COMMENT NOS SMART­PHONES NOUS ES­PIONNENT

Bilan - - Dossier -

O  et An­dré Mintz sont deux ar­tistes di­gi­taux. En 2016, ils ont lan­cé le pro­jet dea­dar­tist.me, un pe­tit jeu ap­pa­rem­ment fu­tile sur Fa­ce­book. Il consis­tait à dé­cou­vrir de quel ar­tiste on est la ré­in­car­na­tion. Grâce à l’ac­cès au pro­fil des par­ti­ci­pants et à ce­lui de leurs amis qu’ac­cep­taient les uti­li­sa­teurs cli­quant sur les condi­tions gé­né­rales de dea­dar­tist.me, le tan­dem a re­cons­ti­tué des mil­liers de cartes de dif­fu­sion de nou­velles, de ré­seaux d’amis… Quelque chose d’as­sez gra­phique. Ol­ga Lu­kya­no­va et An­dré Mintz n’ima­gi­naient pas que leur pro­jet an­non­çait le plus grand scan­dale de l’his­toire des ré­seaux so­ciaux: l’af­faire Cam­bridge Ana­ly­ti­ca.

Ce dont Cam­bridge Ana­ly­ti­ca est le nom

Ce scan­dale qui éclate en mars der­nier contient en lui-même toutes les dé­rives ren­dues pos­sibles avec la mois­son sys­té­ma­tique d’in­for­ma­tions per­son­nelles et leur trai­te­ment par des tech­no­lo­gies de big da­ta et de plus en in­tel­li­gence ar­ti­fi­cielle uti­li­sées par les géants d’in­ter­net. Après les ré­vé­la­tions du lan­ceur d’alerte Ed­ward Snow­den, le monde avait pris conscience des moyens dé­me­su­rés dé­ployés par les Etats pour la sur­veillance élec­tro­nique. «Avec Cam­bridge Ana­ly­ti­ca, on réa­lise que les tech­no­lo­gies uti­li­sées pour le ci­blage pu­bli­ci­taire peuvent ser­vir à la pro­pa­gande po­li­tique et à la ma­ni­pu­la­tion des opi­nions», ex­plique Alexis Fitz­jean O’Cobh­thaigh, avo­cat et membre de la Qua­dra­ture du net, prin­ci­pale ONG qui mi­lite en France contre la sur­veillance élec­tro­nique.

Il faut dire que l’af­faire Cam­bridge Ana­ly­ti­ca, c’est un peu un épi­sode de la sé­rie Black Mir­ror. En l’es­pèce, l’en­tre­prise bri­tan­nique a mis en place un ques­tion­naire d’ap­pa­rence ano­dine (sous cou­vert de re­cherche uni­ver­si­taire) qu’elle a dif­fu­sé sur Fa­ce­book. Ce­la lui a per­mis de ré­cu­pé­rer les don­nées per­son­nelles des 270 000 uti­li­sa­teurs qui ont ré­pon­du au ques­tion­naire et à tra­vers l’ou­til So­cial graph de leurs amis Fa­ce­book. Au to­tal, les don­nées de 87 mil­lions d’uti­li­sa­teurs, leurs like, leurs pho­tos… si­tués pour l’es­sen­tiel aux Etats-Unis.

Ce­la ne s’ar­rête pas là. Cam­bridge Ana­ly­ti­ca a en­suite croi­sé ces in­for­ma­tions avec les don­nées qu’on peut ache­ter chez les da­ta bro­kers amé­ri­cains (notes de cré­dit uti­li­sées par les banques, marques de voi­tures ache­tées…). Puis, elle a mou­li­né ces in­for­ma­tions au tra­vers de son mo­dèle de pro­fi­lage psy­cho­lo­gique. Se­lon les dé­cla­ra­tions au Guar­dian de Chris­to­pher Wy­lie, em­ployé de Cam­bridge Ana­ly­ti­ca qui a lan­cé l’alerte: «Nous nous sommes ser­vis de Fa­ce­book pour ré­cu­pé­rer le pro­fil de mil­lions de per­sonnes. Nous avons construit des mo­dèles pour ex­ploi­ter ces con­nais­sances et ci­bler leurs dé­mons in­té­rieurs.»

