L’échelle industrielle de la surveillance des internautes est un sujet sur lequel nous revenons sans cesse. Chaque clic sur un site Internet, chaque défilement dans une application mobile et chaque mot que vous saisissez dans une barre de recherche sont surveillés par des dizaines d’entreprises technologiques et d’agences de publicité. Ce phénomène touche non seulement les téléphones et les ordinateurs, mais également les montres intelligentes, les téléviseurs intelligents et les enceintes intelligentes, ainsi que les voitures. De plus, il s’avère que ces sources d’informations ne sont pas seulement exploitées par les annonceurs qui vendent des aspirateurs ou des assurances voyages. Par le biais de diverses sociétés intermédiaires, ces données sont également récupérées par des services de sécurité en tout genre, comme la police, les services de renseignement, et ainsi de suite. Retrouvez ici la dernière enquête portant sur ces pratiques, centrée sur la plateforme Patternz et l’agence de « publicité » Nuviad. Les enquêtes similaires menées précédemment portaient quant à elles sur Rayzone, Near Intelligence, et d’autres entreprises encore. Ces entreprises, leurs territoires de constitution et leurs listes de clients varient, mais la formule générale est toujours la même : collecter et enregistrer les informations confidentielles générées par les annonces, puis les revendre aux services de maintien de l’ordre du monde entier.
Dans les coulisses des annonces contextuelles
Nous avons déjà expliqué en détail comment les données sont collectées sur les pages Internet et dans les applications, mais pas comment elles sont utilisées. Pour faire très simple, derrière chaque bannière ou lien publicitaire du monde en ligne d’aujourd’hui, il existe un système d’échange ultra-complexe et rapide comme l’éclair. Les annonceurs chargent leurs annonces et leurs besoins en matière d’audience sur une plateforme côté demande (DSP), qui trouve les sites ou les applications appropriés pour afficher ces annonces. La DSP participe ensuite à une vente aux enchères pour les types d’annonces (bannières, vidéos, etc.) à afficher sur ces sites et applications. En fonction des personnes qui consultent les annonces et de leur adéquation avec les exigences de l’annonceur, un type d’annonce en particulier peut remporter la vente aux enchères. Cette technique est connue sous le nom d’enchères en temps réel (RTB). Pendant les enchères, les participants reçoivent des informations sur le consommateur potentiel des annonces, les données précédemment recueillies sur l’individu étant résumées dans une brève fiche descriptive. En fonction de la plateforme, la nature de ces données peut varier, mais il est assez courant de retrouver la position géographique approximative ou exacte du consommateur, l’appareil utilisé, la version du système d’exploitation, ainsi que « des attributs démographiques et psychographiques », c’est-à-dire le sexe, l’âge, les membres de la famille, les loisirs et d’autres centres d’intérêt de l’utilisateur.
Comment les données des RTB sont-elles utilisées à des fins de surveillance ?
Une enquête de 404 Media a révélé que la plateforme Patternz avait fait savoir à ses clients qu’elle traitait 90 téraoctets de données par jour, ce qui correspondait aux actions d’environ cinq milliards d’utilisateurs. Il convient de noter qu’il existe beaucoup moins d’utilisateurs réels que d’identifiants, étant donné que chaque personne peut avoir plusieurs identifiants. La publicité étant mondiale, l’étendue de la collecte de données l’est tout autant.
La collecte et l’analyse des données mentionnées ci-dessus permettent de suivre avec précision :
- les mouvements des consommateurs potentiels ;
- les moments où ils quittent ou visitent certains endroits ;
- les moments où ils se trouvent à proximité de certaines personnes ;
- leurs centres d’intérêt et leurs recherches ;
- l’historique de leurs changements de centres d’intérêt ;
- leur appartenance à certaines catégories, comme « vient d’avoir un bébé » ou « vient de partir en vacances ».
Ces informations permettent de révéler de nombreux détails insolites, c’est-à-dire où se trouve une personne la journée et le soir, avec qui elle aime passer du temps, avec qui elle se déplace en voiture et à quel endroit, ainsi qu’une multitude d’autres informations personnelles. Comme l’indique le Bureau de la directrice du renseignement national américain (ODNI), une collecte de données d’une telle ampleur n’était auparavant possible que grâce à une surveillance physique ou à des écoutes téléphoniques ciblées.
Une telle collecte de données est-elle légale ? Bien que les lois varient considérablement d’un pays à l’autre, les services de renseignement qui exercent une surveillance de masse, en particulier grâce à l’utilisation de données commerciales, se trouvent dans la plupart des cas dans une zone grise.
En prime : la surveillance via les notifications push
Il existe une autre méthode de surveillance centralisée des utilisateurs, qui n’a rien à voir, mais qui n’en est pas moins désagréable. En l’occurrence, le rôle de trésorier revient à Apple et à Google, qui envoient des notifications push centralisées à tous les appareils iOS et Android. Pour économiser de l’énergie sur les smartphones, la quasi-totalité des notifications d’applications est envoyée via les serveurs d’Apple ou de Google, et en fonction de l’architecture de l’application, ces notifications peuvent contenir des informations facilement lisibles et susceptibles d’intéresser les tiers. Il s’avère que certains services de renseignement ont déjà tenté d’accéder aux données des notifications. De plus, une étude récente a révélé qu’un nombre important d’applications abusent des notifications afin de recueillir des données sur l’appareil (et l’utilisateur) au moment où la notification est reçue, même si l’utilisateur n’est pas à ce moment précis sur l’application ou même sur son téléphone.
Comment se prémunir contre la surveillance par des annonces ?
Étant donné que les entreprises citées précédemment collectent toutes les données à l’aide de plateformes centrales prenant la forme de grandes plateformes d’échange d’annonces, aucune application ni aucun site de refus ne vous protégera contre le traçage. Chaque bannière publicitaire, encart vidéo ou annonce sur les réseaux sociaux génère des événements pour les traqueurs.
La seule façon de réduire de manière significative l’échelle de la surveillance consiste à adopter des mesures assez radicales contre les annonces. Même s’ils ne sont pas forcément pratiques ou appropriés pour chaque utilisateur, plus vous appliquerez les conseils figurant dans la liste ci-dessous, moins vous vous retrouverez impliqué(e) dans des « événements » finissant sur les serveurs de Rayzone ou d’autres entreprises similaires. Pour résumer :
- Utilisez des applications qui n’affichent pas d’annonces. Cela ne garantit pas l’absence de balises web et de traçage, mais permet au moins d’en réduire l’intensité.
- Bloquez les annonces et le traçage dans les navigateurs web. Mozilla Firefox et Safari intègrent une protection contre la surveillance, et des modules complémentaires de protection contre les logiciels espions et les annonces sont disponibles pour tous les autres navigateurs courants dans les magasins officiels de modules complémentaires.
- Pour une protection maximale, activez la navigation privée dans Kaspersky Standard, Kaspersky Plus ou Kaspersky Premium.
- Désactivez le téléchargement automatique des images dans les emails.
- Configurez un DNS sécurisé sur votre smartphone, votre ordinateur et votre routeur domestique en indiquant un serveur de blocage des annonces, comme BlahDNS.
- Vérifiez les paramètres de confidentialité de votre smartphone. Prenez l’habitude de réinitialiser votre identifiant publicitaire au moins une fois par mois. Interdisez aux applications de collecter des données pour la création d’annonces personnalisées et la diffusion d’annonces basées sur la localisation (Apple, Google).
- Révoquez les autorisations d’accès à la localisation et aux autres données confidentielles de toutes les applications qui n’en ont pas besoin pour leur fonctionnement de base.
- Désactivez complètement les notifications push dans les paramètres de votre smartphone pour toutes les applications qui peuvent s’en passer.