À la suite d’un scandale impliquant des sociétés tierces divulguant ou vendant des données de localisation précises et en temps réel sur pratiquement tous les Américains qui possèdent un téléphone mobile, AT&T, Sprint et Verizon disent maintenant qu’ils mettent fin aux accords de partage de données de localisation avec des tiers.
Il s’agit d’entreprises connues dans l’industrie du sans fil sous le nom d' »agrégateurs de localisation », des entités qui gèrent les demandes de données de localisation en temps réel des clients à diverses fins, telles que l’assistance routière et les interventions d’urgence. Ces agrégateurs sont censés obtenir le consentement des clients avant de divulguer de telles informations, mais plusieurs incidents récents montrent que ce modèle de confiance des tiers est fondamentalement brisé.
Le 10 mai 2018, Le New York Times a cassé l’histoire qu’un courtier en données peu connu nommé Securus vendait aux forces de police locales à travers le pays la capacité de rechercher l’emplacement précis de n’importe quel téléphone portable sur tous les principaux réseaux mobiles américains.
Puis il est apparu que Securus avait été piraté, sa base de données de centaines de noms d’utilisateur et de mots de passe d’agents chargés de l’application des lois pillée. Nous avons également appris que les données de Securus ont finalement été obtenues d’une société appelée 3Cinteractifqui à son tour a obtenu ses données par l’intermédiaire d’une société de suivi de localisation basée en Californie appelée LocationSmart.
Le 17 mai, BreachTrace a annoncé la nouvelle de la recherche par L’université de Carnegie Mellon Doctorant Robert Xiaoqui a découvert qu’une démonstration opt-in LocationSmart try-before-you-buy de la technologie de l’entreprise était largement ouverte – permettant des recherches en temps réel de n’importe qui sur l’appareil mobile de n’importe qui – sans aucune sorte d’authentification, de consentement ou d’autorisation.
LocationSmart a désactivé sa page de démonstration peu de temps après cette histoire. À ce moment, Le sénateur Ron Wyden (D-Ore.) avait déjà envoyé des lettres à AT&T, Sprint, T Mobile et Verizon, leur demandant de détailler tout accord de partage des données de localisation des clients en temps réel avec des sociétés tierces d’agrégation de données.
AT&T, T-Mobile et Verizon ont tous déclaré avoir mis fin aux accords de partage de données avec Securus. Dans une réponse écrite (PDF) au sénateur Wyden, Sprint a refusé de partager toute information sur des tiers avec lesquels il pourrait partager des données de localisation de clients, et c’était le seul des quatre transporteurs qui n’a pas dit qu’il mettait fin à tout accord de partage de données .
T-Mobile et Verizon ont chacun déclaré partager des données clients en temps réel avec deux sociétés – LocationSmart et une autre société appelée Zumigo, notant que ces sociétés fournissent à leur tour des services à un total d’environ 75 autres clients.
Verizon a souligné que Zumigo – contrairement à LocationSmart – n’a jamais proposé de service de démonstration d’informations de localisation mobile via son site. Néanmoins, Verizon a déclaré qu’il avait décidé de mettre fin à ses accords actuels d’agrégation de localisation avec LocationSmart et Zumigo.
« Verizon a informé ces agrégateurs de localisation qu’il avait l’intention de mettre fin à leur capacité d’accéder et d’utiliser les données de localisation de nos clients dès que possible », a écrit Karen Zacharie, responsable de la confidentialité de Verizon. « Nous reconnaissons que les informations de localisation peuvent offrir de nombreux avantages pro-consommateurs. Mais notre examen de notre programme d’agrégateur de localisation a conduit à un certain nombre de questions internes sur la meilleure façon de protéger les données de nos clients. Nous ne conclurons pas de nouveaux accords d’agrégation de localisation à moins et jusqu’à ce que nous soyons convaincus que nous pouvons protéger de manière adéquate les données de localisation de nos clients grâce aux avancées technologiques et/ou à d’autres pratiques.
Dans sa réponse (PDF), AT&T n’a fait mention d’aucune autre société que Securus. AT&T a indiqué qu’il n’avait pas l’intention d’arrêter de partager des données de localisation en temps réel avec des tiers, déclarant que « sans agrégateur, il n’y aurait pas de méthode pratique et efficace pour faciliter les demandes entre différents opérateurs ».
Le sénateur Wyden a publié aujourd’hui une déclaration appelant toutes les entreprises de téléphonie mobile à suivre l’exemple de Verizon.
« Verizon mérite le mérite d’avoir pris des mesures rapides pour protéger la confidentialité et la sécurité de ses clients », a déclaré Wyden. «Après que mon enquête et mes rapports de suivi aient révélé que des intermédiaires vendaient l’emplacement des Américains au plus offrant sans leur consentement, ou le rendaient disponible sur des portails Web non sécurisés, Verizon a agi de manière responsable et a rapidement annoncé qu’il coupait ces sociétés. En revanche, AT&T, T-Mobile et Sprint semblent se contenter de continuer à vendre les informations privées de leurs clients à ces intermédiaires louches, au diable la vie privée des Américains.
Mise à jour, 17 h 20 HE : Peu de temps après la publication de la lettre de Verizon, AT&T et Sprint ont annoncé qu’ils commenceraient également à résilier les accords de partage des données de localisation des clients avec des tiers.