Il est de no­to­rié­té pu­blique que ces in­for­ma­tions ont ser­vi lors de la cam­pagne de Do­nald Trump. Sans consé­quence pour le pré­sident amé­ri­cain. Même si Fa­ce­book a cou­pé les ponts avec Cam­bridge Ana­ly­ti­ca à la veille du scan­dale, que son CEO, Mark Zu­cker­berg, a dû s’ex­pli­quer en avril de­vant le Congrès amé­ri­cain, et qu’elle vient d’être con­dam­née par la jus­tice bri­tan­nique à une amende de 500 000 livres (le maxi­mum en fonc­tion de la loi en vi­gueur à l’époque des faits) pour «in­frac­tions sé­rieuses à la loi sur la pro­tec­tion des don­nées», au fi­nal, l’en­tre­prise a bien ap­por­té quelques cor­rec­tifs mais sa ma­nière d’opé­rer n’a pas chan­gé fon­da­men­ta­le­ment.

Lan­ceurs d’alerte

Comment le pour­rait-elle? Comme l’ex­plique la so­cio­logue Zey­nep Tu­fek­ci dans le do­cu­men­taire en deux vo­lets que Front­line, l’émis­sion phare du jour­na­lisme d’in­ves­ti­ga­tion aux Etats-Unis, vient de dif­fu­ser sur Fa­ce­book: «Le mo­dèle d’af­faires de Fa­ce­book est ba­sé sur une ma­chine de sur­veillance.» On ap­prend ain­si comment l’en­tre­prise consti­tue des «sha­dow pro­files» de gens qui ne sont même pas uti­li­sa­teurs du ré­seau. Et comment elle uti­lise des mi­cro-images ca­chées dans un conte­nu afin de suivre dans le dé­tail la na­vi­ga­tion des in­ter­nautes (c’est une des tech­no­lo­gies à la base du ci­blage pu­bli­ci­taire qui fait qu’une pub vous suit comme par ma­gie de site en site).

«On réa­lise que les tech­no­lo­gies uti­li­sées pour le ci­blage pu­bli­ci­taire peuvent ser­vir à la pro­pa­gande po­li­tique et à la ma­ni­pu­la­tion des opi­nions» Fitz­jean O’Cobh­thaigh, avo­cat

Ce­pen­dant, si Fa­ce­book a été pla­cé en pre­mière ligne par l’af­faire Cam­bridge Ana­ly­ti­ca, c’est en réa­li­té toute l’éco­no­mie nu­mé­rique qui est confron­tée au même di­lemme. «Le mo­dèle ac­tuel oblige les uti­li­sa­teurs à four­nir leurs don­nées aux géants du web en échange d’un ser­vice. Et, comme nous l’avons tous dé­cou­vert, ce­la n’a pas été dans notre meilleur in­té­rêt», ana­lyse sur son blog, en sep­tembre der­nier, Tim Ber­ners-Lee, coin­ven­teur du World Wide Web lors­qu’il était au CERN à Ge­nève.

Il n’est pas le seul «in­si­der» à s’in­quié­ter. Le di­rec­teur ju­ri­dique de Mi­cro­soft, Brad Smith, ap­pe­lait ré­cem­ment les gou­ver­ne­ments à en­ca­drer l’usage de la re­con­nais­sance fa­ciale. D’an­ciens cadres de Fa­ce­book comme Cha­math Pa­li­ha­pi­tiya (ex-vice-pré­sident pour la crois­sance des uti­li­sa­teurs) ou de Google, comme Guillaume Chas­lot (ex-in­gé­nieur de YouTube), sont de­ve­nus des lan­ceurs d’alerte.

Lors de sa pré­sen­ta­tion de­vant le Par­le­ment eu­ro­péen à Bruxelles le 24 oc­tobre der­nier, le pa­tron d’Apple, Tim Cook, a été jus­qu’à dé­cla­rer que «le ras­sem­ble­ment des in­for­ma­tions nu­mé­riques par les en­tre­prises s’était trans­for­mé en une arme agis­sant contre les par­ti­cu­liers avec une ef­fi­ca­ci­té mi­li­taire». Il a ajou­té que «les al­go­rithmes qui nous fa­ci­litent la vie savent éga­le­ment par­fai­te­ment faire res­sor­tir nos pires dé­fauts» avant d’ap­pe­ler à une ver­sion amé­ri­caine du Rè­gle­ment gé­né­ral sur la pro­tec­tion des don­nées (RGPD) en­tré en vi­gueur dans l’Union eu­ro­péenne en mai der­nier.

