Les tiers qui vendent nos données personnelles sont ennuyeux. Mais pour certaines populations sensibles comme les militaires, la vente de ces informations pourrait rapidement devenir une menace pour la sécurité nationale. Des chercheurs de l’Université Duke ont publié lundi une étude sur les mesures mises en place par les courtiers en données pour empêcher des acteurs non identifiés ou potentiellement malveillants d’acheter des données personnelles sur des membres de l’armée. Il s’avère que la réponse est souvent rare, voire inexistante, même lorsque l’acheteur se fait activement passer pour un agent étranger.
Une étude Duke réalisée en 2021 par le même chercheur principal a révélé que les courtiers en données annonçaient qu’ils avaient accès – et étaient plus qu’heureux de vendre – à des informations sur le personnel militaire américain. Dans cette étude plus récente, les chercheurs ont utilisé des ordinateurs effacés, des VPN, des téléphones à graveur achetés avec de l’argent liquide et d’autres moyens d’obscurcissement de l’identité pour se cacher. Ils ont parcouru les sites Web des courtiers en données pour voir lesquels étaient susceptibles de disposer de données disponibles sur les militaires. Ils ont ensuite tenté d’effectuer ces achats, en se faisant passer pour deux entités : datamarketresearch.org et dataanalytics.asia. Avec peu ou pas de contrôle, plusieurs courtiers ont transféré les données demandées non seulement à la société datamarketresearch présumée basée à Chicago, mais également au serveur du domaine .asia situé à Singapour. Les disques ne coûtent qu’entre 12 et 32 centimes pièce.
Les informations sensibles comprenaient des dossiers de santé et des informations financières. Les données de localisation étaient également disponibles, bien que l’équipe de Duke ait décidé de ne pas les acheter – bien qu’il ne soit pas clair si c’était pour des raisons financières ou éthiques. « L’accès à ces données pourrait être utilisé par des acteurs étrangers et malveillants pour cibler le personnel militaire en service actif, les anciens combattants et leurs familles et connaissances à des fins de profilage, de chantage, de ciblage par des campagnes d’information, etc. », prévient le rapport. Au niveau individuel, cela peut également inclure le vol d’identité ou la fraude.
Cette faille béante dans notre appareil de sécurité nationale est due en grande partie à l’absence de réglementation fédérale complète régissant soit la confidentialité des données individuelles, soit une grande partie des pratiques commerciales suivies par les courtiers en données. Les sénateurs Elizabeth Warren, Bill Cassidy et Marco Rubio ont présenté la loi sur la protection des données des militaires en 2022 pour donner à la Federal Trade Commission le pouvoir d’empêcher les courtiers en données de vendre des informations sur le personnel militaire à des pays adversaires. Ils ont réintroduit le projet de loi en mars 2023 après qu’il soit resté au point mort. Malgré le soutien des deux partis, il n’a toujours pas dépassé la phase d’introduction.