Le rapport du Conseil irlandais pour les libertés civiles (ICCL) souligne comment une technologie publicitaire présente dans presque tous les sites Web et applications diffuse des données sensibles sur les dirigeants et le personnel de l’UE, ce qui pourrait les rendre vulnérables aux mauvais acteurs.
Un nouveau rapport d’un organisme irlandais de surveillance des libertés civiles a mis en évidence ce qu’il appelle une « crise de sécurité européenne » liée à la diffusion de données sensibles sur les dirigeants et le personnel qui pourraient porter atteinte aux organisations et aux institutions.
Le problème concerne une technologie de publicité en ligne largement utilisée appelée Real-Time Bidding (RTB), présente sur presque tous les sites Web et applications.
Les enchères en temps réel font référence à l’achat et à la vente automatisés d’impressions publicitaires en ligne via des enchères instantanées. Le processus se déroule généralement pendant le temps nécessaire au chargement d’une page Web et détermine quelles annonces s’affichent pour l’utilisateur.
Le problème, selon l’ICCL, est que ce système implique la « diffusion de données sensibles sur les personnes utilisant ces sites Web et applications vers un grand nombre d’autres entités, sans mesures de sécurité pour protéger les données ».
Les données en question incluent souvent des données de localisation ou des horodatages, qui peuvent être utilisés pour les relier facilement à des individus.
L’ICCL a analysé des dizaines de milliers de pages de données RTB, révélant qu’elles étaient utilisées pour cibler le personnel militaire et les décideurs politiques de l’UE.
« Les États étrangers et les acteurs non étatiques peuvent utiliser la RTB pour espionner les problèmes financiers, l’état mental et la compromission des secrets intimes d’individus », indique le rapport.
« Même si les individus ciblés utilisent des appareils sécurisés, les données les concernant continueront à circuler via RTB depuis les appareils personnels, leurs amis, leur famille et leurs contacts personnels compromettants », poursuit-il.
Le rapport souligne que les technologies de surveillance telles que PATTERNZ, un outil construit par une société privée appelée ISA Israel Security Academy & technologies, utilisent des données RTB dans leur produit.
Sur son site Web, la société déclare que le programme « permet aux agences de sécurité nationale d’utiliser les données générées par la publicité des utilisateurs en temps réel et historiques pour détecter, surveiller et prédire les actions des utilisateurs, les menaces de sécurité et les anomalies en fonction du comportement des utilisateurs, des modèles de localisation et des caractéristiques d’utilisation mobile. « .
Dans un résumé de ses principales conclusions, l’ICCL a affirmé que Google et d’autres sociétés RTB envoyaient des données sur des individus aux États-Unis vers la Russie et la Chine, où les lois locales autorisent les agences de sécurité à accéder à ces données.
En outre, ils ont affirmé que les données RTB étaient échangées au sein de l’UE de manière « libre pour tous », ce qui signifie que les acteurs étrangers et non étatiques pouvaient également les obtenir.
Selon le rapport, Google, le plus grand acteur du système RTB, répertorie 1 102 fournisseurs de technologie publicitaire susceptibles de recevoir des données de ses enchères RTB, parmi lesquelles figurent des entités russes et chinoises.
Le rapport souligne également que la filiale de publicité et d’analyse de Microsoft, Xandr, répertorie 1 647 entreprises parmi ses partenaires de serveurs publicitaires susceptibles de recevoir des données RTB de ses enchères.
Google a répondu que la liste des fournisseurs ne représentait pas les acheteurs autorisés dans le programme RTB et qu’il était incorrect de supposer qu’ils recevaient des données directement de Google.
« La liberté de données du secteur RTB a créé une menace nationale sérieuse », a déclaré le Dr Johnny Ryan, chercheur principal à l’ICCL, dans un communiqué de presse.
« Nous appelons la Federal Trade Commission américaine, les autorités européennes de protection des données et la Commission européenne à agir de toute urgence. L’industrie ne peut pas être autorisée à mettre en danger nos dirigeants élus et notre personnel militaire », a-t-il ajouté.
« Restrictions les plus strictes »
Dans une déclaration envoyée par courrier électronique, un porte-parole de Google a rejeté plusieurs des affirmations présentées dans le rapport.
« Pour protéger la vie privée des gens, nous appliquons les restrictions les plus strictes du secteur sur les types de données que nous partageons dans le cadre d’enchères en temps réel. Ce rapport contient des affirmations trompeuses et inexactes sur Google. Nos politiques d’enchères en temps réel ne permettent tout simplement pas à de mauvais acteurs de compromettre la vie privée et la sécurité des personnes », a déclaré le porte-parole.
Google a également souligné qu’il ne partage pas de données de localisation précise ni de données personnelles sensibles relatives à la santé, à la race, à la religion, à l’affiliation politique, à la localisation précise, à l’historique de localisation ou à l’historique de navigation avec les acheteurs RTB.
Ils ont ajouté qu’aucune information personnelle identifiable (PII) n’était partagée dans les demandes d’enchères et que depuis début 2022, Google avait suspendu la diffusion des annonces en Russie, ainsi que tous les partenaires Authorized Buyers basés en Russie.
Microsoft n’a pas encore répondu à une demande de commentaire sur cette histoire.