[ad_1]

Votre téléphone mobile donne votre position approximative toute la journée. Ce n’est pas exactement un secret : il a de partager constamment ces données avec votre opérateur de téléphonie mobile afin d’offrir une meilleure qualité d’appel et d’acheminer tous les appels d’urgence 911 directement vers votre emplacement. Mais maintenant, les principaux fournisseurs de téléphonie mobile aux États-Unis — AT&T, Sprint, T Mobile et Verizon — vendent ces informations de localisation à des sociétés tierces — en temps réel — sans votre consentement ni ordonnance d’un tribunal, et avec apparemment aucune responsabilité quant à la manière dont ces données seront utilisées, stockées, partagées ou protégées.

Pensez à ce qui est en jeu dans un monde où n’importe qui peut suivre votre position à tout moment et en temps réel. À l’heure actuelle, pour être libre d’un suivi constant, la seule chose que vous pouvez faire est de supprimer le carte SIM de votre appareil mobile ne le remettez jamais à moins que vous vouloir les gens pour savoir où vous êtes.

Il peut être difficile de mettre un prix sur la confidentialité de sa localisation, mais voici quelque chose dont vous pouvez être sûr : les opérateurs de téléphonie mobile vendent des données sur l’endroit où vous vous trouvez à tout moment, sans votre consentement, à des tiers pour probablement beaucoup moins que vous pourriez être prêt à payer pour le sécuriser.

Le problème est que tant que n’importe qui, sauf les compagnies de téléphone et les forces de l’ordre, peut accéder à ces données, elles courront toujours un risque extrêmement élevé d’être piratées, volées et utilisées à mauvais escient.

Prenons seulement deux exemples récents. Plus tôt ce mois-ci Le New York Times signalé qu’un courtier en données peu connu nommé Securus vendait aux forces de police locales à travers le pays la possibilité de rechercher l’emplacement précis de n’importe quel téléphone portable sur tous les principaux réseaux mobiles américains. Puis il est apparu que Securus avait été piraté, sa base de données de centaines de noms d’utilisateur et de mots de passe d’agents chargés de l’application des lois pillée. Nous avons également découvert que les données de Securus avaient finalement été obtenues auprès d’une société de suivi de localisation basée en Californie. LocationSmart.

Le 17 mai, BreachTrace a annoncé la nouvelle de la recherche par L’université de Carnegie Mellon Doctorant Robert Xiaoqui a découvert qu’une démonstration opt-in d’essai avant d’acheter LocationSmart de la technologie de l’entreprise était grand ouvert – permettant des recherches en temps réel de n’importe qui sur l’appareil mobile de n’importe qui – sans aucune sorte d’authentification, de consentement ou d’autorisation.

Xiao a déclaré qu’il lui avait fallu environ 15 minutes pour découvrir que l’outil de recherche de LocationSmart pouvait être utilisé pour suivre l’emplacement de pratiquement n’importe quel utilisateur de téléphone mobile aux États-Unis.

Securus semble tout aussi désemparé quant à la protection des données inestimables auxquelles il a été confié par LocationSmart. Au cours du week-end, BreachTrace a découvert que quelqu’un – presque certainement un professionnel de la sécurité employé par Securus – avait été télécharger des dizaines d’e-mails, de fichiers PDF, de listes de mots de passe et d’autres fichiers pour Virustotal.com – un service appartenant à Google qui peut être utilisé pour analyser n’importe quel fichier soumis contre des dizaines d’outils antivirus commerciaux.

Les sociétés d’antivirus participent volontiers à Virustotal car cela leur donne un accès anticipé aux nouveaux fichiers potentiellement malveillants vomis par les cybercriminels en ligne. Les utilisateurs de Virustotal peuvent soumettre des fichiers suspects de toutes sortes ; en retour, ils verront si l’un des plus de 60 outils antivirus pense que le fichier est mauvais ou bénin.

Une règle de base que tous les utilisateurs de Virustotal doivent comprendre est que quelconque Le fichier soumis à Virustotal est également disponible pour les clients qui achètent l’accès au référentiel de fichiers du service. Néanmoins, au cours des deux dernières années, quelqu’un chez Securus a soumis de nombreuses informations sur les opérations de l’entreprise à Virustotal, y compris des copies d’e-mails internes et des PDF sur les politiques de visite dans un certain nombre de prisons et de prisons locales et d’État qui constituaient une grande partie de L’activité de Securus.

Certains des très nombreux fichiers téléchargés sur Virustotal.com au fil des ans par quelqu’un de Securus Technologies.

