Selon une tude publie le lundi 6 novembre par des chercheurs de l’universit Duke, des informations personnelles sensibles telles que l’adresse apparente du domicile et l’tat de sant de milliers de militaires amricains en service actif peuvent tre achetes bas prix en ligne auprs de « courtiers en donnes ».
Les chercheurs ont pu acheter des donnes sur les militaires en se basant sur la golocalisation, notamment pour savoir s’ils vivaient ou travaillaient prs de Fort Bragg, Quantico ou d’autres sites militaires sensibles. Dans certains cas, ils ont pu acheter les donnes pour seulement 0,12 dollar par enregistrement.
L’tude rappelle les proccupations de longue date des autorits amricaines et d’experts extrieurs en matire de scurit nationale, savoir qu’un service de renseignement tranger, par exemple, pourrait se faire une ide de la localisation et de la vulnrabilit des membres de l’arme amricaine simplement en achetant ces informations en ligne. Les escrocs pourraient galement utiliser ces donnes pour traquer ou faire chanter des familles de militaires, ont conclu les chercheurs.
Les chercheurs ont tir parti d’un vaste cosystme de courtiers en donnes aux tats-Unis, qui s’tend des grandes agences d’valuation du crdit aux obscures socits d’analyse, en passant par les applications mobiles qui vendent discrtement les donnes de localisation des utilisateurs. Il existe encore peu de restrictions lgales aux tats-Unis concernant l’achat et la vente de ces donnes.
« Il tait beaucoup trop facile d’obtenir ces donnes : un simple domaine, 12 cents par membre du service, et aucune vrification des antcdents de nos achats« , a dclar Justin Sherman, chercheur principal la Sanford School of Public Policy de Duke, qui dirige le projet de recherche sur le courtage de donnes.
« Si notre quipe de recherche, soumise l’thique de la recherche universitaire et aux processus de protection de la vie prive, pouvait faire cela dans le cadre d’une tude universitaire, un adversaire tranger pourrait obtenir des donnes en un clin d’il pour tablir le profil, faire chanter ou cibler le personnel militaire« , a dclar M. Sherman.
Les courtiers en donnes achtent des informations personnelles, notamment des numros de scurit sociale, des noms, des adresses, des revenus, des antcdents professionnels, des antcdents criminels et d’autres lments, qui peuvent ensuite tre utiliss pour mener des enqutes d’information lgitimes, telles que des vrifications d’antcdents et des vrifications de crdit.
Toutefois, les autorits de rglementation les soumettent un examen de plus en plus minutieux. En aot, le Consumer Financial Protection Bureau a dclar qu’il tudiait de nouvelles rgles qui interdiraient aux courtiers en donnes de vendre certaines informations, sauf dans des circonstances spcifiques.
La Commission fdrale du commerce (FTC) tudie actuellement de nouvelles rgles visant rprimer les courtiers en donnes.
« Nous ne pouvons pas commenter les pratiques spcifiques d’une entreprise« , a dclar un porte-parole de la FTC. « Toutefois, nous avons maintes reprises exprim nos inquitudes quant aux pratiques des courtiers en donnes et leur impact potentiel sur la vie prive des consommateurs. Nous sommes prts prendre des mesures l’encontre de toute entreprise qui ne protge pas les donnes des consommateurs et ne respecte pas les lois applicables, telles que le Fair Credit Reporting Act (loi sur l’information en matire de crdit).«
Le snateur Ron Wyden, un dmocrate de l’Oregon qui a parrain une lgislation visant imposer des restrictions aux courtiers en donnes, a qualifi l’tude de Duke de « sonnette d’alarme pour les dcideurs politiques : l’industrie des courtiers en donnes est hors de contrle et constitue une menace srieuse pour la scurit nationale des tats-Unis« .
« Les tats-Unis ont besoin d’une solution globale pour protger les donnes des Amricains contre les nations inamicales plutt que de se concentrer sur des pansements inefficaces comme l’interdiction de TikTok« , a dclar M. Wyden dans un communiqu.
« Le ministre [de la dfense] prend trs au srieux les intrts de son personnel en matire de protection de la vie prive« , a dclar Timothy Gorman, porte-parole du bureau du secrtaire la dfense, dans une dclaration en rponse l’tude de Duke. « Il existe une quantit importante et croissante d’informations disponibles dans le commerce, ce qui soulve des proccupations en matire de protection de la vie prive, de liberts civiles, de scurit nationale, de menaces pour les membres des forces armes de la part de nos adversaires, et de risques pour la scurit oprationnelle.«
Le Pentagone, a ajout M. Gorman, « a la responsabilit de protger les intrts des individus en matire de vie prive et continuera d’insister auprs de son personnel sur l’importance de maintenir, de former et de mettre en uvre des garanties solides pour protger les intrts de notre population en matire de vie prive« .
