Des chercheurs de l’Université de Washington et de la Harvard Law School ont récemment publié une étude révolutionnaire analysant les capacités techniques de 16 applications de surveillance électronique (EM) pour smartphone utilisées comme “alternatives” à la détention pénale et civile. L’étude, présentée comme la “première analyse systématique de l’écosystème des applications de surveillance électronique”, a confirmé les craintes de nombreux défenseurs selon lesquelles les applications EM permettent d’accéder à de larges pans d’informations, contiennent souvent des trackers tiers et sont souvent peu fiables. L’étude soulève également d’autres questions sur le manque de transparence impliqué dans l’écosystème des applications EM, malgré la dépendance croissante des agences gouvernementales locales, étatiques et fédérales à l’égard de ces applications.
En 2020, plus de 2,3 millions de personnes aux États-Unis étaient incarcérées et 4,5 millions supplémentaires étaient sous une forme ou une autre de «surveillance communautaire», y compris celles en probation, en liberté conditionnelle, en liberté provisoire ou dans les systèmes de détention pour mineurs ou d’immigration. Alors que la SE sous la forme de moniteurs de cheville a longtemps été utilisée par les agences comme une “alternative” à la détention, les agences gouvernementales locales, étatiques et fédérales se tournent de plus en plus vers les applications pour smartphone pour remplir cette fonction. La façon dont cela fonctionne est simple : au lieu d’incarcération/détention ou d’un moniteur de cheville, une personne accepte de télécharger une application EM sur son propre téléphone qui permet à l’agence de suivre l’emplacement de la personne et peut exiger que la personne se soumette à des conditions supplémentaires telles que que les enregistrements impliquant la reconnaissance faciale ou vocale. Les faibles coûts associés à l’obligation pour une personne d’utiliser son propre appareil pour la SE expliquent probablement l’explosion des applications de SE ces dernières années. Bien qu’il n’y ait pas de décompte précis du nombre total de personnes qui utilisent une application EM comme alternative à la détention, dans le seul contexte de l’immigration, aujourd’huiprès de 100 000 personnes sont sur EM via l’ application BI Smartlink , contre un peu plus de 12 000 en 2018 . Une telle utilisation nécessite un plus grand besoin de compréhension du public de ces applications et des informations qu’elles collectent, conservent et partagent.
Analyse technique
L’analyse technique de l’étude, la première du genre pour ce type d’applications, a identifié plusieurs catégories de problèmes avec les 16 applications étudiées. Il s’agit notamment des problèmes de confidentialité liés aux autorisations que ces applications demandent (et nécessitent souvent), des préoccupations concernant les types de bibliothèques et de trackers tiers qu’ils utilisent, à qui ils envoient des données et comment ils le font, ainsi que certains problèmes fondamentaux concernant la convivialité. et les dysfonctionnements de l’application.
Autorisations
Lorsqu’une application souhaite collecter des données à partir de votre téléphone, par exemple en prenant une photo avec votre appareil photo ou en capturant votre position GPS, elle doit d’abord vous demander l’autorisation d’interagir avec cette partie de votre appareil. Pour cette raison, savoir quelles autorisations une application demande donne une bonne idée des données qu’elle peut collecter. Et bien que refuser les demandes d’autorisation inutiles soit un excellent moyen de protéger vos données personnelles, les personnes sous ordres EM n’ont souvent pas ce luxe, et certaines applications EM ne fonctionneront tout simplement pas tant que toutes les autorisations ne seront pas accordées.
Sans surprise, presque toutes les applications de l’étude demandent des autorisations telles que la localisation GPS, l’accès à la caméra et au microphone, qui sont probablement utilisées pour divers enregistrements avec le superviseur EM de la personne. Mais certaines applications demandent des autorisations plus inhabituelles. Deux des applications étudiées demandent l’accès à la liste de contacts du téléphone, ce qui, selon les auteurs, peut être combiné avec l’autorisation “lire l’état du téléphone” pour surveiller à qui quelqu’un parle et à quelle fréquence il parle. Et trois autres demandent des autorisations de “reconnaissance d’activité”, qui signalent si l’utilisateur est dans un véhicule, à vélo, en train de courir ou à l’arrêt.
