telle exploitation de ses données est des plus flous.

Si les deux pages d'essai demandent d'être connecté avec la bonne adresse IP, ce n'est pas le cas des API des services en elles-mêmes, qui semblent se contenter d'une simple case cochée par celui qui requiert les informations. À noter que ces boites à outils permettent aussi des requêtes de masse, sur lesquelles l'accord explicite du client peut être encore plus oublié.

Opérateurs américains et vie privée, c'est compliqué

« Ces services pourraient être utilisés pour suivre ou désanonymiser n'importe qui avec un téléphone aux États-Unis sans contrôle » estime donc Philip Neustrom. Contacté par TechCrunch, Payfone répond qu'« il y a un cadre très rigoureux de sécurité et du consentement à la vie privée ».

L'utilisation du réseau pour les besoins de sociétés tierces est une source importante « d'innovation » pour les opérateurs. Et de soucis avec le régulateur. Début 2016, Verizon avait accepté de payer 1,35 million de dollars à la FCC, à cause de ses « cookies zombies », injectés en boucle dans le trafic des mobinautes.

Ils fournissaient un identifiant unique par utilisateur, utilisé par certains publicitaires, qui pouvaient continuer de cibler un même client sans que ce dernier ne le sache. Le nettoyage des données des navigateurs n'y changeait rien, le cookie étant renvoyé par le réseau.

La nouvelle tombait en plein débat sur de nouvelles règles de vie privée, voulues par la FCC de l'époque, sous direction démocrate. Elle avait beaucoup servi la cause du régulateur, alors que les lobbies des opérateurs et des publicitaires réclamaient des règles flexibles en matière de protection des données, avec l'idée qu'ils pourraient par exemple partager l'historique de navigation.

Adoptées en octobre 2016, elles ont été supprimées en avril 2017 par Donald Trump, épaulé par le Congrès à majorité républicaine, avec le soutien d'une FCC passée sous le même pavillon. Ils ne devraient donc pas avoir beaucoup à redire sur les outils d'AT&T pour l'authentification mobile, quand bien même la confidentialité laisserait à désirer.


chargement
Chargement des commentaires...