Le Pentagone et les services de renseignement amricains s’inquitent depuis longtemps de la manire dont les espions trangers pourraient exploiter le march des donnes personnelles sur les Amricains.
La grande quantit de donnes personnelles en vente en ligne est un outil « de plus en plus puissant » pour la collecte de renseignements par les agences d’espionnage amricaines et trangres, mais reprsente galement un risque pour la vie prive des gens ordinaires, a dclar un rapport des services de renseignement amricains dclassifi cette anne.
En 2018, le Pentagone a annonc l’interdiction pour le personnel dploy d’utiliser des trackers de fitness, des smartphones et potentiellement mme des applications de rencontres qui utilisent des fonctions de golocalisation. Cela faisait suite un examen de ces pratiques aprs que Strava, une application de suivi de la condition physique, ait pu rvler par inadvertance les emplacements des forces de scurit dans le monde entier.
Voici un extrait de l’tude publie par les chercheurs de l’Universit de Duke :
Courtiers en donnes et vente de donnes sur le personnel militaire amricain
Risques pour la vie prive, la scurit et la sret nationale
Vue d’ensemble :
L’cosystme du courtage de donnes est une industrie de plusieurs milliards de dollars compose d’entreprises qui collectent, dduisent, agrgent, puis vendent, concdent sous licence et partagent des donnes sur les Amricains, tout en fournissant des services technologiques bass sur ces donnes. Aprs avoir dcouvert que des courtiers en donnes faisaient de la publicit pour des donnes sur le personnel militaire amricain actuel et ancien, cette tude a cherch comprendre (a) quels types de donnes les courtiers en donnes collectaient et vendaient sur les militaires et (b) le risque qu’un acteur tranger, tel qu’un gouvernement adverse, puisse acqurir ces donnes pour porter atteinte la scurit nationale des tats-Unis. Cette tude a consist rechercher des termes tels que « militaire » et « vtran » sur des centaines de sites web de courtiers en donnes, contacter des courtiers en donnes amricains partir d’un domaine amricain pour se renseigner sur les donnes relatives l’arme amricaine et les acheter, et contacter des courtiers en donnes amricains partir d’un domaine .asia pour se renseigner sur les donnes relatives l’arme amricaine et les acheter. Le rapport se termine par une analyse des risques pour les militaires amricains et la scurit nationale des tats-Unis, assortie de recommandations politiques l’intention du gouvernement fdral pour faire face ces risques.
Principaux points retenir :
- Il n’est pas difficile d’obtenir des donnes sensibles sur les militaires en service actif, leurs familles et les anciens combattants, y compris des donnes non publiques, identifies individuellement et sensibles, telles que des donnes sur la sant, des donnes financires et des informations sur les pratiques religieuses. L’quipe a achet ces donnes et d’autres auprs de courtiers en donnes amricains par l’intermdiaire d’un domaine .org et d’un domaine .asia pour un prix aussi bas que 0,12 $ par enregistrement. Des donnes de localisation sont galement disponibles, mais l’quipe ne les a pas achetes.
- Les mthodes utilises par les courtiers en donnes pour dterminer l’identit des clients sont incohrentes et tmoignent d’un manque de bonnes pratiques dans le secteur.
- l’heure actuelle, ces pratiques incohrentes sont trs peu rglementes par le gouvernement amricain.
- Les incohrences des contrles lors de l’achat de donnes sensibles, non publiques et identifies individuellement concernant les militaires en service actif et les anciens combattants s’tendent aux situations dans lesquelles les courtiers en donnes vendent des clients qui se trouvent en dehors des tats-Unis.
- L’accs ces donnes pourrait tre utilis par des acteurs trangers et malveillants pour cibler les militaires en service actif, les vtrans, leurs familles et leurs connaissances des fins de profilage, de chantage, de ciblage par des campagnes d’information, etc.
Source : tude de l’Universit de Duke
Et vous ?
Quelle lecture faites-vous de cette situation ?
Trouvez-vous que les rsultats de l’tude de l’Universit de Duke sont fiables et pertinentes ?
Quel est votre point de vue sur les implications pour la scurit nationale de l’achat de donnes sensibles par des courtiers en donnes ?
Pensez-vous que des rgles plus strictes devraient tre imposes aux courtiers en donnes afin d’empcher la vente d’informations sensibles ?
Voir aussi