Google sait où est ta mère

Partage d'infos pour reprendre le contrôle sur ses données. Sans prétention, à mon niveau, pour le fun.

Pistés comme jamais

09 Feb 2020

Il était temps que j'écrive un article sur le pistage (ou tracking en anglais) et ses incidences sur la vie privée.

Meme, deux photos superposées, sur celle du haut une personne des années 60 au téléphone avec un air très craintif et le texte : People in the sixties: I better not say that or the government will wiretap my house, sur celle du bas une personne dans la cuisine en train de préparer à manger et de parler à un assistant vocal et le texte : People today: Hey wiretap, do you have a recipe for pancakes?

Derrière la formule Google sait où est ta mère, je souhaitais sous-entendre le fait que nous sommes maintenant pistés dans tout ce que nous entreprenons, que ce soit sur internet ou dans la vie réelle, principalement par les grosses sociétés telles que les GAFAM (Google Apple, Facebook, Amazon, Microsoft).

Toutes les données que l'on génère font l'objet d'un stockage, d'une analyse, d'échanges, de ventes… sans que l'on ne s'en rende vraiment compte.
Si vous êtes en train de lire ce blog, je suppose que vous avez déjà une petite sensibilisation sur le sujet et vous êtes conscients que c'est pas joli joli niveau exploitation de nos données, mais c'est assez loin de nos préoccupations quotidiennes car nous ne nous en rendons pas plus compte que ça.

Je ne suis pas encore prêt à écrire un article de fond sur le sujet, je vais plutôt vous donner quelques exemples qui devraient vous donner matière à réfléchir.

Meme, photo prise à partir d'une caméra de sécurité d'une personne en train de sourire à la caméra, avec le texte au-dessus : when you're at the grocery store and see yourself on the security monitor

https://www.latimes.com/business/story/2020-01-21/ralphs-privacy-disclosure
L'état de Californie oblige depuis peu les entreprises à divulger ce qu'ils savent sur leurs clients et comment ils utilisent ces informations. La plupart des entreprises ont rédigé un document dans les termes les plus obscurs et vagues possibles, excepté une chaine de supermarché (Ralphs) qui a loupé sa communication en étant trop précise :

Tout ça pour vous proposer des coupons de réduction de quelques dollars.

Détournement d'un panneau d'information sur la sécurité avec le texte : SECURITY NOTICE, activites on these premises are being recorded by social media

https://www.lopinion.fr/edition/economie/chalutage-donnees-reseaux-sociaux-debut-d-peche-miraculeuse-mieux-208904
Extraits choisis :
Introduction en janvier d'une nouvelle loi en France qui autorise les administrations fiscale et douanière à collecter massivement et exploiter automatiquement les données publiques sur les sites des réseaux sociaux et des opérateurs de plateforme définis par l’article L. 111-7, I, 2° du Code de la consommation (1) tels que Facebook, Instagram, Leboncoin, AirBnb, Ebay ou encore LinkedIn. L’objectif de ce chalutage des données est de permettre à l’administration de mieux cibler ses contrôles fiscaux.
A titre d’exemple, le dispositif pourrait retenir certaines anomalies telles que :

Et le mieux dans la conclusion :
Pour finir, on peut se demander si dans le cadre d’une approche loyale et équilibrée de l’application de la loi fiscale, l’Administration ne devrait pas utiliser ces nouveaux outils pour déceler les situations où les contribuables ont manifestement trop payé d’impôt. Imaginons une personne sur les réseaux sociaux qui indique avoir fait des dons importants à une association alors que sa déclaration fiscale ne mentionne aucune réduction d’impôt. Dans cette situation, l’Administration devrait pouvoir relever cette erreur et déterminer avec le contribuable s’il ne peut pas bénéficier d’une réduction d’impôt. De même, si un contribuable indique sur LinkedIn un lieu de travail à plus de 50km de son domicile et que sa déclaration fiscale ne mentionne aucune déduction au titre des frais kilométriques, l’Administration devrait pouvoir proposer au contribuable une déduction à ce titre.

Meme, extrait du dessin animé Futurama où l'on voit un personnage parmi une foule assistant à un spectacle, en train de crier quelque chose, le texte est : Your application is bad and you should feel bad

https://www.scientificamerican.com/article/7-in-10-smartphone-apps-share-your-data-with-third-party-services/
Plus de 70% des applications android partagent les données qu'elles récoltent avec des tierces parties, les plus importantes étant Google, Facebook, Crashylitics.
Généralement les développeurs d'applications utilisent des librairies tierces déjà faites, pour ne pas réinventer la roue, par exemple pour ajouter les boutons Like, Share… Sauf que ces librairies tierces récoltent aussi les données récupérées par l'application. Ces librairies sont utilisées par des milliers d'applications, et c'est le même principe pour des millions de sites web.
Les capacité de recoupement et d'accumulation de données sont immenses.

