Des révélations en cascade ont mis en lumière le business opaque des données de géolocalisation, que les opérateurs télécoms transmettent à des entreprises tierces sans le consentement des utilisateurs.
Un nouveau scandale est en train de prendre forme outre-Atlantique autour des services de géolocalisation. Et il risque de faire tache d’huile un peu partout dans le monde. L’histoire commence il y a une semaine, quand le New York Times révèle qu’un shérif utilisait les services payants de Securus Technologies pour géolocaliser une dizaine de personnes via leur téléphone mobile, et cela en dehors de toute autorisation judiciaire. Cette géolocalisation s’appuie sur les antennes-relais avec lesquelles les smartphones sont en connexion permanente dès qu’ils sont allumés.
Le shérif en question doit désormais répondre de ses actes devant une cour fédérale. Mais ce cas particulier met en lumière les dangers que représente ce type de services pour nos vies privées. En théorie, Securus Technologies n’offre ses services qu’aux forces de l’ordre dans le cadre d’une requête judiciaire. Mais visiblement, le contrôle d’accès est loin d’être efficace.
Un piratage doublé d’une faille énorme
Il y a quelques jours, Motherboard a confirmé ces craintes en révélant que les serveurs de Securus Technologies avaient été piratés et que les données de plus de 2.800 utilisateurs avaient été subtilisées, y compris leurs mots de passe. Apparemment, ces derniers étaient stockés de manière chiffrée, mais au travers de l’algorithme MD5, qui est facile à casser.
Le chercheur en sécurité Robert Xiao vient maintenant d’apporter une preuve supplémentaire. Il a analysé le service de démonstration en ligne de LocationSmart, la société qui a fourni indirectement les données de géolocalisation à Securus Technologies. Leur site web permettait, en effet, de tester leur service. Il suffisait d’entrer son numéro de téléphone, puis un code d’authentification envoyé par SMS, pour visualiser en temps réel sa propre localisation.
Gestion laxiste des données
Mais une bête erreur de code dans l’interface de programmation de LocationSmart permettait de court-circuiter cette authentification. A priori, il était donc possible de géolocaliser n’importe quel abonné aux Etats-Unis, car LocationSmart s’interconnecte avec les quatre principaux opérateurs de ce pays (AT&T, Verizon, Sprint, T-Mobile), ainsi qu’avec un opérateur régional (US Cellular). Parmi ses autres clients figurent également Google, Genesys, Comtech et Neustar. Depuis, cet outil de démonstration a été déconnecté et les logos des opérateurs supprimés.
Après ces révélations en cascade, les esprits s’échauffent. Le sénateur Ron Wyden s’interroge sur le risque de toutes ces services de géolocalisation, dans la mesure où leur gestion de données personnelles est manifestement très laxiste et touche des centaines de millions de personnes. Interrogés par Brian Krebs, les porte-paroles des associations Electronic Frontier Foundation et Center for Democracy & Technology militent pour des règles d’accès plus strictes à ce type d’informations.
En Europe, le règlement RGPD devrait nous protéger
D’après la loi américaine, les données d’appel ne peuvent être transmises par les opérateurs qu’avec le consentement de l’abonné ou dans le cadre d’une procédure judiciaire. Les données de géolocalisation collectées auprès des antennes-relais, en revanche, ne seraient soumises à aucune règlementation. « Les opérateurs peuvent faire ce qu’ils veulent avec les données qu’ils obtiennent, y compris les données de géolocalisation, tant qu’elles ne sont pas liées à un appel », a expliqué Albert Gidari, juriste et membre dirigeant du Standord Center for Internet and Society dans les colonnes du New York Times.
En Europe, la situation devrait être différente, en tous les cas à partir du 25 mai, date à partir de laquelle s’appliquera la nouvelle réglementation sur la protection des données personnelles. Ce texte spécifie clairement les données de géolocalisation comme des données personnelles à protéger et dont l’exploitation est donc soumise au consentement des utilisateurs.