Le piratage informatique chinois nous menace, les marchands de données personnelles aussi

ATLANTICO : Pouvez-vous nous expliquer comment les « data brokers » font-ils pour collecter les données personnelles de millions d’individus, qu’ils collectent et revendent de manière opaque aux entreprises privées, à des agences gouvernementales,  et finalement aux plus offrants ?

Franck DeCloquement :  Le NewYorkTimes s’interrogeait récemment à voix haute, par le truchement d’une tribune de Charlie Warzel publiée dans ses colonnes le 10 février dernier, sur l'utilisation des données personnelles de millions d'Américains contre leur gré, amassés par ces fameux « data brokers »... Voire même, sur la légitimité des pratiques prédatrices de courtage de data, s’opérant de manière opaque et sans le consentement éclairé des utilisateurs visés. Warzel faisant d’ailleurs le parallèle entre les agissements délictueux des hackers Chinois piratant frauduleusement les données personnelles de millions d’Américains, et les pratiques commerciales douteuses du secteur des agences de courtage de données, agissant dans l’ombre, et sans l’accord préalable des utilisateurs très clairement spoliés à ses yeux…

Mais revenons très rapidement sur la définition exacte des « data broker », pour mieux comprendre la manière dont ils fonctionnent : ces « courtiers de données » sont le plus souvent des entités de courtage qui collectent des informations sur des millions d’individus, de manière opaque le plus souvent. Ceci leur permet ainsi de générer des inférences très précises, à partir de l’exploitation des dossiers publics et de sources privées. Y compris des registres de recensement et de changement d'adresse des personnes, des dossiers de conduite de véhicules à moteur, des historiques de navigation sur le Web, des informations fournies par les utilisateurs eux-mêmes durant leurs déambulations digitales sur les sites marchands ou les plateformes sociales. Mais aussi, à partir des données recensés dans des rapports judiciaires, l'inscription des électeurs sur les listes électorales, des historiques d'achats de consommateurs via leurs cartes de crédit ou de fidélités clients, les listes des personnes les plus recherchées par les autorités, des registres de transactions bancaires, des informations issues des autorités de soins et des organismes de santé… Cette liste n’est évidemment pas exhaustive.

Toutes ces données personnelles sont ensuite agrégées puis compactées afin de générer des profils individuels très renseignés. Ces registres sont plus souvent constitués de milliers d'informations personnelles recoupées, permettant de connaitre l'âge des personnes, leur sexe, leur taille, leur poids, leur situation matrimoniale, leur appartenance religieuse, leur conviction politique, leur profession, le revenu du ménage, la valeur nette de leurs biens, leur statut d'accession à la propriété, leurs habitudes de consommation, d'investissement, leurs préférences en matière de produits de grande consommation ou ceux liés à la santé.... Les data brokers vendent ensuite l’exactitude supposée des profils ainsi constitués à d'autres organisations ou d’autres entités économiques, qui les utilisent principalement pour mieux cibler leurs publicités, ou générer un marketing adéquat à destination de groupes humains spécifiques.

Mais également, à des organisations en charge de vérifier l'identité des personnes, y compris à des fins de détection de fraude. Les brokers partagent ou retransmettent également ces profils à des centrales gouvernementales, telles que le FBI, offrant en outre aux agents d'application des lois qui protègent pourtant la vie privée des individus, la possibilité de les contourner par ce biais détourné comme si de rien n’était. En l’état, « Business as usual ! »

Comment se fait-il que ces « data brokers » ne soient jamais inquiétés par la justice ? Sont-ils protégés ?

Franck Decloquement : Pour cela, revenons aux sources de ce business juteux.À partir de la fin du XXe siècle, les développements technologiques tels que l’internet, l'augmentation exponentielle de la puissance de calcul et de traitement informatique, corrélés à la baisse des coûts de stockage des données, ont permis aux entreprises de collecter, d'analyser, de stocker et de transférer de très grandes quantités de données personnelles. C’est ce qui a en outre autorisé l’émergence du secteur des data brokers. Les particuliers ainsi profilés ne peuvent généralement pas savoir ni même connaitre quels types de données un courtier est susceptible de détenir sur eux, et comment celui-ci les a obtenus et les utilisent - in fine - à des fins commerciales.

Il existe probablement à ce jour entre 3 500 et 4 000 sociétés de courtage de données. Celles-ci collectent des informations sur une multitude de sujets, allant des communications quotidiennes d'un individu à des données beaucoup plus sensibles telles que les enregistrements de produits sur les cartes de fidélités clients. Aux États-Unis, le secteur des « data brokers » regroupe des entités comme Acxiom, Experian, Epsilon, CoreLogic, Datalogix, Intelius, PeekYou, Exactis et Recorded Future.