L’un des fichiers, soumis le 27 avril 2018, est intitulé « 38k user pass microsemi.com – joomla_production.mic_users_blockedData.txt ». Ce fichier comprend les noms et ce qui semble être des mots de passe hachés/brouillés de quelque 38 000 comptes – soi-disant tirés de Microsemiune entreprise qui a été qualifiée de plus grand fournisseur commercial américain d’équipements semi-conducteurs militaires et aérospatiaux.

De nombreux noms d’utilisateur de ce fichier renvoient aux noms d’employés actuels et anciens de Microsemi. BreachTrace a partagé une copie de la base de données avec Microsemi, mais n’a pas encore reçu de réponse. Securus n’a pas non plus répondu aux demandes de commentaires.

Ces fichiers que quelqu’un chez Securus apparemment soumis régulièrement à Virustotal fournissent également une sorte de feuille de route interne des relations commerciales de Securus, révélant les noms et les pages de connexion de plusieurs services de police et prisons à travers le pays, tels que le Page Web du site Travis County Jail pour accéder aux données de Securus.

Découvrez la capture d’écran ci-dessous. Remarquez ce lien de mot de passe oublié? En cliquant dessus, le visiteur doit saisir son nom d’utilisateur et sélectionner une « question de sécurité » à laquelle répondre. Il n’y a que trois questions : « Quel est le nom de votre animal de compagnie ? Quelle est votre couleur préférée? Et dans quelle ville êtes-vous né ? Il ne semble pas y avoir de limite au nombre de tentatives de réponse à une question secrète.

Choisissez judicieusement et vous aussi, vous pourriez avoir la possibilité de rechercher l’emplacement mobile précis de n’importe qui.

Compte tenu d’une sécurité aussi robuste et à la pointe de la technologie, combien de temps pensez-vous qu’il faudrait à quelqu’un pour comprendre comment réinitialiser le mot de passe de tout utilisateur autorisé sur le portail Travis County Jail de Securus ?

Oui, des entreprises comme Securus et Location Smart ont été négligentes dans la sécurisation de nos précieuses données de localisation, mais pourquoi devraient-elles s’en soucier si leurs clients payants sont satisfaits et que les flux de données en temps réel de l’industrie mobile continuent de circuler ?

Non, le vrai blâme pour ce triste état de choses revient à AT&T, Sprint, T-Mobile et Verizon. T-Mobile était le seul des quatre principaux fournisseurs à avoir admis avoir fourni à Securus et LocationSmart la possibilité d’effectuer des recherches de localisation en temps réel sur leurs clients. Les trois autres transporteurs ont refusé de confirmer ou de nier avoir fait affaire avec l’une ou l’autre des sociétés.

Comme indiqué dans mon article de jeudi dernier, LocationSmart a inclus les logos des quatre transporteurs sur sa page d’accueil, en plus de ceux de plusieurs autres grandes entreprises (cette information n’est plus disponible sur le site de l’entreprise, mais elle peut toujours être consultée en visitant ce record historique de celui-ci sur Internet Archive).

Maintenant, ne pensez pas une seconde que ces deux petites entreprises sont les seules à avoir la permission des géants de la téléphonie mobile de rechercher des informations aussi sensibles à la demande. Au minimum, chacune de ces entreprises peut en théorie revendre (ou divulguer) ces informations et accéder à d’autres. Le 15 mai, ZDNet a signalé que Securus recevait ses données des transporteurs en passant par un intermédiaire : 3Cinteractifqui l’obtenait de LocationSmart.

Cependant, il est intéressant de noter que la première idée que nous avons eue, à savoir que les entreprises de téléphonie mobile étaient si communicatives avec nos données de localisation privées, est arrivée l’histoire du Times sur les responsables de l’application des lois qui cherchent à pouvoir accéder aux données de localisation de n’importe quel appareil mobile en temps réel.

Toutes les technologies sont des épées à double tranchant, ce qui signifie que chacune peut être utilisée à la fois à des fins bonnes et malveillantes. Même si les policiers souhaitent éviter les tracas et les contraintes de temps liés à l’obtention d’un mandat pour déterminer l’emplacement précis de la personne de leur choix quand ils le souhaitent, ces mêmes agents d’application de la loi doivent se rappeler que cette technologie fonctionne dans les deux sens : elle peut également tout aussi facilement être abusé par des criminels pour suivre en temps réel les déplacements des policiers et de leurs familles, des informateurs, des jurés, des témoins et même des juges.

