Cette violation de données est la raison pour laquelle vous devriez cacher vos données du gouvernement

 

Lorsque le gouvernement américain étend massivement ses politiques de surveillance de l’État malgré les protestations des experts en matière de protection de la vie privée, des droits civils et de la cybersécurité, il serait raisonnable de s’attendre à ce que ces données soient sécurisées et gérées avec soin. Comme un rapport choquant par mère prouve, cependant, ils ne peuvent même pas ce droit.

 

Securus, une entreprise qui achète des données de localisation de smartphones auprès de grandes sociétés de télécommunications américaines et vend ces données aux forces de l’ordre, vient d’être piratée. Le pirate informatique a envoyé des documents à la carte mère pour prouver qu'il avait eu accès aux informations de compte de milliers de responsables de l'application de la loi qui utilisaient l'agent pour dépister les téléphones.

Un article du New York Times plus tôt ce mois-ci a révélé le service Securus et a incité le sénateur démocrate Ron Wyden, de l’Oregon, à demander une enquête de la part de la FCC. Dans un exemple brillant de responsabilité d'entreprise, un représentant de Securus a déclaré au New York Times que «Securus n'est ni un juge ni un procureur et qu'il incombe à nos clients et à leurs avocats de veiller à l'adéquation juridique des pièces justificatives. Si un policier dit que sa recherche est légale, c'est légal!

Avant d'être piraté par un pirate anonyme, les données collectées par l'entreprise étaient déjà utilisées de manière discutable (en plus du suivi des citoyens). En effet, un ancien shérif du comté de Mississippi, au Missouri, Cory Hutcheson, a utilisé ce service pour suivre les juges locaux et d’autres responsables de l’application des lois.

Pour récapituler, il s'agit d'une entreprise qui collecte les emplacements des citoyens privés, vend ces données aux forces de l'ordre et n'est pas tenue de veiller à ce que les données soient utilisées légalement. En outre, sa cybersécurité était assez fragile pour que l'entreprise soit piratée moins d'une semaine après que l'existence de son service juridiquement discutable et contraire à l'éthique ait été exposée au public.

Qu'est-ce que cela signifie pour les citoyens privés

Chaque fois qu'il y a une discussion sur l'importance de la confidentialité en ligne face à la surveillance du gouvernement, quelqu'un est obligé d'insister: «Pourquoi devrais-je m'en soucier? Je n'ai rien à cacher! »Cet argument soulève de nombreux problèmes, mais le cas de Securus nous montre qu'il y en a un qui est essentiel - les gouvernements ne peuvent pas faire confiance à vos données privées.

Le gouvernement n'est pas une entité unique, homogène et infaillible. Il est composé de personnes et les gens font des erreurs. Certaines de ces personnes ont des arrière-pensées. D'autres vont même abuser de leur autorité pour commettre des crimes. Parfois, le gouvernement demande à des entreprises privées comme Securus de leur fournir des services, comme la gestion de vos données de localisation. Même la NSA a des entrepreneurs privés qui manipulent des tonnes de données.

Vous pouvez ou non faire confiance au «gouvernement» avec vos données de localisation, mais faites-vous confiance aux employés de Securus (une entreprise privée) avec vos données? Qu'en est-il des responsables de l'application de la loi comme Cory Hutcheson, qui semblait utiliser le service de suivi pour surveiller des personnes bien au-delà de son objectif? Si Cory était un shérif local qui avait une rancune contre vous et votre famille, auriez-vous toujours confiance en «le gouvernement» avec les données personnelles de votre famille?

Et nous n'avons même pas eu l'échec massif de la responsabilité en matière de cybersécurité que cette débâcle représente! Dans les documents fournis à la carte mère, le pirate informatique a prouvé qu’ils avaient accédé aux informations de connexion des gardiens de prison, administrateurs, agents correctionnels et autres responsables de l’application de la loi - le gouvernement. aucun autre détail n'a été publié.

Nous ne pouvons qu'espérer que le seul objectif du pirate était l'exposition à cette mauvaise gestion des données privées, et si ce n'était pas le cas? Et si les données étaient accédées par des criminels malveillants ou par un État hostile aux États-Unis? Feriez-vous encore confiance au «gouvernement» avec vos données privées alors? Vous devriez espérer que le gouvernement accorde une haute priorité aux données sensibles et, dans certains cas (comme l’armée), vous avez peut-être raison - mais nos données privées sont-elles considérées comme des données sensibles? Il y a quelques jours à peine, la Maison-Blanche a éliminé la position du coordinateur de la cybersécurité, et il est peu probable que cela ait été fait en raison d'un désir profond de renforcer la cybersécurité.

Comment cacher votre position

Malheureusement, celui-ci est difficile à maîtriser en ce qui concerne les smartphones. Il est impossible d'empêcher le suivi de votre téléphone tout en restant connecté à votre réseau et capable de recevoir et de passer des appels téléphoniques. Si ce deuxième point n'est pas un problème, éteignez votre téléphone, laissez-le à la maison ou activez le mode avion.

Désactiver vos paramètres de localisation rendra plus difficile la découverte de votre position, mais pas impossible. Pour maintenir une connexion constante, les téléphones modernes essaient toujours de rester connectés à au moins trois tours de téléphonie cellulaire. Tant que cela est vrai, votre fournisseur de services (et, par extension, le gouvernement) sera en mesure de trianguler votre emplacement approximatif à des degrés de précision variables.

METTRE À JOUR:

Il y a un lecteur supplémentaire dans cette histoire, et il s'avère que la vulnérabilité de sécurité signalée à l'origine était encore pire que prévu.

Securus a acheté des données de localisation auprès de LocationSmart, une société qui collecte des données de localisation auprès des télécoms et les vend à un large éventail de sociétés différentes. À peu près n'importe qui prêt à payer peut suivre votre position!

Cependant, le chercheur en cybersécurité Robert Xiao a découvert qu'il existe un moyen encore plus simple. Il a révélé un exploit où la démo gratuite de la société pouvait être utilisée pour découvrir l'emplacement exact d'un téléphone portable sans même se connecter. N'importe qui, à tout moment, pour quelque raison que ce soit, pouvait utiliser sa plate-forme pour localiser une personne. Il l'a même testé sur ses amis!

Cette information a été publiée dans un rapport du journaliste en cybersécurité Brian Krebsseulement après que l'infraction eut été corrigée. Cependant, cela aide à renforcer le fait que de nombreuses institutions puissantes ne sont pas suffisamment sérieuses pour sécuriser les données sensibles et que la collecte de données gouvernementales ne peut être fiable.

  • Aucune note. Soyez le premier à attribuer une note !