Acxiom prétend par exemple disposer de fichiers sur 10% de la population mondiale, avec environ 1500 informations par consommateur (information citée sur Sénat.gov). En 2017, la défunte et très controversée société « Cambridge Analytica » avait de son côté affirmé disposer des profils psychologiques de 220 à 230 millions de citoyens américains, sur la base de 5 000 ensembles de données distinctes. Une manne commerciale inestimable dont on connait aujourd’hui l’utilisation délétère qui en a été faite à l’occasion des dernières élections en date à la présidentielle américaine de 2016.

En 2013,un comité sénatorial des États-Unis avait déjà alerté l’opinion publique et les parlementaires américains sur les pratiques du secteur, à travers la publication d’un document fort intéressant : « A Review of the Data Broker Industry : Collection, Use, and Sale of Consumer Data for Marketing Purposes ». Celui-ci confirmait entre autres choses qu’un large éventail de sociétés connues sous le nom de « courtiers en données », collectait et conservait des données personnelles sur des centaines de millions de consommateurs, qu'elles analysent, conditionnent et vendent généralement sans l'autorisation ou le consentement éclairé de ces mêmes consommateurs. On apprend également à sa lecture attentive que les « data brokers » vendent des produits qui identifient les consommateurs financièrement vulnérables, que les produits de courtage de données fournissent des informations sur le comportement « hors ligne » des consommateurs pour mieux adapter la portée en ligne des spécialistes du marketing. Mais aussi, que ceux-ci opèrent derrière un « voile de secret », sous un « manteau d’invisibilité » : autrement dit, et en toute impunité. Reste que certains « data brokers » ont dû faire face à des poursuites judiciaires aux Etats-Unis, pour violations sur la sécurité des données consommateurs, en raison de très mauvaises pratiques en matière de protection… L’affaire Equifax l’a depuis très largement démontré.

Dernièrement, la direction d'Equifax à travers son responsable Mark Begor, a d’ailleurs tenté de détourner la responsabilité de son entité après le vol de données par les pirates Chinois dont elle avait été la victime, en soulignant que ce hack était le fruit d'une opération « bien financée et sophistiquée » et que « l'attaque contre Equifax était une attaque contre les consommateurs américains ainsi que les États-Unis ». Oubliant sans doute un peu vite que selon l'acte d'accusation, l'équipe de sécurité d'Equifax n'avait pas utilisé le patch, recommandé en temps et en heure par la société« Apache », afin de combler la vulnérabilité de son logiciel « Apache Struts ». Laissant de fait l’accès libre des serveurs de la société aux attaquants Chinois de l'Armée populaire de libération. À partir de là, les pirates ont eu un large accès aux serveurs Web d'Equifax et ont finalement obtenu les data d'identification des employés. L'insouciance patente d'Equifax en aura fait une cible parfaite.

Existe-t-il des moyens pour de prévention ou de lutte efficace ? Comment pouvons-nous nous protéger davantage face à ces pratiques opaques ?

Franck Decloquement : Aucune recette miracle en l’état côté pratiques opaques des brokers, hormis une ferme volonté du législateur américain de mettre bon ordre dans ce secteur. Mais il ne semble pas que ceci soit à l’ordre du jour, pour l’heure. Côté cybersécurité, et alors que presque tout ce qui est numérique risque d'être piraté, l'attaque d'Equifax était très largement évitable si les services de l’entreprise avaient activité les correctifs de sécurité sur les vulnérabilités constatées bien avant l’attaque des pirates Chinois… Mille fois hélas, rien ne semble avoir été fait dans les temps en l’occurrence. Par ailleurs, à l’occasion du procès, et selon un recours collectif en litige datant de 2019, « les pratiques de cybersécurité de l'entreprise étaient un véritable cauchemar » comme l’indique lui-même Charlie Warzel dans les colonnes du NewYorkTimes. Les termes de la poursuite collective alléguaient que « les informations personnelles sensibles concernant des centaines de millions d'Américains n'étaient pas cryptées, mais plutôt stockées en texte brut » et « étaient accessibles via un site Web public très largement utilisé »… Et notre éditorialiste averti de conclure : « les révélations de l'acte d'accusation dans l'affaire Equifax sont alarmantes. Le vol fait partie d'une série de hacks réussis, notamment de l’Office fédéral de la gestion du personnel, de Marriott International et de la compagnie d'assurance Anthem. Compte tenu du volume et de la granularité des données et de la capacité des attaquants à utiliser les informations pour obtenir encore plus de données, il n'est pas déraisonnable de se demander si la Chine en sait-elle autant sur les citoyens américains que notre propre gouvernement ? »