Depuis les révélations de Edward Snowden en 2013, nous savons que Google, Microsoft et Yahoo!, principalement, ont été la cible de la NSA dans le cadre du programme PRISM :

PRISM, également appelé US-984XN1, est un programme américain de surveillance électronique par la collecte de renseignements à partir d'Internet et d'autres fournisseurs de services électroniques.

Le but de ce programme était d'utiliser la surveillance de masse afin d'endiguer le terrorisme. La concentration des données collectées par Google, Microsoft et Yahoo! a permis à ce programme de parvenir à ses fins : surveiller la population mondiale.

Le tracking sur mobiles permet-il, lui aussi, la surveillance de masse ?

Si les trackers présents dans nos applications mobiles favorites sont majoritairement développés par les géants du Net, le nombre d'acteurs dépasse assurément la centaine.

Afin de mettre mes propos en contexte, je vais poser rapidement l'histoire de Exodus privacy. Début de l'été 2017, je commence la rédaction de ma conférence Internet et ses travers. Je m'intéresse aux liens potentiels qui lieraient entre eux les sociétés éditrices de trackers, les data-brokers et les gouvernements.

Les trackers sont de morceaux de logiciels, ajoutés aux applications mobiles, en charge de collecter des données sur nous, nos usages, nos comportements, nos vies, ... Les data-brokers sont des sociétés achetant et revendant des données personnelles. Ces sociétés ne s'occupent pas de la collecte mais bien du trading de nos vies.

Le 23 août 2017 paraît l'article de Numerama "Enquête : comment les apps Figaro, L’Équipe ou Closer participent au pistage de 10 millions de Français". C'est à partir de cette date que tout commence. L'article confirme mes suppositions du moment. Le tracking sur mobile collecte une quantité démentielle de données, données qui seront ensuite partagées/achetées/vendues à d'autres sociétés. Par exemple, la société AppsFlyer, éditant le tracker du même nom, est partenaire de la société chinoise MobVista. Plus généralement, les sociétés éditrices de trackers, comme Teemo ou Ad4Screen, ont des partenariats avec des sociétés d'ampleur supérieure.

Découvrant peu à peu cet immense marché des données privées, nous décidons de fonder Exodus Privacy avec pour unique but : Faire prendre conscience que nos mobiles nous espionnent en permanence.

Après des nuits passées à chercher, à creuser, il apparaît effectivement que les GAFAM ainsi que les sociétés éditrices de trackers vendent les données collectées à des data-brokers. Par exemple, les données collectées par le tracker Krux sont revendues au data-broker Acxiom.

Acxiom claims to have files on 10% of the world's population, with
about 1500 pieces of information per consumer.
source

Un rapport de la Federal Trade Commission datant de mai 2014 expose d'une part, comment les data-brokers obtiennent les données et, d'autre part, à qui les revendent-ils.

clients_of_databrokers

Les sources de ces données sont :

  • Gouvernementales
  • Commerciales
  • Publiques comme les réseaux sociaux, les blogs, l'open-data, et Internet

New forms of tracking and increasingly powerful analytics capabilities have emerged, such as mobile tracking and analytics services that enable tracking of users across devices so that companies can communicate a timely message tailored to a consumer based on the consumer’s location.

Nous savons désormais que tous les trackers présents dans les applications mobiles ne servent pas uniquement à nous vendre la paire de chaussures dont nous avons toujours rêvé.

Plus récemment, nous avons appris que la DGSI délègue la surveillance du Web à la société américaine Palantir. Ou encore que Google et Facebook ne rechignent pas à fournir les informations qu'elles possèdent sur simple demande d'un·e juge.

Et je suis préfète, ça marche aussi ?

Pour continuer dans la course folle à la surveillance algorithmique, Bercy enclenche la traque par algorithme et ce, non sans se priver d'exploiter les base de données privées.

Les data-brokers achètent nos données à qui ?

Screenshot-from-2017-12-30-00-50-54

Rappel des sources