Un récent rapport du groupe de recherche Citizen Lab s'est concentré sur un outil peu connu en dehors des cercles de sécurité : un système mondial de surveillance basé sur des données publicitaires qui permet la localisation triangulaire et le mouvement des appareils mobiles à grande échelle. Selon ces recherches, la technologie, connue sous le nom de Webloc, a été créée par Israeli Cobwebs Technologies et fait maintenant partie du catalogue de la société Penlink suite à la fusion annoncée en 2023. Ce qui est pertinent n'est pas seulement la capacité technique, mais aussi qui l'utilise et quels contrôles (ou sans eux). Vous pouvez consulter le travail de Citizen Lab sur son site Web pour plus de contexte : citoyen.
En substance, Webloc exploite les impressions que nous laissons lors de l'utilisation d'applications mobiles et de services publicitaires : identificateurs publicitaires, coordonnées géolocalisées, adresses IP et autres métadonnées que de nombreux réseaux SDK et publicitaires collectent et vendent. Avec ces ingrédients, l'outil reconstitue les itinéraires, les modes de vie et les affinités pendant les périodes qui, selon la documentation commerciale, peuvent couvrir des années. Le résultat est une couche d'intelligence qui relie le numérique et le physique et permet aux gens de suivre sans avoir à accéder directement à l'opérateur du réseau mobile.
Les rapports du Citizen Lab et les bulletins d'information ont permis d'identifier les clients du gouvernement et de la police qui ont accès à ce type de capacité. Il s ' agit notamment d ' organismes américains et de services de police dans différentes villes, ainsi que de forces internationales. La possibilité de consulter et d'automatiser les recherches sur des millions d'identificateurs différents soulève une question évidente : quelle est la garantie que ces consultations sont menées dans le cadre d'une ordonnance ou d'un contrôle judiciaire appropriés ? Des moyens tels que Forbes, des organisations locales telles que Observateur du Texas et des espaces spécialisés dans la recherche technologique ont documenté comment ces outils peuvent être utilisés sans l'intervention des tribunaux.
La technologie en question est née en tant que produit commercial: Cobwebs l'a présenté publiquement comme une plate-forme de renseignement de localisation qui combine les données web et les points géospatials pour offrir des « cartes interactives » et des couches analytiques. Suite à l'accord conclu avec Penlink, l'offre a été intégrée dans un écosystème logiciel qui, selon l'entreprise elle-même, est orienté vers la collecte et l'analyse de preuves numériques pour les cas de sécurité. Sur le site officiel de Penlink, vous trouverez des informations sur votre portefeuille de produits et vos déclarations d'entreprise : Penlink.com. L'entreprise a répondu publiquement aux conclusions du rapport, indiquant que certaines interprétations sont inexactes et soulignant sa conformité aux lois américaines sur la protection des renseignements personnels.
Outre l'achat et l'agrégation de données de tiers, Webloc intègre des techniques permettant d'inférer les emplacements à partir d'adresses IP et d'associer des appareils à des foyers ou à des lieux de travail, ce qui facilite l'identification des personnes derrière les téléphones mobiles. Ce type de méthodes n'est pas nouveau: de nombreux rapports expliquent depuis des années comment les données de localisation échangées par les intermédiaires permettent de reconstruire les mouvements et les habitudes dans un détail qui surprend ceux qui ne connaissent pas le secteur des données. Une approche journalistique recommandée pour l'écosystème de collecte des lieux se trouve dans l'article du New York Times sur le thème : Vos applications savent où vous étiez hier soir, et elles ne le gardent pas secret.
La trajectoire des fournisseurs soulève également des préoccupations. Cobwebs a été remarqué il y a longtemps dans les mouvements de modération de la plate-forme: Meta a inclus l'entreprise parmi sept fournisseurs qu'elle a bloqués en décembre 2021 pour des comptes d'exploitation pour la collecte et la manipulation d'informations. Meta lui-même a expliqué que ces opérations avaient servi à surveiller et à recueillir des renseignements sur les communautés, les militants et les personnalités publiques dans différents pays; la déclaration officielle peut être consultée ici: environ.fb.com.
Un autre aspect du rapport est l'infrastructure technique : des centaines de serveurs liés au déploiement de produits ont été identifiés dans plusieurs pays, avec une concentration importante aux États-Unis et une présence en Europe, en Asie et dans d'autres régions. Cela suggère que, bien que la technologie soit commercialisée à partir d'une source donnée, son empreinte opérationnelle est mondiale. D'un point de vue juridique, la dispersion géographique des serveurs et des fournisseurs de données complique la traçabilité et le contrôle judiciaire des utilisations potentiellement envahissantes.
Compte tenu de ce scénario, la critique porte sur deux domaines : la capacité technique d'effectuer un suivi massif et rétroactif et l'absence de cadres de suivi solides pour s'assurer que ces capacités sont utilisées avec des limites claires. Pour des organisations comme Citizen Lab, la combinaison de ces facteurs équivaut à une forme de surveillance intrusive qui, dans de nombreux cas, est exercée sans la procédure régulière habituelle. Le rapport lui-même et les articles de recherche qui l'accompagnent soulignent la nécessité d'une plus grande transparence de la part des fournisseurs et des acheteurs, ainsi que de mécanismes de responsabilisation pour les organismes qui embauchent ces services.
Les implications civiles sont graves: de l'érosion de la vie privée individuelle aux risques spécifiques pour les militants, les journalistes et les opposants politiques dans des contextes où les institutions ne protègent pas les droits fondamentaux. Dans le même temps, les responsables de l'application des lois font valoir que des outils sophistiqués de renseignement géospatial peuvent être utiles dans les enquêtes criminelles complexes. Le dilemme est donc de trouver un équilibre entre sûreté et droits. Le débat public et législatif sur l'accès et le contrôle des données de localisation continue de progresser, mais plus lentement que l'adoption technologique.
En tant que journalistes et citoyens, trois fronts devraient être surveillés: quelles entreprises commercialisent les capacités de suivi, qui sont leurs clients et selon quelles règles ils opèrent, et quels mécanismes de suivi et de transparence existent pour vérifier les utilisations et les abus. L'évolution récente montre que le commerce des données publicitaires n'est plus un problème abstrait pour les spécialistes: a acquis la capacité technique de convertir les pistes commerciales en outils de surveillance à grande échelle avec des conséquences tangibles pour les droits et les libertés.
Si vous voulez approfondir, en plus de la recherche de Citizen Lab, la couverture médiatique et les notes des entreprises elles-mêmes sont des points de départ utiles. Les discussions sur la réglementation et le contrôle des données à caractère personnel seront intensifiées dans les années à venir; dans l'intervalle, il convient de demander des précisions sur la manière et les raisons d'utiliser ces technologies, en particulier lorsque leur utilisation peut affecter des personnes innocentes qui n'ont jamais été suspectées.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...