Deux entreprises, Patternz et Nuviad, sont accusées de traquer des individus ciblés par des services de sécurité, en utilisant abusivement le système d’enchères en temps réel de l’industrie de la publicité en ligne. Ces entreprises auraient conclu des accords avec des réseaux publicitaires de moindre envergure, prêts à se livrer à des pratiques douteuses, pour collecter les empreintes numériques des appareils, et les utiliser pour déclencher une surveillance. Des dizaines de milliers d'applications téléphoniques jouent un rôle à leur insu. Les agences de sécurité nationale du monde entier, leurs clients, pouvant cibler avec précision une personne d'intérêt, suivre ses déplacements, surveiller sa proximité avec d'autres personnes et même envoyer des logiciels malveillants sur ses appareils.Le PDG des deux entreprises est Rafi Ton, qui se présente comme un expert en intelligence artificielle et en analyse de données. Il affirme que son entreprise Patternz peut aider les clients à identifier les menaces potentielles, à prévenir les attaques terroristes et à protéger les infrastructures critiques. Il prétend également que son autre entreprise, Nuviad, est une plateforme publicitaire innovante qui permet aux annonceurs d’atteindre des audiences ciblées.
Mais selon une enquête menée par le journaliste Joseph Cox, ces entreprises sont en réalité impliquées dans une activité d’espionnage à grande échelle, qui commence par des publicités [sur des dizaines de milliers d'applications ordinaires, y compris des applications populaires telles que 9gag, Kik et une série d'applications d'identification de l'appelant] et se termine par l'aspiration des utilisateurs des applications dans un puissant outil de surveillance de masse, qui profite entre autres aux agences de sécurité nationale. Ces dernières peuvent alors suivre l'emplacement physique, les loisirs et les membres de la famille des personnes pour établir des milliards de profils. Cox a obtenu des documents de marketing de Patternz, qui décrivent comment l’entreprise peut suivre la localisation physique, les hobbies, et les membres de la famille des personnes. L’entreprise dit également qu’elle peut aider à infecter les cibles par des logiciels malveillants.
L'enquête, qui s'appuie sur des documents marketing et des vidéos désormais supprimés, sur une analyse technique légale et sur des recherches menées par des défenseurs de la vie privée, fournit l'un des examens les plus clairs à ce jour de la manière dont les publicités diffusées dans des applications mobiles ordinaires peuvent en fin de compte conduire à la surveillance par des sociétés d'espionnage et leurs clients gouvernementaux par l'intermédiaire de la chaîne d'approvisionnement en données d'enchères en temps réel. Cette chaîne implique de petites sociétés de publicité obscures et des géants de l'industrie de la publicité tels que Google.
Suite à la publication de l'enquête, Google et PubMatic, une autre société de publicité, ont décidé de couper les ponts avec une entreprise liée à la société de surveillance.
« La machine de surveillance omniprésente qui a été développée pour la publicité numérique permet désormais directement la surveillance de masse par les gouvernements. De nombreuses entreprises, des éditeurs d'applications aux annonceurs en passant par les grandes entreprises technologiques, agissent de manière totalement irresponsable. Cela doit cesser », a déclaré Wolfie Christl, directeur de Cracked Labs, un institut de recherche autrichien et coauteur d'un article publié l'année dernière sur cet outil de surveillance.
Patternz, un outil de surveillance de masse
L'outil de surveillance de masse en question s'appelle Patternz. Dans une vidéo téléchargée sur YouTube en janvier 2023, qui a été retirée lorsque des enquêtes ont commencé à être menées, Rafi Ton, PDG de Patternz, déclare que « nous analysons le comportement de plus de 600 000 applications ». Une diapositive qu'il présente dans la vidéo indique que « le téléphone portable devient le bracelet de suivi de facto » et suggère que le suivi peut être réalisé par « pratiquement n'importe quelle application qui a des publicités ». La vidéo semble être une démonstration que Ton fait à des clients potentiels pour le système Patternz. Le contexte de la présentation est que Patternz doit contrer le COVID-19, mais Ton reconnaît que la plateforme a été conçue comme une « plateforme de sécurité intérieure ». Dans d'autres documents de marketing en ligne, Patternz s'adresse spécifiquement aux « agences de sécurité nationale ».
Patternz utilise le système d’enchères en temps réel, qui est un outil publicitaire qui permet aux entreprises de l’industrie de la publicité en ligne de se faire concurrence pour placer leur publicité devant un certain type d’utilisateur. Mais un effet secondaire est que les entreprises, y compris les sociétés de surveillance, peuvent obtenir des données sur les appareils individuels, tels que la latitude et la longitude de l’appareil.
Patternz dit qu’elle a un “bras commercial et opérationnel d’AdTech”. Il s’agit de Nuviad, qui est également dirigée par Rafi Ton. Nuviad interagit avec le réseau publicitaire de Google, ce qui lui permet d’accéder à des données sur des millions d’utilisateurs. Cette semaine, Google a déclaré qu’il avait décidé de mettre fin au compte d’Acheteur Autorisé de Nuviad, qui est ce qui permet à Nuviad d’interagir avec le réseau publicitaire de Google.
Un produit du NSO Group
Patternz est un produit de la société israélienne de renseignement NSO Group, connue pour ses logiciels espions Pegasus qui peuvent infecter les téléphones des cibles et accéder à leurs données, appels, messages et caméras. Selon les documents de marketing de NSO Group, Patternz est capable de collecter des données de localisation, des identifiants d’appareils, des adresses IP, des informations démographiques, des intérêts, des comportements, des contacts, des réseaux sociaux et des historiques de navigation à partir de millions d’applications partenaires. Ces données sont ensuite analysées et enrichies par des algorithmes d’intelligence artificielle pour créer des profils détaillés des utilisateurs, qui peuvent être recherchés, filtrés et visualisés par les clients de NSO Group.
