Chantage au smartphone : quand les données d’application mobiles sont vendues pour être exploitées publiquement | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
Société
Les données de l'appli de rencontres gays GrindR ont été utilisées contre un ponte de l'église catholique.
Les données de l'appli de rencontres gays GrindR ont été utilisées contre un ponte de l'église catholique.
©Chris DELMAS / AFP

Espionnage de masse

Chantage au smartphone : quand les données d’application mobiles sont vendues pour être exploitées publiquement

Un responsable de l’Eglise catholique américaine a été contraint de démissionner après qu’une newsletter conservatrice a acheté les données de son smartphone indiquant une utilisation de Grindr et la fréquentation de bars gays.

Loïc Guezo

Loïc Guezo

Loïc Guezo est expert en stratégie cybersécurité. Loïc Guézo est Secrétaire Général du CLUSIF (www.clusif.fr). Il est par ailleurs membre de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information) et réserviste Police Nationale, RCM (Référent Cyber Menaces). Twitter: @lguezo Linkedin : https://www.linkedin.com/in/lguezo/ 

Voir la bio »

Atlantico : Un responsable de lEglise catholique américaine a été contraint de démissionner après quune newsletter conservatrice a acheté les données de son smartphone, ces dernières ayant indiqué une utilisation de Grindr et la fréquentation de bars gays. Comment est-il possible que les données dun smartphone aient pu être achetées de la sorte ?

Loïc Guezo : Dans ce cas, nous faisons face à une victime d’inquisition numérique.

L’emploi d’une application numérique comme GrindR ou d’applications sportives peut poser ce type de problème à cause de certaines CGU (Conditions Générales d’Utilisation). Il peut être mentionné qu’un certain nombre de données sont rassemblées (géolocalisation, heure de mise en service, activité faites, etc.) et que leur collecte est autorisée de facto par l’utilisateur du service.

Le service, alors gratuit, transforme l’utilisateur en produit. L’objectif pour l’éditeur est donc de valoriser au maximum les données qu’il peut obtenir durant l’utilisation. Nous sommes donc ici dans un schéma de revente des données à d’autres organisations qui font un traitement marketing. Néanmoins, cette situation est surprenante car les données ont été à priori revendues à une organisation qui n’est ni commerciale ni marketing. On peut imaginer que la lettre conservatrice se soit présenté via une entité de type marketing classique qui achète les données pour les récupérer.

Aujourd’hui, des applications grand public comme LinkedIn rendent disponibles dans le commerce ces informations. Certaines sont mêmes mises par les utilisateurs sans qu’ils veuillent les présenter publiquement aux autres. Il faut savoir qu’il y a plusieurs niveaux d’utilisation et d’emplois des données. Si l’on met son numéro de téléphone et que l’on ne le rend pas visible à la communauté de l’application, il n'est pas assuré qu'il reste confidentiel… Des accords commerciaux existent entre LinkedIn et des fournisseurs marketing pour acheter ces informations. C’est par un tel biais que la lettre conservatrice a pu se procurer les informations.

À Lire Aussi

Incognito, vraiment ? Pourquoi la navigation en mode privé ne correspond pas vraiment à ce que vous croyez

Il faut bien comprendre que l’usage de ces applications n’est absolument pas respectueux de la vie privée. Avec cette affaire, on voit la valeur de la donnée face à l’importance de la vie privée. Il s’agit d’une révélation numérique pour clouer au pilori une personne. La monétisation à outrance des données nous amène vers l’apparition de ce genre de cas. Demain, si la situation continue de la sorte, on pourrait nous reprocher nos déplacements, nos rencontres…

Y-a-t-il dautres cas où ces données achetées se sont vues révéler des secrets ?

Au CLUSIF, il y a deux ans, nous avons vu un cas un peu comparable, mais dans un autre domaine. Il s’agissait de l’emploi massif d’équipement connecté sportif par les militaires des forces spéciales. Associé au smartphone, il permet d’avoir une application de suivi des performances. Ces données présentes sur l’application sont devenues problématiques lorsqu’elles ont alimenté une plateforme de partage des courses. Après la publication du trajet du coureur, on a vu apparaître des tracés au milieu du désert dans une zone d’intervention américaine… Ce chemin correspondait à celui des bases secrètes, non publiques, qui sont devenues… publiques. Les coureurs ont couru le long du périmètre de sécurité et ont documenté leur parcours sur l’application communautaire.

Ces données servent-elles souvent dans le cadre de chantages ?

Nous avons vu un cas de la sorte lors d’une attaque sur un hôpital scandinave. Un rançongiciel a été utilisé après une exfiltration de données. Le pirate qui n’a pas eu d’accord de paiement de la rançon par l’établissement qui avait pourtant pris des données de suivi psychologique de patients. Il s’est alors retourné vers chaque patient pour les faire chanter. Il a menacé divulguer leurs informations contre un paiement de rançon.

À Lire Aussi

Tuer les cookies pour sauver le journalisme ? Les très intéressantes leçons venues des Pays-Bas

Ces situations concernent-elles uniquement les États-Unis ou l’Europe ?

En Chine, l’exploitation des données a pris la forme d’un système de notation sociale à l’échelle nationale. Pour établir ce classement, l’État utilise toutes les données numériques générées en croisant tous les fichiers possibles. En Chine, on considère que le parti doit réguler la vie sociale alors la donnée numérique devient un élément supplémentaire. Et c’est un levier très important en terme d’efficacité.

À ce propos, chaque pays a un niveau de maturité et d’évolution un peu différent. Certains vont être extrêmement libéraux comme les Etats-Unis. Dans le pays, on considère que la donnée est une marchandise comme une autre. Elle est mise sur le marché avec une approche libérale. Vous utilisez une application, elle est gratuite, vous acceptez alors que vos données soient monétisées.

Entre les deux, nous avons l’Union européenne et la France. Elle a compris que la donnée était l’or noir du XXIe siècle et pour préparer les années à venir elle a régulé le marché pour protéger les citoyens de l’usage des données. Avec la RGPD, elle impose des contraintes fortes lorsqu’un Européen utilise un service américain par exemple.

Y-a-t-il des moyens de se protéger ?

La RGPD est une initiative transnationale, mais à titre personnel il faut être conscient de ce que peuvent devenir les masses de données que l’on génère. La donnée peut être partout, même avec des applications récréatives. En échange de l’utilisation d’un service de modification photographique basique, vous pouvez avoir votre photo récupérée dans un trombinoscope mondial et utilisé par un État.

Pour se protéger, il faut savoir où l’on met les doigts lorsque l’on se connecte à chaque application. Des cas comme celui du religieux évoqué n’est pas un scénario de S-F, c’est le quotidien des offreurs de services qui collectent vos données.

À Lire Aussi

Projet Pegasus : après avoir été ciblés, Cédric Villani et François de Rugy vont saisir la justice

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !