Selon une étude publiée le lundi 6 novembre par des chercheurs de l'université Duke, des informations personnelles sensibles telles que l'adresse apparente du domicile et l'état de santé de milliers de militaires américains en service actif peuvent être achetées à bas prix en ligne auprès de "courtiers en données".Les chercheurs ont pu acheter des données sur les militaires en se basant sur la géolocalisation, notamment pour savoir s'ils vivaient ou travaillaient près de Fort Bragg, Quantico ou d'autres sites militaires sensibles. Dans certains cas, ils ont pu acheter les données pour seulement 0,12 dollar par enregistrement.
L'étude rappelle les préoccupations de longue date des autorités américaines et d'experts extérieurs en matière de sécurité nationale, à savoir qu'un service de renseignement étranger, par exemple, pourrait se faire une idée de la localisation et de la vulnérabilité des membres de l'armée américaine simplement en achetant ces informations en ligne. Les escrocs pourraient également utiliser ces données pour traquer ou faire chanter des familles de militaires, ont conclu les chercheurs.
Les chercheurs ont tiré parti d'un vaste écosystème de courtiers en données aux États-Unis, qui s'étend des grandes agences d'évaluation du crédit aux obscures sociétés d'analyse, en passant par les applications mobiles qui vendent discrètement les données de localisation des utilisateurs. Il existe encore peu de restrictions légales aux États-Unis concernant l'achat et la vente de ces données.
"Il était beaucoup trop facile d'obtenir ces données : un simple domaine, 12 cents par membre du service, et aucune vérification des antécédents de nos achats", a déclaré Justin Sherman, chercheur principal à la Sanford School of Public Policy de Duke, qui dirige le projet de recherche sur le courtage de données.
"Si notre équipe de recherche, soumise à l'éthique de la recherche universitaire et aux processus de protection de la vie privée, pouvait faire cela dans le cadre d'une étude universitaire, un adversaire étranger pourrait obtenir des données en un clin d'œil pour établir le profil, faire chanter ou cibler le personnel militaire", a déclaré M. Sherman.
Les courtiers en données achètent des informations personnelles, notamment des numéros de sécurité sociale, des noms, des adresses, des revenus, des antécédents professionnels, des antécédents criminels et d'autres éléments, qui peuvent ensuite être utilisés pour mener des enquêtes d'information légitimes, telles que des vérifications d'antécédents et des vérifications de crédit.
Toutefois, les autorités de réglementation les soumettent à un examen de plus en plus minutieux. En août, le Consumer Financial Protection Bureau a déclaré qu'il étudiait de nouvelles règles qui interdiraient aux courtiers en données de vendre certaines informations, sauf dans des circonstances spécifiques.
La Commission fédérale du commerce (FTC) étudie actuellement de nouvelles règles visant à réprimer les courtiers en données.
"Nous ne pouvons pas commenter les pratiques spécifiques d'une entreprise", a déclaré un porte-parole de la FTC. "Toutefois, nous avons à maintes reprises exprimé nos inquiétudes quant aux pratiques des courtiers en données et à leur impact potentiel sur la vie privée des consommateurs. Nous sommes prêts à prendre des mesures à l'encontre de toute entreprise qui ne protège pas les données des consommateurs et ne respecte pas les lois applicables, telles que le Fair Credit Reporting Act (loi sur l'information en matière de crédit)."
Le sénateur Ron Wyden, un démocrate de l'Oregon qui a parrainé une législation visant à imposer des restrictions aux courtiers en données, a qualifié l'étude de Duke de "sonnette d'alarme pour les décideurs politiques : l'industrie des courtiers en données est hors de contrôle et constitue une menace sérieuse pour la sécurité nationale des États-Unis".
"Les États-Unis ont besoin d'une solution globale pour protéger les données des Américains contre les nations inamicales plutôt que de se concentrer sur des pansements inefficaces comme l'interdiction de TikTok", a déclaré M. Wyden dans un communiqué.
"Le ministère [de la défense] prend très au sérieux les intérêts de son personnel en matière de protection de la vie privée", a déclaré Timothy Gorman, porte-parole du bureau du secrétaire à la défense, dans une déclaration en réponse à l'étude de Duke. "Il existe une quantité importante et croissante d'informations disponibles dans le commerce, ce qui soulève des préoccupations en matière de protection de la vie privée, de libertés civiles, de sécurité nationale, de menaces pour les membres des forces armées de la part de nos adversaires, et de risques pour la sécurité opérationnelle."
Le Pentagone, a ajouté M. Gorman, "a la responsabilité de protéger les intérêts des individus en matière de vie privée et continuera d'insister auprès de son personnel sur l'importance de maintenir, de former et de mettre en œuvre des garanties solides pour protéger les intérêts de notre population en matière de vie privée".
Le Pentagone et les services de renseignement américains s'inquiètent depuis longtemps de la manière dont les espions étrangers pourraient exploiter le marché des données personnelles sur les Américains.
La grande quantité de données personnelles en vente en ligne est un outil "de plus en plus puissant" pour la collecte de renseignements par les agences d'espionnage américaines et étrangères, mais représente également un risque pour la vie privée des gens ordinaires, a déclaré un rapport des services de renseignement américains déclassifié cette année.