« Sur la base de notre examen interne actuel, Sprint entame le processus de résiliation de ses contrats actuels avec des agrégateurs de données auxquels nous fournissons des données de localisation », a déclaré la société dans un communiqué envoyé par courrier électronique. «Cela prendra un certain temps pour dénouer les services aux consommateurs, tels que l’assistance routière et les services de prévention de la fraude. Sprint a précédemment suspendu tout partage de données avec LocationSmart le 25 mai 2018. Nous prenons cette mesure supplémentaire pour garantir que tout cas de partage de données de localisation non autorisé à des fins non approuvées par Sprint puisse être identifié et empêché si les données de localisation sont partagées de manière inappropriée par un participant. entreprise. »
AT&T a également publié aujourd’hui une déclaration : « Notre priorité absolue est de protéger les informations de nos clients et, à cette fin, nous mettrons fin à notre travail avec les agrégateurs pour ces services dès que possible, de manière à préserver des services importants et potentiellement vitaux. comme l’assistance routière d’urgence.
BreachTrace a demandé à T-Mobile si la société prévoyait de faire de même et a été référé à un tweet aujourd’hui du PDG de T-Mobile Jean Légèrequi a écrit : « J’ai personnellement évalué ce problème et j’ai promis que T Mobile ne vendra pas les données de localisation des clients à des intermédiaires louches. » Dans une déclaration de suivi partagée par T-Mobile, la société a déclaré: «Nous avons mis fin à toute transmission de données clients à Securus et nous résilions nos accords d’agrégateur de localisation.
La lettre de Wyden demandait aux transporteurs de détailler toutes les dispositions qu’ils pourraient avoir pour valider que les agrégateurs de localisation obtiennent en fait le consentement du client avant de divulguer les informations. Sprint et T-Mobile ont déclaré que les agrégateurs de localisation étaient contractuellement tenus d’obtenir le consentement du client avant de partager les données, mais ils ont fourni peu de détails sur les programmes en place pour examiner les réclamations et la preuve qu’un agrégateur a obtenu le consentement.
AT&T et Verizon ont chacun déclaré qu’ils disposaient de processus pour auditer périodiquement les pratiques de consentement des agrégateurs de localisation, mais que l’utilisation non autorisée des données par Securus a en quelque sorte échappé au radar.
AT&T a noté qu’elle avait commencé sa relation avec LocationSmart en octobre 2012 (à l’époque où elle était connue sous un autre nom, « Locaid »). En vertu de cet accord, le client de LocationSmart, 3Cinteractive, partagerait des informations de localisation avec les autorités pénitentiaires via le fournisseur de télécommunications pénitentiaires Securus, qui exploite un service d’appel pour les détenus.
Mais AT&T a déclaré qu’après que Locaid ait obtenu cet accès, Securus a commencé à en abuser pour vendre un « service à la demande » non autorisé qui permettait aux services de police d’apprendre les données de localisation en temps réel de n’importe quel client des quatre principaux fournisseurs.
« Nous comprenons maintenant que, malgré les exigences d’AT&T d’obtenir le consentement du client, Securus n’a en fait pas obtenu le consentement du client avant de collecter les informations de localisation des clients pour son service à la demande », a écrit Timothy P. McKone, vice-président exécutif des relations fédérales chez AT&T. « Au lieu de cela, Securus s’est évidemment appuyé sur la déclaration des forces de l’ordre selon laquelle il disposait de l’autorité légale appropriée pour obtenir les données de localisation des clients, telles qu’un mandat, une ordonnance du tribunal ou un autre document d’autorisation en tant que procuration du consentement du client. »
La lettre de McKone minimise la gravité de l’incident de Securus, affirmant que les demandes de localisation à la demande « constituaient une infime fraction – moins de deux dixièmes de un pour cent – du total des demandes soumises par Securus pour le service d’appel des détenus approuvé. AT&T n’a aucune raison de croire qu’il existe d’autres cas d’accès non autorisé aux données de localisation des clients d’AT&T.
Blake Reidprofesseur agrégé de clinique à École de droit de l’Université du Coloradoa déclaré que toute la débâcle du partage de localisation mobile montre la futilité de la confiance transitive.
« Les transporteurs ont essentiellement des accords avec ces agrégateurs de localisation qui stipulent contractuellement : » Vous acceptez de ne pas utiliser cet accès que nous vous fournissons sans obtenir le consentement du client « », a déclaré Reid. « Ensuite, cet agrégateur a une relation avec un autre agrégateur, et ainsi de suite. Donc, ce que nous avons alors, c’est cette longue chaîne de confiance où personne n’a jamais consenti à la fourniture des informations de localisation, et pourtant, elles finissent par être divulguées de toute façon.
Curieux de savoir comment nous en sommes arrivés là et ce que le Congrès ou les régulateurs fédéraux pourraient faire face à la situation actuelle ? Découvrez l’histoire du mois dernier, Pourquoi vos données de localisation ne sont plus privées.
Mise à jour, 17 h 20 HE : Titre et article mis à jour pour refléter les déclarations d’AT&T et de Sprint selon lesquelles ils mettent fin aux accords de partage de données de localisation des clients avec des sociétés tierces.
Mise à jour, 20 juin, 14 h 23 HE : Ajout d’une clarification de T-Mobile.