NSO Group affirme que Patternz est destiné à aider les gouvernements à lutter contre le terrorisme, le crime organisé et la traite des êtres humains, mais des experts en sécurité et en droits de l’homme s’inquiètent du potentiel d’abus et de violations de la vie privée des utilisateurs innocents. Ils soulignent également le manque de transparence et de contrôle sur la façon dont les données sont collectées, partagées et utilisées par les acteurs de l’industrie publicitaire et les entreprises d’espionnage. Certains pays ont déjà pris des mesures pour réglementer ou interdire l’utilisation de Patternz et d’autres outils similaires, mais la plupart des utilisateurs ne sont pas conscients de l’existence de cette surveillance cachée et de ses implications pour leur sécurité et leur liberté.
Le problème de l'empreinte numérique des appareils
Lorsqu'Apple a modifié les règles pour obliger les applications à vous demander la permission avant de vous suivre, il n'a pas fallu longtemps pour que les entreprises commencent à travailler sur une méthode détournée pour parvenir au même résultat : l'empreinte numérique de l'appareil.
Patternz conclut des accords avec des réseaux publicitaires plus petits, prêts à s'engager dans des pratiques douteuses, afin de recueillir les empreintes numériques des appareils et de les utiliser pour déclencher la surveillance. Si l'un des exemples cités concernait un utilisateur d'Android, la même tactique fonctionne avec des dizaines de milliers d'applications iPhone :
Ton reconnaît que la plateforme a été conçue comme une « plateforme de sécurité nationale ». Dans d'autres documents de marketing en ligne, Patternz se présente spécifiquement aux « agences de sécurité nationale ».
À un moment donné de la vidéo, Ton clique sur un profil particulier. L'écran suivant affiche une multitude d'informations sur l'appareil en question et, par extension, sur la personne. Il s'agit notamment d'une longue liste de coordonnées GPS, dont Ton précise que la précision de localisation peut aller jusqu'à un mètre ; de l'adresse à laquelle correspondent ces coordonnées ; des lieux fréquemment visités par la personne, y compris l'adresse de son domicile et de son lieu de travail (qui, pour cette cible, se trouve dans un hôpital situé à proximité, précise Ton) ; les applications spécifiques utilisées par la personne (dans ce cas, "Caller ID & Block by CallApp" et "Truecall - Caller ID & Block") ; la marque du téléphone et son système d'exploitation (un Samsung fonctionnant sous Android 9) ; et une liste d'autres utilisateurs qui se trouvaient à côté de la cible lorsqu'ils étaient à la maison et au travail.
À un moment donné de la vidéo, Ton clique sur un profil particulier. L'écran suivant affiche une multitude d'informations sur l'appareil en question et, par extension, sur la personne. Il s'agit notamment d'une longue liste de coordonnées GPS, dont Ton précise que la précision de localisation peut aller jusqu'à un mètre ; de l'adresse à laquelle correspondent ces coordonnées ; des lieux fréquemment visités par la personne, y compris l'adresse de son domicile et de son lieu de travail (qui, pour cette cible, se trouve dans un hôpital situé à proximité, précise Ton) ; les applications spécifiques utilisées par la personne (dans ce cas, "Caller ID & Block by CallApp" et "Truecall - Caller ID & Block") ; la marque du téléphone et son système d'exploitation (un Samsung fonctionnant sous Android 9) ; et une liste d'autres utilisateurs qui se trouvaient à côté de la cible lorsqu'ils étaient à la maison et au travail.
Le problème, c'est que les services de sécurité peuvent se faire passer pour un soumissionnaire, définir un ensemble de critères extrêmement précis - au point d'identifier des individus particuliers - et obtenir ensuite une grande quantité de données sensibles sur ces personnes.
L'étude a identifié 61 894 applications iOS utilisées de cette manière, à l'insu des utilisateurs.
Conclusion
Cette affaire soulève des questions sur la protection de la vie privée des utilisateurs d’applications, qui sont souvent inconscients des pratiques de collecte de données des entreprises d’AdTech. Elle montre également comment le système d’enchères en temps réel peut être détourné à des fins d’espionnage par des gouvernements potentiellement hostiles. Il est donc nécessaire de renforcer la réglementation et la transparence de l’industrie de la publicité en ligne, afin de prévenir les abus et de respecter les droits des utilisateurs.
Source : rapport
Et vous ?
Que pensez-vous de l’utilisation du système d’enchères en temps réel par des entreprises d’AdTech malveillantes pour espionner les gens ? Quelles sont les conséquences potentielles de cette activité d’espionnage sur la vie privée, la sécurité et les droits des utilisateurs d’applications ? Quelles mesures devraient être prises pour réguler et contrôler l’industrie de la publicité en ligne, afin de prévenir les abus et de protéger les utilisateurs ? Avez-vous déjà été victime ou témoin d’une tentative d’espionnage ou de piratage via des publicités en ligne ? Faites-vous confiance aux entreprises d’AdTech qui collectent et traitent vos données personnelles ? Si oui, pourquoi ? Si non, comment vous protégez-vous ? Quels sont les risques et les conséquences de la surveillance téléphonique pour la vie privée et les libertés individuelles des citoyens ? Quels sont les droits et les devoirs des utilisateurs de téléphones face à la surveillance téléphonique et comment peuvent-ils se protéger ou se défendre ? Quelles sont les alternatives ou les solutions possibles pour concilier la surveillance téléphonique et le respect des droits humains ? 
Envoyé par Stéphane le calme