En 2018, le Pentagone a annoncé l'interdiction pour le personnel déployé d'utiliser des trackers de fitness, des smartphones et potentiellement même des applications de rencontres qui utilisent des fonctions de géolocalisation. Cela faisait suite à un examen de ces pratiques après que Strava, une application de suivi de la condition physique, ait pu révéler par inadvertance les emplacements des forces de sécurité dans le monde entier.
Voici un extrait de l'étude publiée par les chercheurs de l'Université de Duke :
Courtiers en données et vente de données sur le personnel militaire américain
Risques pour la vie privée, la sécurité et la sûreté nationale
Vue d'ensemble :
L'écosystème du courtage de données est une industrie de plusieurs milliards de dollars composée d'entreprises qui collectent, déduisent, agrègent, puis vendent, concèdent sous licence et partagent des données sur les Américains, tout en fournissant des services technologiques basés sur ces données. Après avoir découvert que des courtiers en données faisaient de la publicité pour des données sur le personnel militaire américain actuel et ancien, cette étude a cherché à comprendre (a) quels types de données les courtiers en données collectaient et vendaient sur les militaires et (b) le risque qu'un acteur étranger, tel qu'un gouvernement adverse, puisse acquérir ces données pour porter atteinte à la sécurité nationale des États-Unis. Cette étude a consisté à rechercher des termes tels que "militaire" et "vétéran" sur des centaines de sites web de courtiers en données, à contacter des courtiers en données américains à partir d'un domaine américain pour se renseigner sur les données relatives à l'armée américaine et les acheter, et à contacter des courtiers en données américains à partir d'un domaine .asia pour se renseigner sur les données relatives à l'armée américaine et les acheter. Le rapport se termine par une analyse des risques pour les militaires américains et la sécurité nationale des États-Unis, assortie de recommandations politiques à l'intention du gouvernement fédéral pour faire face à ces risques.
Principaux points à retenir :
Risques pour la vie privée, la sécurité et la sûreté nationale
Vue d'ensemble :
L'écosystème du courtage de données est une industrie de plusieurs milliards de dollars composée d'entreprises qui collectent, déduisent, agrègent, puis vendent, concèdent sous licence et partagent des données sur les Américains, tout en fournissant des services technologiques basés sur ces données. Après avoir découvert que des courtiers en données faisaient de la publicité pour des données sur le personnel militaire américain actuel et ancien, cette étude a cherché à comprendre (a) quels types de données les courtiers en données collectaient et vendaient sur les militaires et (b) le risque qu'un acteur étranger, tel qu'un gouvernement adverse, puisse acquérir ces données pour porter atteinte à la sécurité nationale des États-Unis. Cette étude a consisté à rechercher des termes tels que "militaire" et "vétéran" sur des centaines de sites web de courtiers en données, à contacter des courtiers en données américains à partir d'un domaine américain pour se renseigner sur les données relatives à l'armée américaine et les acheter, et à contacter des courtiers en données américains à partir d'un domaine .asia pour se renseigner sur les données relatives à l'armée américaine et les acheter. Le rapport se termine par une analyse des risques pour les militaires américains et la sécurité nationale des États-Unis, assortie de recommandations politiques à l'intention du gouvernement fédéral pour faire face à ces risques.
Principaux points à retenir :
- Il n'est pas difficile d'obtenir des données sensibles sur les militaires en service actif, leurs familles et les anciens combattants, y compris des données non publiques, identifiées individuellement et sensibles, telles que des données sur la santé, des données financières et des informations sur les pratiques religieuses. L'équipe a acheté ces données et d'autres auprès de courtiers en données américains par l'intermédiaire d'un domaine .org et d'un domaine .asia pour un prix aussi bas que 0,12 $ par enregistrement. Des données de localisation sont également disponibles, mais l'équipe ne les a pas achetées.
- Les méthodes utilisées par les courtiers en données pour déterminer l'identité des clients sont incohérentes et témoignent d'un manque de bonnes pratiques dans le secteur.
- À l'heure actuelle, ces pratiques incohérentes sont très peu réglementées par le gouvernement américain.
- Les incohérences des contrôles lors de l'achat de données sensibles, non publiques et identifiées individuellement concernant les militaires en service actif et les anciens combattants s'étendent aux situations dans lesquelles les courtiers en données vendent à des clients qui se trouvent en dehors des États-Unis.
- L'accès à ces données pourrait être utilisé par des acteurs étrangers et malveillants pour cibler les militaires en service actif, les vétérans, leurs familles et leurs connaissances à des fins de profilage, de chantage, de ciblage par des campagnes d'information, etc.
Et vous ?
Quelle lecture faites-vous de cette situation ? Trouvez-vous que les résultats de l'étude de l'Université de Duke sont fiables et pertinentes ? Quel est votre point de vue sur les implications pour la sécurité nationale de l'achat de données sensibles par des courtiers en données ? Pensez-vous que des règles plus strictes devraient être imposées aux courtiers en données afin d'empêcher la vente d'informations sensibles ?Voir aussi
Les services de renseignement confirment qu'ils achètent les données personnelles disponibles, parmi lesquelles les données de smartphones, de véhicules connectés ou de navigation web L'armée américaine aurait acheté un outil de surveillance capable d'épier plus de 90 % du trafic Internet mondial et qui, dans certains cas, permet d'accéder aux données des emails des personnes Les startups technologiques vendent à l'armée et à la police des dispositifs avancés de surveillance et d'espionnage, malgré les risques d'utilisation abusive et de violation de la vie privée