Un nouveau rapport de Privacy International dépeint un système largement opaque et inexplicable de technologie de surveillance utilisée par les agences gouvernementales en ligne. Les outils dits d'"extraction du cloud" sont largement inconnus du public et soumis à un niveau de surveillance relativement faible, mais ils sont utilisés régulièrement pour analyser et extraire des données privées de tous les principaux services de cloud.
Cette nouvelle application de la technologie de surveillance est préoccupante dans son champ d'application et en termes de questions de consentement. La recherche d'un dispositif n'est plus un événement ponctuel lorsque ces outils sont utilisés ; on peut désormais avoir accès à tout ou partie des comptes dans le cloud de la cible de la recherche, et celle-ci peut être soumise à une surveillance continue et à des recherches répétées.
Qu'est-ce que l'extraction du cloud ?
L'extraction du cloud consiste à extraire des jetons d'authentification d'un appareil mobile ou d'un ordinateur auquel les organismes gouvernementaux ont physiquement accès, par exemple lors de la recherche d'un suspect.
Les jetons d'authentification pour divers services de cloud peuvent rester actifs pendant des semaines et, dans certains cas, sont permanents. Si l'organisme d'enquête peut extraire ces jetons, il n'a pas besoin de contraindre le sujet à renoncer à ses informations de connexion ; s'il dispose déjà d'informations de connexion, il peut maintenir un accès permanent même si le sujet modifie ultérieurement son mot de passe. Cela leur permet également de contourner la plupart des mesures d'authentification à deux facteurs (2FA).
Les outils d'extraction dans le cloud tels que GTEX, Cellebrite, UFED et KeyScout passent automatiquement au peigne fin les ordinateurs et les appareils pour trouver les informations de connexion enregistrées dans les cookies, les navigateurs et autres applications. Ces outils peuvent non seulement récupérer des jetons existants, mais aussi, dans certains cas, créer de nouveaux jetons à partir de ce qu'ils trouvent.
Quel type de données sont accessibles ?
Les outils d'extraction dans le cloud peuvent ouvrir les portes aux fichiers stockés avec presque tous les principaux services de cloud : Google Drive, Dropbox, Facebook, Slack, divers services de messagerie électronique en ligne et bien d'autres encore. Ces outils peuvent également extraire des données à partir d'assistants vocaux tels que Google Home et Alexa, et de logiciels de suivi de la condition physique tels que FitBit. Mais cela va bien au-delà du simple accès aux fichiers.
Comme le souligne le rapport, l'accès à un compte Google de cette manière permet également aux enquêteurs de suivre potentiellement les recherches, l'historique des lieux, l'historique du navigateur, les enregistrements de messagerie instantanée et bien d'autres choses encore. Tout ce qui est visible par le titulaire du compte lorsqu'il se connecte est également accessible à l'enquêteur - y compris les messages chiffrés.
Certains de ces services d'extraction dans le cloud ont également ajouté des capacités de reconnaissance faciale et de correspondance. Au moins un outil, de Oxygen Forensics, prétend offrir la reconnaissance des émotions dans le cadre de ces services.
Ce type de technologie de surveillance permet aux enquêteurs non seulement d'accéder à une énorme quantité d'informations existantes, mais aussi de suivre subrepticement et en permanence des cibles. Ils peuvent accéder de manière répétée aux comptes dans le cloud pour vérifier les données de localisation, les nouveaux appels, les nouveaux messages, ainsi que les vidéos et les photos que le sujet prend, entre autres possibilités. La plupart des sujets ne sauront pas qu'ils sont suivis de cette manière après la première recherche physique.
Une technologie de surveillance inquiétante
Dans un sondage britannique commandé par Privacy International, environ la moitié des utilisateurs de téléphones portables dans le pays ne savent pas où sont stockées leurs données dans le cloud, et près de la moitié pensent que leurs applications mobiles ne génèrent pas de données qui sont stockées dans le cloud. Environ la même proportion estime qu'ils ne comprennent pas bien comment fonctionnent les systèmes basés sur le cloud.
La plupart des gens ne savent probablement pas que ces organismes disposent de ce niveau de technologie de surveillance ou qu'il est légal pour eux de l'utiliser de cette manière. S'ils consentent à une recherche sur leur appareil, ils peuvent ne pas être conscients de l'étendue des données dans le cloud auxquelles ils donnent accès ou qu'ils donnent en réalité l'autorisation de suivre en permanence leurs activités privées en ligne.
Camilla Graham Wood, avocate chez Privacy International, déclare
"Nous commençons à peine à obtenir un minimum de transparence sur l'utilisation de l'extraction par téléphone portable à des fins répressives, mais de nouvelles technologies inquiétantes se profilent à l'horizon, comme l'extraction dans le cloud, dont on sait très peu de choses.
"Les technologies d'extraction dans le cloud permettent aux forces de l'ordre d'accéder à des quantités impressionnantes de données personnelles très sensibles, non seulement sur les personnes, mais aussi sur leurs amis, collègues et connaissances. Il est intéressant de noter que ces technologies permettent également aux autorités de déployer une technologie de reconnaissance faciale sur les réseaux sociaux et de surveiller en permanence les réseaux sociaux d'une personne sans qu'elle ne le sache jamais.
"Une grande partie de ces données sont téléchargées dans le cloud, souvent à notre insu, par les grandes entreprises technologiques. Cela risque de rendre nos données personnelles plus vulnérables, et non plus sûres. Il est urgent que les entreprises auxquelles nous confions nos données s'assurent qu'elles les protègent des technologies qui peuvent être utilisées par des agents non qualifiés en appuyant sur un bouton.
Il est urgent que les services répressifs agissent avec un plus grand degré de transparence en ce qui concerne les nouvelles formes de surveillance qu'ils utilisent, et que les lois qui sont conçues pour protéger contre les abus soient mises à jour".
Les entreprises d'extraction du cloud proposent cette technologie de surveillance à l'échelle internationale et sont implantées dans le monde entier : par exemple, Oxygen Forensics est basée aux États-Unis, Cellebrite est basée en Israël et Elcomsoft a son siège à Moscou.
Privacy International a demandé à 17 des plus grandes entreprises technologiques auxquelles cette technologie de surveillance prétend avoir accès, comme Google et Facebook, de prendre position publiquement sur son utilisation. Privacy International plaide en faveur d'une plus grande transparence et de garanties juridiques, en exhortant les citoyens britanniques à contacter leurs services de police locaux et à s'informer sur les technologies et les politiques d'extraction dans le cloud.
source :
https://www.cpomagazine.com/data-privacy/privacy-international-report-on-cloud-extraction-programs-sheds-light-on-far-reaching-government-surveillance-technology/