For­cé­ment, en­tendre le pa­tron d’un des GA­FAM (Google, Apple, Fa­ce­book, Ama­zon, Mi­cro­soft) s’émou­voir de cette sur­veillance gé­né­ra­li­sée in­ter­roge. Certes, Apple s’est fait le cham­pion de la pro­tec­tion des don­nées. Ce­la étant, comme le re­marque Ber­nard Be­noit, res­pon­sable de White Noise, le sys­tème de cryp­tage pour la té­lé­pho­nie mo­bile du groupe Ku­dels­ki, «l’ad­mi­nis­tra­tion amé­ri­caine uti­lise prin­ci­pa­le­ment des té­lé­phones Sam­sung co­réens pour les com­mu­ni­ca­tions sé­cu­ri­sées».

Bonne ques­tion qui ren­voie à celle de sa­voir comment nos in­for­ma­tions per­son­nelles sont col­lec­tées? En bref: avec, mais aus­si sans notre consen­te­ment et dans la plus grande opa­ci­té.

L’éco­sys­tème de la sur­veillance

Le pre­mier ni­veau de cette col­lecte géante, c’est ce­lui des ap­pli­ca­tions. «Beau­coup col­lectent da­van­tage de don­nées que ce qu’elles an­noncent», re­lève Ber­nard Be­noit. Y com­pris la plu­part de celles qui n’ont à pre­mière vue rien à voir avec Fa­ce­book, Ama­zon et consorts. «Pour al­ler vite, les dé­ve­lop­peurs d’ap­pli­ca­tions ont re­cours à des li­brai­ries tierces ou API», ex­plique Ju­lien Probst, vice-pré­sident char­gé des ini­tia­tives stra­té­giques de l’en­tre­prise de cy­ber­sé­cu­ri­té In­foSec Glo­bal. C’est ce qui per­met d’ajou­ter des fonc­tion­na­li­tés comme le lo­gin sim­pli­fié à par­tir de son compte Fa­ce­book ou Lin­kedIn, d’ou­vrir Google Maps pour la géo­lo­ca­li­sa­tion ou qu’une ap­pli­ca­tion de­mande l’ac­cès au car­net d’adresses, à la ca­mé­ra, au mi­cro…

Pour ré­pondre à des be­soins de sta­tis­tiques, ces API pro­prié­taires ren­voient sys­té­ma­ti­que­ment de l’in­for­ma­tion à leurs édi­teurs d’ori­gine. Ne se­rait-ce que pour comp­ter le nombre d’uti­li­sa­teurs et ré­per­to­rier les dis­po­si­tifs mo­biles. «Mais on ne sait pas tou­jours ce qui est par­ta­gé comme in­for­ma­tion», pour­suit Ju­lien Probst. «Le code de ces API pro­prié­taires n’étant pas ou­vert, on ne sait pas ce qui se passe», ré­sume Alexis Fitz­jean O’Cobh­thaigh.

Grâce à des tra­vaux de re­cherche, on en a quand même une pe­tite idée. Des cher­cheurs de l’Uni­ver­si­té Nor­theas­tern à Bos­ton ont, par exemple, vou­lu vé­ri­fier

si, comme le pré­tend une lé­gende ur­baine, cer­taines apps écoutent nos conver­sa­tions au tra­vers du mi­cro de notre smart­phone. Pour ce faire, ils ont tes­té 17 260 des ap­pli­ca­tions les plus po­pu­laires sur An­droid, y in­clus Fa­ce­book et 8000 autres apps qui ren­voient des in­for­ma­tions au ré­seau so­cial.

Ré­sul­tat? Pas la moindre trace d’ou­ver­ture in­tem­pes­tive des mi­cros. Par contre, un dé­tail troublant: nombre de ces apps font des pho­tos ou des vi­déos pour cap­tu­rer l’écran de l’uti­li­sa­teur qu’elles en­voient à des tiers comme App­see, en­tre­prise d’ana­lyses des don­nées mo­biles. Sans que rien ne l’in­dique nulle part...

Dans un re­gistre com­pa­rable, le pro­fes­seur Karl Abe­rer et son équipe du la­bo­ra­toire des sys­tèmes d’in­for­ma­tion dis­tri­buée à l’EPFL ont fait une cu­rieuse dé­cou­verte dans les ap­pli­ca­tions de Drive, ser­vice cloud de Google. «En­vi­ron deux tiers de la cen­taine d’apps (construites par des tiers pour ex­ploi­ter ce ser­vice) que nous avons ana­ly­sées bé­né­fi­cient d’ac­cès sur­pri­vi­lé­giés», ex­plique-t-il. En d’autres termes, elles ont ac­cès à des in­for­ma­tions dont elles n’ont pas be­soin pour rem­plir leurs fonc­tions. Il cite l’exemple d’un conver­tis­seur PDF qui a ac­cès à la bi­blio­thèque mu­si­cale ou à l’al­bum pho­tos géo­lo­ca­li­sées de l’uti­li­sa­teur… «Pour­quoi, si ce n’est pour mois­son­ner des don­nées per­son­nelles?»

