Une faille dans les données de navigation sur pratiquement tous les sites web et les applications expose les dirigeants américains et européens, le personnel militaire, les juges et d'autres personnes à un risque de chantage, de piratage et de compromission, selon le Conseil irlandais pour les libertés civiles.
Dans deux rapports, Europe's Hidden Security Crisis et America's Hidden Security Crisis, l'organisation affirme que des États étrangers et des acteurs non étatiques accèdent à des informations "extraordinairement sensibles" sur des personnalités et du personnel militaire de l'UE et des États-Unis par le biais du système d'enchères en temps réel de la publicité en ligne.
Ce système permet notamment d'établir le profil des déplacements, des problèmes financiers, des problèmes de santé mentale et des faiblesses des personnes ciblées, y compris s'il s'agit de victimes d'abus sexuels, ce qui pourrait les exposer au chantage.
Utilisé par la quasi-totalité des sites web et des applications, le système RTB permet le partage de données anonymes entre les courtiers en données et les annonceurs, qui les utilisent pour cibler des catégories spécifiques d'utilisateurs avec un marketing personnalisé. Cela se produit des milliards de fois par jour, notent les rapports.
Toutefois, selon l'ICCL, ces données sont souvent plus détaillées qu'on ne le pensait et concernent des professions telles que les juges, les gestionnaires de services publics, le personnel militaire américain et européen et les hommes politiques. Les catégories comprennent "Renseignement et lutte contre le terrorisme", "Les personnels du Pentagone", "Département de la défense", "Personnes travaillant dans le domaine de la défense et de l'espace", "Personnes travaillant dans l'armée" et "Personnes travaillant dans le secteur judiciaire".
Les données RTB comprennent souvent des informations de localisation, des horodatages ou d'autres identifiants qui, selon l'ICCL, permettent à des personnes mal intentionnées de les relier assez facilement à des individus spécifiques.
"Les États étrangers et les acteurs non étatiques peuvent utiliser le RTB pour connaître les problèmes financiers et l'état mental des personnes visées, ainsi que des secrets intimes compromettants", explique l'ICCL. "Même si les personnes ciblées utilisent des appareils sécurisés, les données les concernant circuleront toujours via le RTB à partir d'appareils personnels, de leurs amis, de leur famille et de contacts personnels compromettants.
Selon les rapports, Google et d'autres entreprises de RTB envoient des données RTB européennes et américaines en Russie et en Chine, où les lois nationales permettent aux agences de sécurité d'y accéder.
L'ICCL a également découvert l'utilisation d'un outil de surveillance appelé Patternz, commercialisé par une société privée dont le siège se trouve à Kokhav Ya'ir en Israël. Cet outil utilise le RTB pour établir le profil de 5 milliards de personnes, y compris les itinéraires empruntés par les personnes ciblées et des informations sur leurs enfants.
Les règles de partage des données RTB sont fixées en grande partie par l'organisme de normalisation IAB TechLab, le protocole des acheteurs autorisés de Google régissant environ 10,5 % des diffusions RTB aux États-Unis et environ 21 % en Europe.
L'ICCL demande à Google et à l'IAB TechLab de modifier leurs protocoles afin qu'aucune donnée personnelle ne soit autorisée dans les futures diffusions RTB et que toutes les données d'identification et de liaison, telles que les horodatages à haute résolution, les extensions de données et les identifiants uniques, soient supprimées.
"La course aux données de l'industrie du RTB a créé une grave menace nationale", déclare le Dr Johnny Ryan, membre de l'ICCL. "Nous demandons à la Commission fédérale du commerce des États-Unis, aux autorités européennes chargées de la protection des données et à la Commission européenne d'agir de toute urgence. L'industrie ne peut pas être autorisée à mettre en danger nos dirigeants élus et notre personnel militaire.
Google affirme ne partager que la géolocalisation grossière, qui concerne un nombre "suffisamment important" d'utilisateurs, et non les données relatives à la santé, à la race, à la religion et à l'appartenance politique. En outre, la société a cessé de diffuser des publicités en Russie au début de l'année dernière.
"Pour protéger la vie privée des gens, nous avons les restrictions les plus strictes de l'industrie sur les types de données que nous partageons dans les enchères en temps réel", a déclaré un porte-parole. "Nos politiques d'enchères en temps réel ne permettent tout simplement pas aux personnes mal intentionnées de compromettre la vie privée et la sécurité des gens".
Un porte-parole de Microsoft commente : "Nous prenons ces questions au sérieux et une description de nos pratiques actuelles en matière de confidentialité des données se trouve dans la politique de confidentialité de Xandr, que nous évaluons régulièrement pour garantir la conformité avec les lois applicables en matière de protection des données.
source :
https://www.forbes.com/sites/emmawoollacott/2023/11/14/web-browsing-data-is-serious-security-threat-to-eu-and-us/