Meme, photo stylisée d'un hacker en train de taper sur un clavier dont le visage est masqué sous une capuche, le texte est : It's not a data breach, it's a surprise backup

https://www.seas.harvard.edu/news/2020/01/imperiled-information
Pour illustrer l'article précédent : deux étudiants d'Harvard on fait un petit tour sur le dark web pour récupérer des datasets (gros tableaux Excel pour simplifier) de données récupérées illégalement par des hackers et mis à disposition.
En combinant plusieurs datasets entre eux, ils se sont rendus compte, ô surprise, que les gens réutilisaient les mêmes adresses mail, logins, mots de passe sur plusieurs sites et qu'il était possible de dresser des profils pour chaque personne et de les catégoriser.
Par exemple ils pouvaient sortir une liste de plus de 1000 personnes respectant les critères : gros salaire, marié, avec enfants, et avec un login sur un site d'adultère. Ou bien une liste de politiciens (sénateurs, maire de Washington…) avec leur credit score, leur numéro de téléphone, leur adresse…

Meme, photo de Willy Wonka (personnage du film Charlie et la Chocolaterie) en train d'écouter d'un air intéressé quelqu'un hors champ, le texte est : Oh you want to have an abortion, tell me about it

https://brave.com/ukcouncilsreport/
Les sites des "council" (sorte de conseil municipal, département ou régional), proposant des services liés à l'éducation, au social… permettent à des sociétés tierces de récolter les données des visiteurs de ces sites. Plus concrètement, si vous cherchez des informations sur la prise en charge d'une personne handicapée, pour rejoindre un établissement de désintoxication, pour faire valoir vos droits à une aide car vous vivez sous le seuil de pauveté, pour localiser des établissement où vous pouvez avorter… ces sociétés tierces le savent et, avec le reste des informations dont elles disposent grâce à d'autres sources de données, peuvent relier ces informations directement à vous.

Meme, photo de Morpheus un personnage du film Matrix, le texte est : What if I told you big business make billions selling your medical records

https://thetoolsweneed.com/poorly-secured-medical-credit-score-could-deny-you-care/
Toujours dans le domaine de la santé, les établissements de santé privés (hopitaux, cliniques…) aux états-unis partagent leurs données (enfin vos données, celles des patients) avec des sociétés spécialisés dans la collecte de données. Déjà voir ses données santé balancées à n'importe qui c'est pas tip top, mais ce qu'ils en font va plus loin. Ces sociétés (Experian par exemple) construisent une note pour chaque personne, à l'aide d'un algorithme maison que personne ne connait et ne sait comment il est construit, et qui sert aux établissement de santé à décider si oui ou non ils veulent bien de vous. Notamment si vous avez bien payé votre factures de santé dans tous les hopitaux où vous êtes passés. Si jamais un infirmier surchargé de travail, à la fin de sa journée, se trompe en indiquant dans le logiciel que vous n'avez pas payé votre facture en sortant de l'hopital alors que vous l'avez fait, vous ne le saurez jamais. Et vous serez fiché comme mauvais payeur et potentiellement refusé dans d'autres hopitaux parce que votre note est moins bonne que la moyenne, car l'hôpital ne veut pas prendre le risque d'accepter de mauvais payeurs, sans que vous ni l'hopital ne sachent exactement pourquoi elle est moins bonne.

Dessin numérique d'une personne sur son ordinateur avec un espion derrière lui portant le logo Avast

https://arstechnica.com/tech-policy/2020/01/avast-kills-off-jumpshot-the-subsidiary-that-sold-all-your-web-data/
Avast récoltait et revendait les données telles que les sites web visités, les actions réalisées sur le navigateur, les coordonnées GPS… des appareils sur lesquels il était installé.

Meme, photo du visage de Putin avec larmes, le texte est : Putin cries manly tears everytime you disable comrade Kaspersky

https://arstechnica.com/information-technology/2019/08/kaspersky-av-injected-unique-id-into-webpages-even-in-incognito-mode/
Pour rester dans les antivirus, Kaspersky injectait dans chaque page web visitée un identifiant unique permettant de suivre les habitudes des utilisateurs qui n'étaient alors plus du tout anonymes.

Photo d'un tag sur un mur avec le nom de Google et des caméras de sécurité à la place des O

https://korben.info/chrome-id-comment-google-vous-traque-a-laide-de-chrome.html
Google aussi sait faciliter la vie des gens qui collectent vos habitudes de navigation en introduisant dans la version 54 de son navigateur un identifiant unique, qui permet de vous pister peu importe les protections que vous mettez en place.