Tout est col­lec­té

Certes, dans ces deux cas, ce sont des dé­ve­lop­peurs tiers qui uti­lisent les pla­te­formes des géants du net pour ob­te­nir plus d’in­for­ma­tions per­son­nelles. Mais per­sonne n’a vrai­ment de doute sur le fait que ces der­niers col­lectent plus d’in­for­ma­tions sur nous que ce que nous leur don­nons dé­jà en toute conscience. «Tout est po­ten­tiel­le­ment col­lec­té», af­firme sim­ple­ment Karl Abe­rer.

Des cher­cheurs de l’Uni­ver­si­té de Van­der­bilt, à Na­sh­ville, ont ain­si ren­du pu­blique une étude en août der­nier sur la ma­nière dont Google col­lecte des in­for­ma­tions ac­ti­ve­ment (via l’uti­li­sa­tion de ses pro­duits comme Ch­rome ou YouTube), mais aus­si pas­si­ve­ment. Ils ont mon­tré qu’un té­lé­phone An­droid – même in­ac­tif et im­mo­bile – se connecte 900 fois par jour avec les ser­veurs de Google, dont pas moins de 300 fois pour com­mu­ni­quer sa po­si­tion.

CEO de la pla­te­forme d’in­for­ma­tions éco­no­miques Bu­si­ness-Mo­ni­tor.ch, Florent Schlaep­pi ajoute à ce ta­bleau le rôle des ou­tils d’ana­ly­tique. «Beau­coup de web­mas­ters uti­lisent Google Ana­ly­tics qui, par construc­tion, par­tage les don­nées avec Google. Vous pou­vez être un dé­ve­lop­peur suisse, hé­ber­gé en Suisse, si vous uti­li­sez cet ou­til, fa­ta­le­ment vous al­lez par­ta­ger les in­for­ma­tions sur le tra­fic de votre site avec Google. C’est une des rai­sons pour les­quelles les grandes en­tre­prises qui veulent gar­der ces in­for­ma­tions uti­lisent des ou­tils d’ana­lyse payants.» Chez Ku­dels­ki, Ber­nard Be­noit pointe le cas si­mi­laire du push no­ti­fi­ca­tion pour ap­pli­ca­tions mo­biles Fi­re­base de Google. «Il col­lecte l’âge, le sexe, le pays de ré­si­dence, les in­té­rêts de la per­sonne, sa langue, y com­pris si l’ap­pli­ca­tion tourne sur iOS d’Apple.»

Les uti­li­sa­teurs se mé­fient

Certes, cette col­lecte fré­né­tique de don­nées est lé­gale. Elle est gé­né­ra­le­ment jus­ti­fiée par l’idée de four­nir une meilleure ex­pé­rience uti­li­sa­teur. Mais, en de­hors du fait que ces don­nées sont pillées par des ha­ckers avec une ré­gu­la­ri­té mé­tro­no­mique (ré­vé­la­tion sur les puces es­pion chi­noises sur les cartes mères Su­perMi­cro en oc­tobre, 50 mil­lions de comptes Fa­ce­book ha­ckés en sep­tembre…), la gi­gan­tesque col­lecte de don­nées per­son­nelles or­ches­trées par les géants du net dé­bouche sur une mé­fiance crois­sante des uti­li­sa­teurs.

Aux Etats-Unis, se­lon une étude du Pew Re­search Cen­ter, 26% des uti­li­sa­teurs de Fa­ce­book âgés de plus de 18 ans ont ain­si sup­pri­mé l’ap­pli­ca­tion de leur smart­phone au cours de l’an­née écou­lée. Une pro­por­tion qui at­teint même 44% chez les uti­li­sa­teurs âgés de 18 à 29 ans. En

Des cher­cheurs ont mon­tré qu’un té­lé­phone An­droid – même in­ac­tif et im­mo­bile –

se connecte 900 fois par jour avec les ser­veurs de Google

Suisse, une étude de l’or­ga­nisme de re­cherche So­to­mo pour la Fon­da­tion Sa­ni­tas As­su­rance Ma­la­die, ren­due pu­blique en juin der­nier, ré­vèle que plus de 70% des Hel­vètes désac­tivent cer­taines fonc­tions de leur smart­phone comme la géo­lo­ca­li­sa­tion pour pro­té­ger leurs don­nées per­son­nelles.

