Comment les forces de l’ordre du pays achètent en gros des données de localisation de téléphones portables

✔️ 2022-09-01 07:13:59 – Paris/France.

Cet article fait partie de l’enquête de l’EFF sur les courtiers en données de localisation et Fog Data Science. Assurez-vous de consulter notre page de problème sur les courtiers en données de localisation.

À Chino, en Californie, la police a utilisé le service de géolocalisation de Fog Data Science pour effectuer des balayages massifs révélant qui se trouvait à proximité de scènes de vol et de cambriolage mineurs. Dans une enquête sur un meurtre rural dans le Missouri, le service de Fog a été utilisé pour suivre une baby-sitter qui n’a jamais été suspecte. À Greensboro, en Caroline du Nord, un superviseur de l’analyse criminelle a soulevé des drapeaux rouges sur sa constitutionnalité et a ensuite démissionné après que ses avertissements aient été ignorés. Et dans tous ces endroits et bien d’autres, la police n’a jamais semblé établir de règles sur quand et comment cet énorme filet numérique devrait ou ne devrait pas être utilisé.

L’EFF a déposé plus de 100 demandes de documents publics auprès des forces de l’ordre à travers le pays. Nous avons découvert qu’au moins 18 agences avaient des relations contractuelles passées ou en cours avec Fog. D’autres agences ont reçu gratuitement des essais du service de Fog. Notre enquête a été approfondie, mais non exhaustive; il est possible que de nombreuses autres agences utilisent actuellement les services de Fog.

Dans notre premier article sur Fog Data Science, nous avons décrit le fonctionnement du service Fog’s Reveal, d’où proviennent ses données et pourquoi il est si dangereux. Dans cet article, nous examinerons les enregistrements reçus par EFF afin de mieux comprendre comment le service de Fog Data Science est réellement utilisé. Nous approfondirons également les questions juridiques en jeu et discuterons de la manière dont les législateurs et les développeurs de plateformes peuvent arrêter le modèle commercial de Fog une fois pour toutes.

Quelles agences utilisent Fog ?

Les dossiers obtenus par EFF indiquent des relations contractuelles passées ou en cours avec au moins 18 clients des forces de l’ordre locales, étatiques et fédérales, et plusieurs autres agences ont accepté des essais gratuits du service de Fog. Les notes de la réunion d’une agence avec Fog indiquent que la société travaille avec des agences « 50-60 » à l’échelle nationale.

Une carte de certaines agences qui ont payé pour accéder au logiciel de Fog, selon les bons de commande et autres enregistrements reçus par EFF. Les verts sont des agences au niveau de l’État, les jaunes sont locaux et les violets sont des centres de fusion.

L’application de la loi au niveau de l’État est un contingent majeur de la clientèle de Fog. La police d’État du Maryland, de l’Indiana et du New Jersey, les patrouilles routières de Californie et du Missouri et le Tennessee Bureau of Investigation ont tous eu des contrats avec Fog d’une durée d’au moins un an.

Certaines des plus grandes agences locales du pays ont également travaillé avec Fog, notamment le NYPD, le département de police de Houston et le bureau du shérif du comté de Broward. Mais Fog a également vendu ses services à des agences beaucoup plus petites, comme la police de Lawrence, Kansas (population 97 000) et le shérif du comté de Washington, OH (population 60 000).

Agence

État

Début de licence

Fin de licence (est.)

Patrouille routière de Californie

Californie

1/2019

1/2021

Département de police de Chino

Californie

9/2020

9/2021

Procureur de district du comté d’El Dorado

Californie

8/2021

actif

Département de police de Frémont

Californie

7/2019

12/2021

Centre d’information et d’analyse du comté d’Orange (OCIAC)

Californie

6/2020

5/2021

Centre d’information et d’analyse du Delaware (DIAC)

DE

inconnue

inconnue

Bureau du shérif du comté de Broward

Floride

6/2019

6/2020

Division du renseignement et centre de fusion de l’Iowa

IA

11/2020

actif

Police d’État de l’Indiana

DANS

4/2018

6/2021

Service de police de Laurent

KS

4/2019

5/2019

Police d’État du Maryland

MARYLAND

4/2018

4/2019

Patrouille routière de l’État du Missouri

MME

8/2018

8/2020

Service de police de Greensboro

NC

2/2020

inconnue

Shérif du comté de Rockingham

NC

5/2021

inconnue

Police de l’État du New Jersey

New Jersey

inconnue

inconnue

Département de police de New York

New York

8/2018

inconnue

Shérif du comté de Washington

OH

6/2021

inconnue

Bureau d’enquête du Tennessee

TN

4/2018

actif

Département de police de Houston

TX

5/2020

4/2021

Maréchaux américains

National

9/2018

9/2020

Le tableau provient de cette doc : Brouiller les clients connus

Les responsables de Fog ont déclaré aux forces de l’ordre que son premier client était le Centre d’information et d’analyse du Département de la sécurité publique du Delaware (DIAC). Le DIAC est un centre de fusion, une entité désignée par le département américain de la Sécurité intérieure (DHS) pour servir de centre de collecte et de partage d’informations pour les forces de l’ordre locales, étatiques, tribales et fédérales. Les centres de fusion de l’Iowa et du sud de la Californie ont également travaillé avec Fog.

Les centres de fusion sont une branche locale de la soi-disant communauté du renseignement. Une grande partie de leur objectif déclaré consiste à éliminer les barrières entre les diverses agences gouvernementales qui collectent et conservent des informations de renseignement criminel, notamment en facilitant le partage de données entre les forces de l’ordre locales et les agences de renseignement fédérales. Les centres de fusion sont dotés de la police locale, d’adjoints du shérif et d’autres employés du gouvernement local, ainsi que du personnel du DHS; cependant, les centres de fusion ne sont pas des entités fédérales. Les centres de fusion servent également de plaques tournantes pour le traitement des «rapports d’activités suspectes», ou SAR, qui peuvent soumettre les personnes à une enquête des forces de l’ordre sur la base de preuves qui n’atteignent pas nécessairement le niveau de cause probable ou de suspicion raisonnable.

Fog a également travaillé avec les forces de l’ordre fédérales. En 2018, Fog a signé un contrat de 120 000 $ sur 2 ans avec les US Marshals, une division du ministère de la Justice. En outre, un responsable des enquêtes sur la sécurité intérieure a présenté des « Stratégies sur les enquêtes sur la traite des êtres humains » aux forces de l’ordre locales, y compris plusieurs diapositives mentionnant Fog.

Le pitch marketing de Fog

Fin mars 2020, Mark Massop tentait de conclure un accord pour vendre Fog Reveal au Orange County Intelligence Assessment Center (OCIAC), un centre de fusion dirigé par le personnel du département du shérif du comté d’Orange. Alors que le COVID-19 balayait le pays, Fog a vu une opportunité. La ville de New York a connu des taux d’infection élevés au cours des premières semaines de la pandémie, et cela a rendu les dirigeants des États voisins nerveux à propos des résidents de New York voyageant et propageant le virus. Le gouverneur de Rhode Island avait récemment proposé d’interdire à tous les voyageurs de New York. Fog a mis en place une démo pour le comté d’Orange illustrant comment ses données pourraient être utilisées pour aider à faire respecter une telle interdiction.

Fog a lancé une requête sur son jeu de données, recherchant toute personne ayant voyagé entre Port Chester, NY et Newport, RI entre le 5 et le 22 mars. Il a trouvé 52 appareils. Le brouillard s’est ensuite resserré sur l’un de ces appareils et y a exécuté une analyse du « modèle de vie », en interrogeant chaque ping GPS associé à cet appareil au cours des 90 jours précédents. Il a trouvé plus de 24 000 pings, soit plus de 266 par jour, localisant l’appareil dans le Rhode Island, le Massachusetts, New York et le Connecticut. Il a montré comment l’appareil avait fait plusieurs voyages à travers la Nouvelle-Angleterre, s’arrêtant dans la région métropolitaine de New York et près de Rochester à des moments différents. Et cela a révélé la maison probable du propriétaire de l’appareil, près de Providence, et plusieurs de leurs destinations communes à proximité.

Les résultats de cette requête étaient probablement plus que suffisants pour identifier le propriétaire de l’appareil, ou à tout le moins son adresse personnelle. La personne identifiée par cette information n’avait auparavant fait l’objet d’aucun soupçon. Aucune citation à comparaître ou mandat n’avait été émis par les forces de l’ordre demandant leurs données. Ils n’étaient même pas soupçonnés d’avoir enfreint les lois, puisque l’interdiction de voyager dans le Rhode Island était encore hypothétique. Mais en quelques clics, un employé de Fog a pu accéder à un récit exhaustif et détaillé de sa vie au cours des dernières semaines.

Cette incursion pénétrante dans la vie privée d’un étranger a été réalisée sur un coup de tête, apparemment dans le but de montrer les capacités de Fog à un client potentiel des forces de l’ordre. La vitrine a démontré comment, pour une somme modique, ce panoptique basé sur le Web pouvait être accessible à toute personne du département du shérif du comté d’Orange et de son centre de fusion affilié.

Ce n’était pas la seule fois que l’équipe de Fog utilisait ses données pour suivre des personnes dans le cadre d’une démonstration. Dans une présentation partagée avec Chino, Californie – une ville d’environ 90 000 habitants dans le comté de San Bernardino – Fog a décrit et étudié en détail un « exemple de cas ». L’affaire concernait le meurtre d’une famille de quatre personnes dans le nord de l’État de New York. Il ne semble pas que Fog ait été impliqué dans l’enquête proprement dite; les analystes de Fog ont plutôt utilisé leurs données pour simuler une enquête basée sur les détails de l’affaire qui étaient publics.

Tout d’abord, Fog a utilisé une «recherche de zone» pour identifier tous les appareils présents à proximité de la scène du crime pendant une fenêtre de 15 heures. Cela a identifié trois dispositifs distincts. Ensuite, l’analyste a effectué une «recherche d’appareils» sur chacun d’eux au cours des 90 jours précédents, révélant les habitudes quotidiennes des propriétaires d’appareils. Un propriétaire d’appareil a été déterminé comme étant un voisin et un autre a été jugé susceptible d’être une victime. Le troisième appareil a été repéré plusieurs milliers de fois, permettant à l’analyste d’identifier une résidence probable (ailleurs dans la ville) et plusieurs destinations de voyage récentes hors de l’État. Son propriétaire a été identifié dans l’argumentaire de vente comme suspect ou témoin possible. L’analyse s’est arrêtée là et le présentateur a suggéré les prochaines étapes de l’enquête hypothétique.

Dans ces démonstrations, Fog a suivi de vraies personnes en utilisant son accès à des billions de points de données privés afin de montrer aux clients potentiels ce que leur service pouvait faire. Bien que ces exemples aient été sélectionnés par Fog pour se présenter aux forces de l’ordre sous le meilleur jour possible, ils démontrent également avec précision ses implications effrayantes en matière de confidentialité.

Théorie contre pratique

L’EFF a envoyé des demandes d’enregistrements aux agences nationales et locales demandant tous les e-mails et pièces jointes mentionnant Fog Data Science, ainsi que tous les enregistrements envoyés à ou par les employés de Fog. La plupart des États autorisent la police à expurger les dossiers concernant les enquêtes en cours, nous n’avons donc pas de compte rendu complet de la manière dont Fog Reveal a été utilisé. Cependant, les dossiers décrivent plusieurs cas dans lesquels le produit de Fog a été utilisé pour enquêter sur de vraies personnes.

Quelques tendances se dégagent. Premièrement, Fog et son agent commercial Mark Massop agissent souvent en tant que partenaires directs dans des enquêtes criminelles actives. À plusieurs reprises, les forces de l’ordre ont partagé des détails privilégiés sur une enquête en cours avec Fog et Massop, puis ont effectué des requêtes sur des lieux ou des appareils d’intérêt et ont dit aux agents ce qu’il avait trouvé.

Deuxièmement, Fog aiderait les agences à faire la traduction entre les identifiants publicitaires extraits des téléphones mobiles et les identifiants d’appareils propriétaires de Fog (parfois appelés « ID FOG » ou « VID »). Pour expliquer pourquoi cela est important, il vaut la peine de développer la structure des données de Fog.

Fog affirme que Reveal associe les données de localisation à des identifiants d’appareil « hachés et anonymisés » basés sur des identifiants publicitaires. En d’autres termes, les identifiants d’appareil renvoyés par Fog Reveal ne sont pas les mêmes que les identifiants publicitaires de ces appareils. Fog a utilisé cette déconnexion entre les VID de son système destiné aux clients et les identifiants publicitaires de nos téléphones comme preuve que ses données ne contiennent « aucune PII » (informations personnellement identifiables). Mais les enregistrements de l’Iowa et d’ailleurs montrent que Fog était heureux de traduire les identifiants publicitaires et les VID sur demande. Ceci est important car les identifiants d’annonces mobiles sont extrêmement faciles à lier à des identités réelles. La facilité avec laquelle Fog a traduit ses identifiants propriétaires en identifiants publicitaires sape l’affirmation de Fog selon laquelle il ne vend pas d’informations personnellement identifiables.

Troisièmement, le service de Fog était parfois utilisé pour enquêter sur des crimes violents et des meurtres,…

SOURCE : Reviews News

N’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. 🤓

Quitter la version mobile