Safe Graph pas si safe, vendait des données des clients des cliniques d'avortement
Vous pensez que votre application météo apparemment innocente ne vous suit pas sur le chemin de votre rendez-vous chez le médecin ? Eh bien, c'est peut-être vrai, mais vous ne pouvez plus en être aussi sûr de nos jours. Supposons qu'elle vous suive, mais qu'advient-il alors de toutes ces données ? Elles ne vont certainement pas tomber entre les mains des tiers qui en abusent, hein ?
Dans un scoop qui ne manquera pas d'alimenter le débat déjà rageur sur le droit à l'avortement aux États-Unis, Motherboard a révélé d'avoir acheté les données de localisation des clients de plus de 600 Centres de parentalité planifiée dans tous le pays ayant payé $160 pour les données d'une semaine. Certains de ces centres proposent l'avortement. Les données ont montré d'où venaient les personnes, combien de temps elles restaient sur place et où elles repartaient après leur visite.
Cette prouesse a été possible grâce aux services de SafeGraph, une société connue pour la vente en gros de données de localisation à l'Agence de santé publique américaine (CDC) et au journal The New York Times.
Comment SafeGraph accède-t-il aux données de localisation des utilisateurs ? La réponse est évidente. L'entreprise recueille ces informations sensibles auprès des applications qui utilisent son kit de développement logiciel (SDK). Les développeurs d'applications sont attachés aux SDK, car ils leur facilitent la vie en leur permettant de réduire les coûts de développement de leurs propres fonctions à partir de zéro - par exemple, une fonction de localisation. Dans le cas du SDK SafeGraph, c'est précisément ce qui s'est passé. Supposons que vous activiez une fonction de géolocalisation dans votre application météo. Rassurez-vous, SafeGraph SDK bénéficiera de cette autorisation.
Après avoir aidé les applications à localiser et à suivre l'emplacement, SafeGraph a reconditionné ces informations et les a vendues comme un produit autonome à quiconque était prêt à payer pour les obtenir, et, apparemment, pour des cacahuètes.
Les utilisateurs, comme c'est souvent le cas dans ce genre d'affaires, n'étaient très probablement pas au courant de ce stratagème. SafeGraph SDK n'était pas seulement intégré dans des applications de météo, de voyage et de sport. La majorité de ses clients étaient des forums qui répondent à un large éventail d'intérêts, des voitures à la psychologie et même à la chirurgie plastique.
Ainsi, si vous avez donné à une telle application la permission d'utiliser votre localisation, SafeGraph pourrait également recevoir ces données. Notez que de nombreuses applications parmi les plus populaires de SafeGraph ont été téléchargées plus de 10 000 fois. Parmi les applications les plus populaires contenant SafeGraph figurent un forum de basket-ball (RealGM Forum), un forum pour les amateurs d'armes à feu (Ruger Forum), un forum sur les voyages tout-terrain (SA 4x4 Community Forum), un forum de discussion sur les produits Apple (iMore Forums) — la liste est longue.
Motherboard rapporte que les données achetées à SafeGraph contenaient des informations recueillies au cours d'une semaine non spécifiée datant de mi-avril. Le produit est désigné sur le site web de SafeGraph sous le nom de "Weekly Pattern". La société se vante, que "Weekly Patterns fournit des réponses à des questions telles que : Combien de fois les gens visitent-ils un lieu ? Combien de temps restent-ils ? D'où viennent-ils ? Où vont-ils ?" Si cela ne vous semble pas déconcertant, il est temps de reconsidérer.
Bien que SafeGraph affirme qu'il s'appuie sur des "données mobiles anonymes" et que le résultat est une agrégation démographique, ce qui signifie que l'identité des utilisateurs individuels reste secrète, des inquiétudes ont été exprimées quant à la possibilité de remonter jusqu'à des utilisateurs spécifiques.
Ce n'est pas la première fois que SafeGraph fait les gros titres pour de mauvaises raisons. L'année dernière la société a rapporté que Google a lancé une campagne de répression, menaçant de bannir de son Google Play Store, dans les sept jours, toutes les applications qui utilisaient son SDK si elles ne le retiraient pas.
Toutefois, l'interdiction signalée n'a apparemment pas empêché SafeGraph de poursuivre ses activités comme si de rien n'était.
La révélation par Motherboard est parue lorsque le public américain n'en revient pas de la publication de l'opinion majoritaire fuitée de la Cour suprême des États-Unis qui menace de planter le dernier clou dans le cercueil de la protection consitutionnelle fédérale du droit à l'avortement dans le pays. Cette décision historique est connue sous le nom de Roe v Wade.
Compte tenu du débat politique enflammé sur le droit à l'avortement aux États-Unis, les pratiques de SafeGraph en matière de collecte de données peuvent avoir une incidence directe sur la vie des gens ordinaires. De plus, les utilisateurs ne sont pas conscients du fait que leurs données de localisation - qu'ils ont eux-mêmes autorisé les applications à utiliser - peuvent être malmenées à ce point.
Nous n'avons que brièvement évoqué les applications possibles de cette méthode de collecte de données. Cela ne signifie pas que vous pouvez vous sentir en sécurité si vous ne vous rendez pas aux endroits susmentionnés. Il sera possible d'obtenir des informations sur tous les endroits que vous fréquentez à partir de vos données - la technologie le permet.
"Comment ne pas se retrouver dans une telle situation ?", vous demandez-vous peut-être. Pas nécessaire de devenir paranoïaque et de jeter votre téléphone. Nous avons toujours appelé les utilisateurs à n'accorder que les permissions les plus essentielles à leurs apps. N'est-il pas étrange, par exemple, qu'une application météo demande l'historique de vos appels ? Et si l'application a vraiment besoin de ces données - et il y a beaucoup d'applications de ce type - alors vous devez vous protéger.
À l'heure actuelle, AdGuard bloque la collecte de données par le biais de ce SDK particulier. De plus, la liste des menaces bloquées est régulièrement mise à jour. Nous surveillons constamment les nouvelles menaces pour la confidentialité des utilisateurs et les bloquons, ce qui nous permet de limiter les risques liés aux collecteurs de données sans scrupules.