Bibliothèques et trackers tiers
Les développeurs d’applications n’écrivent presque jamais chaque ligne de code qui entre dans leur logiciel, mais dépendent plutôt de soi-disant « bibliothèques » de logiciels écrits par des développeurs tiers. Le fait qu’une application inclue ces bibliothèques tierces n’est pas un drapeau rouge en soi. Cependant, étant donné que certaines bibliothèques sont écrites pour collecter et télécharger des données de suivi sur un utilisateur, il est possible de corréler leur existence dans une application avec l’intention de suivre, voire de monétiser, les données utilisateur.
L’étude a révélé que presque toutes les applications utilisaient une sorte de bibliothèque Google Analytics. Comme EFF l’a déjà fait valoir , Google Analytics n’est peut-être pas particulièrement invasif s’il n’était utilisé que dans une seule application, mais lorsqu’il est combiné à son utilisation presque omniprésente sur le Web, il fournit à Google une vue panoptique du comportement en ligne des individus. Pire encore, l’application Sprokit “semblait contenir le code nécessaire à Google AdMob et au SDK Facebook Ads pour diffuser des annonces”. Si tel est bien le cas, les développeurs de Sprokit se livrent à une pratique effroyable de monétisation de leur public captif.
Flux d’informations
L’étude visait à capturer les types de trafic réseau que ces applications envoyaient pendant le fonctionnement normal, mais était limitée par l’absence de comptes actifs pour l’une des applications (soit parce que les chercheurs ne pouvaient pas créer leurs propres comptes ou ne l’ont pas fait pour éviter d’accepter conditions d’utilisation). Malgré tout, en installant un logiciel qui leur permet d’espionner les communications des applications, ils ont pu tirer des conclusions inquiétantes sur quelques applications étudiées.
Près de la moitié des applications ont envoyé des demandes à des domaines Web qui pourraient être associés de manière unique à l’application. Ceci est important car même si ces requêtes Web sont cryptées, le domaine auquel elles ont été adressées ne l’est pas, ce qui signifie que quiconque contrôle le réseau sur lequel se trouve un utilisateur (par exemple, cafés, aéroports, écoles, employeurs, hôtes Airbnb, etc.) pourrait théoriquement savoir si quelqu’un est sous EM. Une application que nous avons déjà mentionnée, Sprokit , était particulièrement flagrante avec la fréquence à laquelle elle envoyait des données : toutes les cinq minutes, elle téléphonait au point de terminaison du réseau publicitaire de Facebook avec de nombreux points de données récoltés à partir de capteurs de téléphone et d’autres données sensibles.
Il convient de rappeler qu’en raison des limites de l’étude, ceci est loin d’être une image exhaustive du comportement de chaque application EM. Il reste encore un certain nombre de questions ouvertes importantes sur les données qu’ils envoient et comment ils les envoient.
Bogues d’application et problèmes techniques
Comme pour tout logiciel, les applications EM sont sujettes aux bogues. Mais contrairement à d’autres applications, si quelqu’un sous EM a des problèmes avec son application, il est susceptible de violer les termes de son ordonnance du tribunal, ce qui pourrait entraîner des mesures disciplinaires ou même une incarcération – des problèmes que ceux qui ont été soumis à des moniteurs de cheville ont pareillement confrontés.
Pour étudier comment les bogues et autres problèmes liés aux applications EM affectaient les personnes obligées de les utiliser, les chercheurs ont effectué une analyse qualitative des critiques des applications Google Play Store. Ces critiques étaient, dans une large mesure, extrêmement négatives. De nombreux utilisateurs signalent ne pas pouvoir s’enregistrer avec succès avec l’application, parfois en raison d’un GPS/reconnaissance faciale bogué, et d’autres fois en raison de la non-réception de notifications pour un enregistrement. Un utilisateur décrit un tel problème dans son avis : ” J’ai eu des problèmes avec les enregistrements qui n’alertent pas mon téléphone, ce qui oblige mon agent de probation à appeler et à menacer de déposer un mandat d’arrêt contre moi parce que j’ai raté les enregistrements, ce qui est incroyablement frustrant et pénible.
Les politiques de confidentialité
Comme le savent de nombreuses personnes qui utilisent des services en ligne et des applications mobiles, avant de pouvoir utiliser un service, vous devez souvent accepter une longue politique de confidentialité. Et que vous l’ayez lu ou non, vous et vos données êtes liés par ses termes si vous choisissez d’accepter. Les personnes qui sont sous EM, cependant, n’ont pas leur mot à dire : les conditions de leur supervision sont ce qu’elles ont convenu avec un procureur ou un tribunal, et souvent ces conditions les obligeront à accepter la confidentialité d’une application EM. politique.
Et certaines de ces politiques incluent des termes odieux. Par exemple, alors que presque toutes les politiques de confidentialité des applications contenaient un langage sur le partage de données avec les forces de l’ordre pour se conformer à un mandat, elles énoncent également les raisons pour lesquelles elles partageraient ces données sans mandat. Plusieurs applications mentionnent que les données seront utilisées pour le marketing. Une application, BI SmartLINK , avait même des conditions qui permettaient aux développeurs de l’application de partager “pratiquement toutes les informations collectées via l’application, même au-delà de la portée du plan de surveillance”. Après que ces conditions aient été rappelées dans une publication de Just Futures Law et Mijente , la politique de confidentialité a été supprimée.
Probleme juridique
L’étude a également abordé le contexte juridique dans lequel les problèmes liés à la SE se posent. En fin de compte, les contestations judiciaires des applications EM seront probablement difficiles car, bien que la pierre de touche de l’interdiction du quatrième amendement contre les perquisitions et saisies illégales soit le «raisonnable», les tribunaux ont longtemps soutenu que les probationnaires et les libérés conditionnels ont des attentes réduites en matière de vie privée par rapport aux intérêts du gouvernement dans prévenir la récidive et réintégrer les probationnaires et les libérés conditionnels dans la communauté.
De plus, le gouvernement serait probablement en mesure de contourner les défis du quatrième amendement en affirmant que la personne a consenti à l’application EM. Mais comme nous l’avons soutenu dans d’autres contextes , les soi-disant « recherches de consentement » sont une fiction juridique. Ils se produisent souvent dans des contextes à forte coercition, tels que des contrôles routiers ou des perquisitions à domicile, et laissent peu de place à la personne moyenne pour se sentir à l’aise de dire non. De même, ici, le choix de se soumettre à une application EM n’est guère un choix, surtout face à l’incarcération comme alternative potentielle.
Questions en suspens
Cette étude est la première analyse complète de l’écosystème des applications EM et pose des bases cruciales pour la compréhension du public de ces applications et de leurs méfaits. Cela soulève également des questions supplémentaires auxquelles les développeurs d’applications EM et les agences gouvernementales qui sous-traitent avec ces applications doivent fournir des réponses, notamment :
Pourquoi les applications EM demandent des autorisations dangereuses qui semblent sans rapport avec les besoins typiques de surveillance électronique, tels que l’accès aux contacts d’un téléphone ou des informations précises sur l’état du téléphone
Ce que les développeurs d’applications EM qui n’ont pas de politique de confidentialité font avec les données qu’ils collectent
Quelles protections les personnes sous EM ont-elles contre la recherche sans mandat de leurs données personnelles par les forces de l’ordre ou contre les courtiers en données publicitaires qui achètent leurs données ?
Quelles informations supplémentaires seront découvertes en étant en mesure d’établir un compte actif avec ces applications EM
Quelles informations sont réellement fournies sur les capacités techniques des applications EM aux agences gouvernementales qui passent des contrats avec des fournisseurs d’applications EM et aux personnes qui utilisent des applications EM
Les personnes qui sont obligées de traiter avec des applications EM méritent des réponses à ces questions, tout comme le grand public à mesure que l’adoption de la surveillance électronique se développe dans nos systèmes criminels et civils.