Considérez les dommages que les syndicats du crime organisé – trafiquants d’êtres humains, trafiquants de drogue et blanchisseurs d’argent – pourraient infliger armés d’une application qui affiche l’emplacement précis de chaque agent en uniforme à moins de 300 pieds à travers le pays. Tout cela parce qu’ils connaissaient le numéro de téléphone portable de chaque responsable de l’application des lois.

Peut-être avez-vous des enfants ou des petits-enfants qui, comme beaucoup de leurs pairs ces jours-ci, portent un appareil mobile à tout moment pour la sécurité et pour une communication rapide avec les parents ou les tuteurs. Imaginez maintenant que n’importe qui dans le monde ait la capacité instantanée de savoir où se trouve votre enfant à tout moment de la journée. Tout ce dont ils ont besoin, ce sont les chiffres de votre enfant.

Peut-être êtes-vous la cible actuelle ou ancienne d’un harceleur, d’un ex-conjoint abandonné ou d’un collègue vengeur. Peut-être effectuez-vous un travail sensible pour le gouvernement. Toutes les parties susmentionnées et bien d’autres sont exposées à un risque personnel accru en exposant leurs données de localisation en temps réel à des tiers commerciaux.

Certaines personnes pourraient ne jamais vendre leurs données de localisation à n’importe quel prix : je soupçonne que la plupart d’entre nous aimeraient que ces informations soient toujours privées à moins que et jusqu’à ce que nous modifiions les valeurs par défaut (soit de manière binaire « on/off » ou spécifique à l’application). À l’autre extrémité du spectre, il y a probablement beaucoup de gens qui s’en fichent d’une manière ou d’une autre, à condition que le partage de leurs informations de localisation leur apporte un avantage financier ou commercial réel ou perçu.

Le fait est que pour beaucoup d’entre nous, la confidentialité de l’emplacement n’a pas de prix car, sans elle, presque tout ce que nous faisons pour protéger notre vie privée passe par la fenêtre.

Et cette triste réalité persistera jusqu’à ce que les fournisseurs de téléphonie mobile déclarent sans équivoque qu’ils ne vendront ni ne partageront plus les données de localisation des clients sans avoir reçu et validé une sorte d’obligation légale, telle qu’une citation à comparaître ordonnée par un tribunal.

Mais même cela ne suffira pas, car les entreprises peuvent changer et changent leurs politiques tout le temps sans avertissement ni recours (témoin de la réalité actuelle). Ce ne sera pas suffisant tant que les législateurs dans ce congrès intensifier et faire leur travail – pour empêcher les fournisseurs de téléphonie mobile de vendre notre dernier bastion de confidentialité dans le monde libre à des sociétés tierces qui ne peuvent tout simplement pas ou ne veulent pas le garder en sécurité.

Le prochain article de cette série examinera comment nous en sommes arrivés là et ce que le Congrès et les régulateurs fédéraux ont fait et pourraient faire pour rectifier la situation.

Mise à jour, 23 mai, 00h34 HE : Securus a répondu avec le commentaire suivant :

« Securus Technologies n’utilise pas l’outil Google, Virustotal.com dans le cadre de nos pratiques commerciales normales pour les informations confidentielles. Nous utilisons d’autres outils antivirus qui répondent à nos normes élevées de sécurité et de fiabilité. Il est important de noter que Virustotal.com associera un fichier à une URL ou à un domaine simplement parce que l’URL ou le domaine est inclus dans le fichier. Notre examen initial a conclu que l’écrasante majorité des fichiers que Virustotal.com associe à www.securustech.net n’ont pas été téléchargés par Securus. Notre examen a également montré que quelques employés ont accédé au site avec beaucoup de prudence pour vérifier que les e-mails externes étaient exempts de virus. Par conséquent, de nombreux fichiers indiqués dans votre article n’ont pas été directement téléchargés par Securus et/ou ne sont pas des documents Securus. Une grande majorité de fichiers mentionnent simplement notre URL. Notre examen a également déterminé que le fichier Microsemi mentionné dans votre article n’est associé à Securus que parce que deux adresses e-mail d’employés de Securus ont été incluses dans le fichier, et non parce que Securus a téléchargé le fichier.

« Parce que nous prenons la sécurité des informations très au sérieux, nous continuons à examiner cette question pour nous assurer que les procédures appropriées sont suivies pour protéger les informations de l’entreprise et des clients. Nous vous tiendrons au courant si nous apprenons que les procédures n’ont pas été suivies.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *