sousveillance

Tracking

Cname cloaking : une méthode de rapace pour nous traquer

Si vous lisez, et je vous le recommande, Pixel de tracking, vous avez certainement déjà entendu parler du Cname et du Cname cloaking. Il s'agit d'une stratégie mise en place par des boîtes spécialisées dans le ciblage publicitaire dont l'objectif est de réussir à nous traquer même si on utilise un bloqueur de publicités comme uBlock origin. Et si vous ne connaissez pas Pixel de tracking et n'avez jamais entendu ces mots, je vous invite aller regarder la vidéo réalisée par La Quadrature du Net consacrée à ce sujet. En 10 minutes, vous comprendrez comment se met en oeuvre techniquement cette méthode de tracking. La vidéo est très claire et @Vincib est très pédagogue dans ses explications. Enfin, si vous n'avez pas de bloqueur de publicités, c'est l'occasion d'en installer un ! :–)

PS : L'appellation Cname cloaking n'a pas besoin d'être traduite. En français, le cloaque est bien évidemment une partie de certains vertébrés mais c'est aussi un “foyer de corruption morale, lieu immonde.” Il n'y a pas mieux comme traduction.

#tracking

Source : La Quadrature du Net

Source : Pixel de tracking

Carte bancaires : transformer les données des transactions bancaires en actifs à haute valeur ajoutée

Les paiements par carte bancaire et maintenant par smartphone simplifient le quotidien et se traduisent par une expérience utilisateur améliorée. Cependant, le revers de la médaille – ou plutôt de la pièce – c'est que ces transactions représentent une source d'informations qui trahissent nos comportements d'achats et donc une menace pour notre vie privée.

Les cartes de crédit sont porteuses de nombreuses informations sur les individus. Celles-ci sont utilisées par les commerçants pour améliorer leurs offres, mais elles sont également réassemblées et vendues sur à des acteurs tiers sur le marché des données publicitaires.

L'idée de pouvoir collecter des informations et établir un lien entre les différents achats d'un consommateur n'est pas nouvelle. Dès le début de la seconde moitié du 20ème siècle des initiatives émergent. Mais il manque une infrastructure informatique pour permettre de généraliser la collecte de données liées à des achats.

Ce n’est qu’à partir des années 70, avec l’essor de l’informatique et sous la contrainte des évolutions règlementaires (visant à davantage de transparence), que vont être constituées les premières bases de données conservant un historique standardisé des transactions pour chaque individu listant la date, le montant, le lieu et une brève description de chacune.

A partir des années 80, la démarche s'industrialise. La collecte de données transactions bancaires est devenu un secteur structuré avec des acteurs majeurs comme American Express. Des partenariats entre différents activités et des réseaux bancaires se nouent : hôtels, compagnies aériennes, entreprises automobiles...

Cet attrait pour les données transactionnelles conduit de nombreuses entreprises à proposer des cartes co-brandées à l’instar du partenariat pionnier, en 1987, entre CitiBank et American Airlines. Pour les compagnies aériennes, hôtels, fabricants automobiles et autres commerçants, ces partenariats leur donnent accès à de précieuses données sur les transactions réalisées par leurs clients.

Ce développement permet de démontrer les limites de l'interprétation du développement du capitalisme de surveillance selon Shoshana Zuboff. D'après la chercheuse, le capitalisme de surveillance serait une évolution du capitalisme qui est apparue au début des années 2000 avec des entreprises comme Google qui constituent leur modèle économique sur la collecte de données personnelles des utilisateurs. Cependant, l'analyse du développement de l'industrie des cartes de crédit démontre que le capitalisme de surveillance n'est pas si récent et qu'il est lié à l'accroissement de l'informatique dans les entreprises dès les années 60 afin de permettre une amélioration et une optimisation de la production. Les industriels détenaient une somme d'informations qu'ils n'étaient pas capables d'exploiter.

Ce que nous considérions comme une industrie était un grand nombre d'informations collectées, mais personne ne savait vraiment comment les utiliser

C'est ce qu'explique plus en profondeur Christophe Masutti dans son livre Affaires privées, aux sources du capitalisme de surveillance, publié chez C&F éditions. Pour résumer, l'industrie a eu besoin d'optimiser sa production en réduisant les coûts, l'informatique a accompagné ce processus. Les GAFAM et toutes les sociétés de la SurveillanceTech n'en sont que les héritiers.

La prochaine fois que vous serez chez un commerçant, payez en liquide ! ;–)

#Tracking #Banque

Source : Linc

Météo France : tempête sur nos données personnelles

Le (très bon) site Pixel de tracking a analysé le fonctionnement de l'application de Météo France. Le résultat est sans appel : évitez de l'utiliser si vous tenez à protéger votre vie privée.

La démonstration débute avec l'installation de l'application sur l'appareil. Ayant besoin de l'autorisation d'accéder à la géolocalisation, l'appli de Météo France demande l'accord à l'utilisateur. Une politique de confidentialité doit être ensuite acceptée. Cette dernière précise :

"En cliquant sur "Je refuse tout", vos données ne sont pas collectées et les publicités affichées le sont de façon aléatoire sans aucun rapport avec vos comportements et/ou déplacements. Vous pouvez à tout moment retirer votre consentement en exerçant vos droits."
. Spoil : même lorsque vous n'utilisez pas l'appli, Météo France cherche à accéder à votre position géographique. A peine l'application ouverte, Pixel de tracking découvre une myriade de trackers qui ont commencé à le pister : Facebook, Google, Smart AdServer (une solution de monétisation publicitaire) et Madvertise (qui fait la même chose que Smart AdServer). Mais c'est cette dernière qui est le plus problématique et qui s'assoit sur le principe du recueil du consentement de l'utilisateur :
Madvertise est ainsi co-responsable (avec Météo-France) des appels publicitaires vers Google et Smart AdServer. Si l'on regarde le détail des données envoyées à mobile.mng-ads.com (rappel, j'ai refusé toute collecte de données personnelles, et je n'ai cliqué sur aucun écran), on voit 7 requêtes fuitant mes coordonnées GPS (longitude, latitude), permettant de connaître précisément mon domicile

Le tracking ne se limite pas à ces services. En poursuivant la navigation dans l'appli de Météo France, Pixel de tracking s'aperçoit que de nouveaux traceurs apparaissent. Pour une une application développée pour le compte d'un établissement public administratif, on a de quoi être surpris de ce choix et de la violation assumée du RGPD.

Comment faire pour s'en protéger ?

  • Ne pas utiliser l'application
  • Regarder par la fenêtre pour voir le temps qu'il fait
  • Ecouter la radio

Ou plus sérieusement :

Utilisez une appli bloquant les traqueurs afin d'être mieux protégé contre la surveillance sur les applications telles que Météo France : DNSCloak, Adguard ou NextDNS sur iOS.

#appli #tracking

Source : Pixel de tracking

Les kits de développement (SDK), ces aspirateurs à données personnelles

Qui dit smartphone, dit applications. Qui dit applications, dit kits de développement. Ces trousses de développement logiciels (SDK) sont des boîtes à outils mises à disposition des développeurs afin de leur permettre de gagner du temps et de développer une application à moindre coût. En tant qu'utilisateur, vous avez certainement été confronté à ce genre de solution sans vous en rendre compte. En effet, une appli qui vous propose de vous connecter par l'intermédiaire de Facebook ou de Google utilise un SDK de ces deux GAFAM. Ou bien cela peut-être le cas avec une appli de météo qui va vous géolocaliser pour vous indiquer le temps qu'il fait à l'endroit où vous êtes.

Bien évidemment, les entreprises qui fournissent des SDK ne le font pas toujours par philanthropie. Elles ponctionneront leur dîme en collectant des données sur les utilisateurs de l'application finale. Les données en question sont la localisation, l'identifiant de l'appareil etc... Les SDK implémentés dans les applis font office de cheval de Troie et transmettent les données à tiers. Cela permet ainsi de construire des profils d'utilisateurs afin d'afficher de la publicité ciblée.

Here’s where the tracking comes in. The data your device’s app sends to a third party can be used to build a profile of the app’s user, which advertisers can then use for targeted ads. You likely don’t even know what data is leaving your device, how it can be used to track you, or where it’s going.

Le journaliste de Recode établit une comparaison entre les SDK et les cookies déposés quand on navigue sur des sites web. La plupart de nos activités en ligne sont trackées et monétisées. C'est exactement ce qui se produit avec les SDK mais de manière plus étendue dans la mesure où les applis sont installées directement sur nos appareils. Et si on peut configurer son navigateur pour bloquer les cookies, c'est plus difficile de bloquer les SDK.

Tracking via SDK is firmly, perhaps inextricably, entrenched in the app ecosystem. In this way, it’s similar to the internet. Pretty much everything we do online has been tracked and monetized since the start (see: cookies). Because apps are on the device itself, rather than accessed through a website — and because we now use apps for so many different things and carry the device they’re on around with us throughout the day — they’re able to collect a ton of information about us. Afin de se protéger, les entreprises qui développent des SDK intrusives expliquent qu'aucune donnée identifiant directement l'utilisateur n'est collectée et leur accorde la possibilité de refuser la collecte dans les paramètres de l'appli. Mais ces arguments ne tiennent pas la route car d'une part les données anonymisées peuvent être dé-anonymisées, et d'autre part, la montagne de données détenues par les data brokers peuvent confondre une personne par inférence.
“The amount of data they have about us is unbelievable,” Sadeh said. “Brokers basically reassemble all this data, and they’re pretty good at it.”

Les marges de manœuvre pour se prémunir contre ce tracking sont limitées. On peut paramétrer les autorisations strictement nécessaires pour utiliser une appli. C'est le fameux exemple de l'application lampe-torche qui demande d'accéder à la géolocalisation ou aux contacts. On peut également s'appuyer sur les évolutions législatives. Mais c'est le jeu du chat et de la souris. Les entreprises spécialisées dans le ciblage publicitaire trouvent des contournements techniques voire juridiques pour continuer à nous tracker. Enfin, la meilleure alternative consiste peut-être à utiliser des applis dont on a vraiment besoin et de réfléchir à deux fois avant d'en installer une nouvelle. Avec des outils comme Exodus Privacy, il est facile d'identifier les trackers et les demandes d'autorisation illégitimes. Dans la mesure du possible, on peut aussi installer des applications depuis des magasins alternatifs comme F-Droid où l'on peut télécharger des applis expurgées de certains trackers.

#Tracking #smartphone #appli

Source : Recode