Le pro­blème que re­lève ce­pen­dant le ju­riste spé­cia­li­sé Fran­çois Char­let, «c’est que même si vous re­fu­sez à une ap­pli­ca­tion d’ou­vrir le GPS vous avez sou­vent dé­jà ac­cep­té le prin­cipe de la géo­lo­ca­li­sa­tion dans les condi­tions gé­né­rales d’une app. Par consé­quent, si le GPS est éteint, Fa­ce­book ou Google ne vous lo­ca­li­se­ra pas par ce biais, mais il pour­ra le faire par d’autres moyens comme l’adresse IP du ré­seau wi-fi que vous uti­li­sez.» «C’est truf­fé de pièges», confirme Karl Abe­rer.

Ce fouillis dans des condi­tions gé­né­rales que per­sonne ne lit – un groupe de dé­fense de consom­ma­teurs aus­tra­liens a de­man­dé à un ac­teur de lire à haute voix celles du Kindle d’Ama­zon, soit 73 198 mots en 9 heures – a conduit l’Union eu­ro­péenne à mettre en place le RGPD en­tré en vi­gueur le 25 mai der­nier. «C’est une Lex GA­FAM avec des sanc­tions très lourdes puisque les amendes peuvent al­ler jus­qu’à 4% du chiffre d’af­faires mon­dial de l’en­tre­prise», ex­plique Fran­çois Char­let.

Sur le pa­pier, ce RGPD ap­porte des pro­grès si­gni­fi­ca­tifs: droit à l’ac­cès et à l’ef­fa­ce­ment de ses don­nées per­son­nelles et sur­tout consen­te­ment ex­pli­cite. Mais le diable est dans les dé­tails. Comme l’ex­plique Alexis Fitz­jean O’Cobh­thaigh à la Qua­dra­ture du Net, «l’ar­ticle 7 du RGPD in­dique que le consen­te­ment est libre et pas su­bor­don­né à l’ac­cès au ser­vice. Or, c’est exac­te­ment le contraire qui se passe. Les GA­FAM vous re­fusent tout sim­ple­ment l’ac­cès à leurs ser­vices si vous ne consen­tez pas à leur don­ner ac­cès à vos don­nées per­son­nelles.»

La Qua­dra­ture du Net a lan­cé une plainte col­lec­tive contre les GA­FAM à ce su­jet. Pour cou­ra­geuse et même fon­dée qu’elle soit, cette ini­tia­tive fait face à un bull­do­zer. L’éco­sys­tème construit par les géants du net re­pose sur la mois­son des don­nées per­son­nelles. C’est ce qui lui per­met de prendre un par un des pans en­tiers d’ac­ti­vi­tés éco­no­miques. De même que «le lo­gi­ciel dé­vore le monde» se­lon le mot cé­lèbre de l’in­ven­teur des na­vi­ga­teurs web Marc An­drees­sen, la col­lecte des don­nées per­son­nelles concentre le pou­voir éco­no­mique.

Après les mé­dias, le com­merce, le tou­risme, le tran­sport (Uber), l’hô­tel­le­rie (Airbnb), Ama­zon pré­pare main­te­nant son of­fen­sive dans la san­té et Fa­ce­book dans la banque. Avec l’avan­tage du big da­ta et tant pis si ce­la pro­voque la po­la­ri­sa­tion et la ra­di­ca­li­sa­tion des opi­nions. Dans la da­ta eco­no­my, seuls les riches de­viennent plus riches.

Chris­to­pher Wy­lie, em­ployé de Cam­bridge Ana­ly­ti­ca, a aler­té l’opi­nion sur l’uti­li­sa­tion des pro­fils.

Florent Schlaep­pi, CEO de Bu­si­ness-Mo­ni­tor.ch, in­siste sur le rôle des ou­tils d’ana­lyse.

Karl Abe­rer, pro­fes­seur à l’EPFL: «Tout est po­ten­tiel­le­ment col­lec­té.»

Newspapers in French

Newspapers from Switzerland

© PressReader. All rights reserved.