Photo d'un enfant avec un air victorieux avec le visage encadré par un cadre vert numérique et à droite de son visage différentes émotions avec un pourcentage

https://www.buzzfeednews.com/article/leticiamiranda/retail-companies-are-testing-out-facial-recognition-at
De plus en plus de magasins aux états-unis scannent votre visage, sans votre consentement, sans que vous ne le sachiez, sans que vous ne puissiez vous y opposer, pour alimenter une base de données clients et faire de la reconnaissance faciale pour vérifier que vous ne faites pas partie d'une base de données genre voleurs, LPAD Most Wanted… auquel cas la sécurité est prévenue immédiatement. Le problème c'est que la reconnaissance faciale est loin d'avoir 100% de précision (surtout pour les personnes de couleur) ce qui implique que vous pouvez être pris pour quelqu'un d'autre et être interdit d'accès au magasin, et vous n'y pouvez strictement rien.
C'est aussi utilisé pour reconnaitre les expressions du visage (tristesse, ennui, joie, colère…) pour que la magasin sache dans quel état d'esprit vous étiez quand vous êtes venu les voir, et par exemple si vous n'étiez pas content, d'aller taper sur les doigts des employés. Même si ça n'a rien à voir avec le service qu'ils vous rendent.

Photo de caméras de sécurité avec le logo Google en sur-impression

https://www.theverge.com/2020/2/4/21122044/google-photos-privacy-breach-takeout-data-video-strangers
Google a malencontreusement envoyé les vidéos privées stockées sur Google Photos de certains utilisateurs à d'autres, de manière aléatoire. Faut espérer que ce n'était pas votre sextape perso.

Meme, extrait d'un ancien comics Batman où l'on voit Batman gifler Robin, le texte dans la bulle de Robin est : Apple: we are going to put end-to-end encryption on icloud, le texte dans la bulle de Batman est : FBI: no fucking way

https://www.bbc.com/news/technology-51207744
Le FBI a négocié avec Apple pour que ce dernier ne mette pas en place le chiffrement de bout-en-bout des données liées à iCloud, afin de lui permettre de pouvoir y accéder sans que ce soit trop pénible. Par contre si des personnes mal intentionnées accèdent à vos données, c'est open-bar pour elles aussi. L'intérêt des utilisateurs est toujours la priorité d'Apple.

Meme, extrait du dessin animé Pokemon où l'on voit Pikachu étonné et au-dessus le texte : But... you're just a drawing tablet, why do you have to send my data to third parties???

https://robertheaton.com/2020/02/05/wacom-drawing-tablets-track-name-of-every-application-you-open/
Le driver qui permet de connecter une tablette de dessin (marque Wacom) à un ordinateur, et qui n'est pas censé faire autre chose que transmettre une information dans un sens et dans l'autre, envoie des données à Google Analytics notamment quelles applications vous avez ouvert sur votre ordinateur et à quelle heure. Et si vous n'êtes pas connectés à internet, il les garde en mémoire et balance tout une fois la connexion à internet rétablie.

Meme, photo d'une personnage agée en train de parler avec colère et conviction, le texte est : Back in my day, people controlled their cars

https://krebsonsecurity.com/2020/02/when-your-used-car-is-a-little-too-mobile/
Aux US il est maintenant assez répandu de pouvoir géolocaliser, verrouiller et même démarrer à distance sa voiture, à partir d'une application sur son smartphone.
Sauf que si le service de location de véhicule ne gère pas bien sa politique de révocation d'accès, vous pouvez vous retrouver à visualiser la position et à pouvoir interagir avec un véhicule plusieurs années après l'avoir loué. Ce qui est arrivé à une américaine.

https://jalopnik.com/tesla-remotely-removes-autopilot-features-from-customer-1841472617
Tesla peut activer ou désactiver à distance des options sur les voitures vendues, quand il le souhaite et pour la raison qui lui convient. En l'occurence, Tesla a désactivé plusieurs options sur un véhicule, qui coûtent 8000$, et qui étaient préalablement activées, car la société pensait que l'acheteur n'avait pas payé pour ces options.

Extrait de BD, un enfant avec le drapeau américain sur son t-shirt repousse un monstre en disant 'Take that China, no one can spy on me' et à côté de lui un autre monstre avec le logo de Google sur le torse

https://www.theatlantic.com/technology/archive/2019/02/googles-home-security-devices-had-hidden-microphones/583387/
Des caméras de sécurité vendues par Google étaient équipées d'un micro sauf que personne n'était au courant. Google s'est excusé en disant qu'il avait été mis là pour être activé plus tard et à ce moment les acheteurs seraient au courant et pourraient le désactiver s'ils le souhaientent. Evidemment, il faut faire confiance à Google quand il dit que ce n'était pas utilisé jusqu'à présent.
Ca me rappelle les télévisurs connectés qui ont toujours la caméra et le micro d'activé et qui transmettent ces infos, ils avaient sortis la même excuse en disant que ce n'était pas activé alors qu'on a su plus tard que si.

Je pourrais encore continuer un moment comme ça avec :