Deux entreprises, Patternz et Nuviad, sont accuses de traquer des individus cibls par des services de scurit, en utilisant abusivement le systme denchres en temps rel de lindustrie de la publicit en ligne. Ces entreprises auraient conclu des accords avec des rseaux publicitaires de moindre envergure, prts se livrer des pratiques douteuses, pour collecter les empreintes numriques des appareils, et les utiliser pour dclencher une surveillance. Des dizaines de milliers d’applications tlphoniques jouent un rle leur insu. Les agences de scurit nationale du monde entier, leurs clients, pouvant cibler avec prcision une personne d’intrt, suivre ses dplacements, surveiller sa proximit avec d’autres personnes et mme envoyer des logiciels malveillants sur ses appareils.
Le PDG des deux entreprises est Rafi Ton, qui se prsente comme un expert en intelligence artificielle et en analyse de donnes. Il affirme que son entreprise Patternz peut aider les clients identifier les menaces potentielles, prvenir les attaques terroristes et protger les infrastructures critiques. Il prtend galement que son autre entreprise, Nuviad, est une plateforme publicitaire innovante qui permet aux annonceurs datteindre des audiences cibles.
Mais selon une enqute mene par le journaliste Joseph Cox, ces entreprises sont en ralit impliques dans une activit despionnage grande chelle, qui commence par des publicits [sur des dizaines de milliers d’applications ordinaires, y compris des applications populaires telles que 9gag, Kik et une srie d’applications d’identification de l’appelant] et se termine par l’aspiration des utilisateurs des applications dans un puissant outil de surveillance de masse, qui profite entre autres aux agences de scurit nationale. Ces dernires peuvent alors suivre l’emplacement physique, les loisirs et les membres de la famille des personnes pour tablir des milliards de profils. Cox a obtenu des documents de marketing de Patternz, qui dcrivent comment lentreprise peut suivre la localisation physique, les hobbies, et les membres de la famille des personnes. Lentreprise dit galement quelle peut aider infecter les cibles par des logiciels malveillants.
L’enqute, qui s’appuie sur des documents marketing et des vidos dsormais supprims, sur une analyse technique lgale et sur des recherches menes par des dfenseurs de la vie prive, fournit l’un des examens les plus clairs ce jour de la manire dont les publicits diffuses dans des applications mobiles ordinaires peuvent en fin de compte conduire la surveillance par des socits d’espionnage et leurs clients gouvernementaux par l’intermdiaire de la chane d’approvisionnement en donnes d’enchres en temps rel. Cette chane implique de petites socits de publicit obscures et des gants de l’industrie de la publicit tels que Google.
Suite la publication de l’enqute, Google et PubMatic, une autre socit de publicit, ont dcid de couper les ponts avec une entreprise lie la socit de surveillance.
La machine de surveillance omniprsente qui a t dveloppe pour la publicit numrique permet dsormais directement la surveillance de masse par les gouvernements. De nombreuses entreprises, des diteurs d’applications aux annonceurs en passant par les grandes entreprises technologiques, agissent de manire totalement irresponsable. Cela doit cesser , a dclar Wolfie Christl, directeur de Cracked Labs, un institut de recherche autrichien et coauteur d’un article publi l’anne dernire sur cet outil de surveillance.
Patternz, un outil de surveillance de masse
L’outil de surveillance de masse en question s’appelle Patternz. Dans une vido tlcharge sur YouTube en janvier 2023, qui a t retire lorsque des enqutes ont commenc tre menes, Rafi Ton, PDG de Patternz, dclare que nous analysons le comportement de plus de 600 000 applications . Une diapositive qu’il prsente dans la vido indique que le tlphone portable devient le bracelet de suivi de facto et suggre que le suivi peut tre ralis par pratiquement n’importe quelle application qui a des publicits . La vido semble tre une dmonstration que Ton fait des clients potentiels pour le systme Patternz. Le contexte de la prsentation est que Patternz doit contrer le COVID-19, mais Ton reconnat que la plateforme a t conue comme une plateforme de scurit intrieure . Dans d’autres documents de marketing en ligne, Patternz s’adresse spcifiquement aux agences de scurit nationale .
Patternz utilise le systme denchres en temps rel, qui est un outil publicitaire qui permet aux entreprises de lindustrie de la publicit en ligne de se faire concurrence pour placer leur publicit devant un certain type dutilisateur. Mais un effet secondaire est que les entreprises, y compris les socits de surveillance, peuvent obtenir des donnes sur les appareils individuels, tels que la latitude et la longitude de lappareil.
Patternz dit quelle a un bras commercial et oprationnel dAdTech. Il sagit de Nuviad, qui est galement dirige par Rafi Ton. Nuviad interagit avec le rseau publicitaire de Google, ce qui lui permet daccder des donnes sur des millions dutilisateurs. Cette semaine, Google a dclar quil avait dcid de mettre fin au compte dAcheteur Autoris de Nuviad, qui est ce qui permet Nuviad dinteragir avec le rseau publicitaire de Google.
Un produit du NSO Group
Patternz est un produit de la socit isralienne de renseignement NSO Group, connue pour ses logiciels espions Pegasus qui peuvent infecter les tlphones des cibles et accder leurs donnes, appels, messages et camras. Selon les documents de marketing de NSO Group, Patternz est capable de collecter des donnes de localisation, des identifiants dappareils, des adresses IP, des informations dmographiques, des intrts, des comportements, des contacts, des rseaux sociaux et des historiques de navigation partir de millions dapplications partenaires. Ces donnes sont ensuite analyses et enrichies par des algorithmes dintelligence artificielle pour crer des profils dtaills des utilisateurs, qui peuvent tre recherchs, filtrs et visualiss par les clients de NSO Group.
NSO Group affirme que Patternz est destin aider les gouvernements lutter contre le terrorisme, le crime organis et la traite des tres humains, mais des experts en scurit et en droits de lhomme sinquitent du potentiel dabus et de violations de la vie prive des utilisateurs innocents. Ils soulignent galement le manque de transparence et de contrle sur la faon dont les donnes sont collectes, partages et utilises par les acteurs de lindustrie publicitaire et les entreprises despionnage. Certains pays ont dj pris des mesures pour rglementer ou interdire lutilisation de Patternz et dautres outils similaires, mais la plupart des utilisateurs ne sont pas conscients de lexistence de cette surveillance cache et de ses implications pour leur scurit et leur libert.
Le problme de l’empreinte numrique des appareils
Lorsqu’Apple a modifi les rgles pour obliger les applications vous demander la permission avant de vous suivre, il n’a pas fallu longtemps pour que les entreprises commencent travailler sur une mthode dtourne pour parvenir au mme rsultat : l’empreinte numrique de l’appareil.
Patternz conclut des accords avec des rseaux publicitaires plus petits, prts s’engager dans des pratiques douteuses, afin de recueillir les empreintes numriques des appareils et de les utiliser pour dclencher la surveillance. Si l’un des exemples cits concernait un utilisateur d’Android, la mme tactique fonctionne avec des dizaines de milliers d’applications iPhone :
Ton reconnat que la plateforme a t conue comme une plateforme de scurit nationale . Dans d’autres documents de marketing en ligne, Patternz se prsente spcifiquement aux agences de scurit nationale .
un moment donn de la vido, Ton clique sur un profil particulier. L’cran suivant affiche une multitude d’informations sur l’appareil en question et, par extension, sur la personne. Il s’agit notamment d’une longue liste de coordonnes GPS, dont Ton prcise que la prcision de localisation peut aller jusqu’ un mtre ; de l’adresse laquelle correspondent ces coordonnes ; des lieux frquemment visits par la personne, y compris l’adresse de son domicile et de son lieu de travail (qui, pour cette cible, se trouve dans un hpital situ proximit, prcise Ton) ; les applications spcifiques utilises par la personne (dans ce cas, « Caller ID & Block by CallApp » et « Truecall – Caller ID & Block ») ; la marque du tlphone et son systme d’exploitation (un Samsung fonctionnant sous Android 9) ; et une liste d’autres utilisateurs qui se trouvaient ct de la cible lorsqu’ils taient la maison et au travail.
Pour ce faire, ils utilisent abusivement un outil publicitaire en ligne et dans l’application, connu sous le nom d’enchres en temps rel. Si vous tes un fabricant de gadgets et que vous souhaitez vendre vos produits aux utilisateurs de l’iPhone 15 aux tats-Unis qui s’intressent aux voitures, vous pouvez entrer en concurrence avec d’autres annonceurs qui recherchent le mme public. Le processus d’enchres rvle le nombre d’utilisateurs disponibles correspondant votre public cible.
Le problme, c’est que les services de scurit peuvent se faire passer pour un soumissionnaire, dfinir un ensemble de critres extrmement prcis – au point d’identifier des individus particuliers – et obtenir ensuite une grande quantit de donnes sensibles sur ces personnes.
L’tude a identifi 61 894 applications iOS utilises de cette manire, l’insu des utilisateurs.
Conclusion
Cette affaire soulve des questions sur la protection de la vie prive des utilisateurs dapplications, qui sont souvent inconscients des pratiques de collecte de donnes des entreprises dAdTech. Elle montre galement comment le systme denchres en temps rel peut tre dtourn des fins despionnage par des gouvernements potentiellement hostiles. Il est donc ncessaire de renforcer la rglementation et la transparence de lindustrie de la publicit en ligne, afin de prvenir les abus et de respecter les droits des utilisateurs.
Source : rapport
Et vous ?
Que pensez-vous de lutilisation du systme denchres en temps rel par des entreprises dAdTech malveillantes pour espionner les gens ?
Quelles sont les consquences potentielles de cette activit despionnage sur la vie prive, la scurit et les droits des utilisateurs dapplications ?
Quelles mesures devraient tre prises pour rguler et contrler lindustrie de la publicit en ligne, afin de prvenir les abus et de protger les utilisateurs ?
Avez-vous dj t victime ou tmoin dune tentative despionnage ou de piratage via des publicits en ligne ?
Faites-vous confiance aux entreprises dAdTech qui collectent et traitent vos donnes personnelles ? Si oui, pourquoi ? Si non, comment vous protgez-vous ?
Quels sont les risques et les consquences de la surveillance tlphonique pour la vie prive et les liberts individuelles des citoyens ?
Quels sont les droits et les devoirs des utilisateurs de tlphones face la surveillance tlphonique et comment peuvent-ils se protger ou se dfendre ?
Quelles sont les alternatives ou les solutions possibles pour concilier la surveillance tlphonique et le respect des droits humains ?