Services de police américains s’appuient de plus en plus sur une pratique de surveillance controversée pour exiger de grandes quantités de données sur les utilisateurs des entreprises technologiques, dans le but d’identifier des suspects criminels.
Les recherches dites « inversées » permettent aux forces de l’ordre et aux agences fédérales de forcer les grandes entreprises technologiques, comme Google, à fournir des informations provenant de leurs vastes réserves de données utilisateur. Ces ordonnances ne sont pas propres à Google – toute entreprise ayant accès aux données des utilisateurs peut être obligée de les fournir – mais le géant de la recherche est devenu l’un des plus grands destinataires des demandes de la police pour accéder à ses bases de données d’informations sur les utilisateurs.
Par exemple, les autorités peuvent exiger qu’une entreprise technologique fournisse des informations sur chaque personne qui se trouvait à un endroit particulier à un moment donné en fonction de l’emplacement de son téléphone, ou qui a recherché un mot-clé ou une requête spécifique. Grâce à une décision de justice récemment divulguée, les autorités ont montré qu’elles étaient en mesure de recueillir des informations identifiables sur tous ceux qui regardaient certaines vidéos YouTube.
Les recherches inversées jettent effectivement un filet numérique sur le stockage de données utilisateur d’une entreprise technologique pour récupérer les informations recherchées par la police.
Les défenseurs des libertés civiles ont fait valoir que ces types d’ordonnances approuvées par les tribunaux sont trop larges et inconstitutionnelles, dans la mesure où elles peuvent également obliger les entreprises à divulguer des informations sur des personnes totalement innocentes sans aucun lien avec le crime présumé. Les critiques craignent que ces ordonnances judiciaires puissent permettre à la police de poursuivre des personnes en fonction de l’endroit où elles se rendent ou de ce qu’elles recherchent sur Internet.
Jusqu’à présent, même les tribunaux ne parviennent pas à s’entendre sur la question de savoir si ces ordonnances sont constitutionnelles, ce qui pourrait donner lieu à une contestation judiciaire devant la Cour suprême des États-Unis.
Entre-temps, les enquêteurs fédéraux poussent déjà plus loin cette pratique juridique controversée. Dans une affaire récente, les procureurs ont exigé que Google fournisse des informations sur toutes les personnes ayant accédé à certaines vidéos YouTube afin de retrouver un blanchisseur d’argent présumé.
Une demande de recherche récemment descellée déposée auprès d’un tribunal fédéral du Kentucky l’année dernière a révélé que les procureurs voulaient que Google « fournisse des enregistrements et des informations associés aux comptes Google ou aux adresses IP accédant aux vidéos YouTube pendant une période d’une semaine, entre le 1er janvier 2023 et le 8 janvier ». 2023. »
L’application de recherche indique que dans le cadre d’une transaction d’infiltration, le blanchisseur d’argent présumé a partagé un lien YouTube avec les enquêteurs, et les enquêteurs ont renvoyé deux autres liens YouTube. Les trois vidéos – que TechCrunch a vues et qui n’ont rien à voir avec le blanchiment d’argent – ont collectivement accumulé environ 27 000 vues au moment de l’application de recherche. Les procureurs ont néanmoins demandé une ordonnance obligeant Google à partager des informations sur chaque personne ayant regardé ces trois vidéos YouTube au cours de cette semaine, probablement dans le but de réduire la liste des individus à leur principal suspect, qui, selon les procureurs, avait visité tout ou partie des lieux. trois vidéos.
Cette ordonnance judiciaire particulière était plus facile à obtenir pour les forces de l’ordre qu’un mandat de perquisition traditionnel, car elle visait à accéder aux journaux de connexion indiquant qui avait accédé aux vidéos, plutôt qu’au mandat de perquisition de niveau plus élevé que les tribunaux peuvent utiliser pour exiger que les entreprises technologiques remettent le contenu. des messages privés de quelqu’un.
Le tribunal fédéral du Kentucky a approuvé l’ordre de perquisition sous scellés, bloquant sa diffusion publique pendant un an. Google n’avait pas le droit de divulguer cette demande jusqu’au mois dernier, date à laquelle l’ordonnance du tribunal a expiré. Forbes a d’abord signalé l’existence de l’ordonnance du tribunal.
On ne sait pas si Google a respecté l’ordre, et un porte-parole de Google a refusé de répondre dans un sens ou dans l’autre lorsque TechCrunch lui a demandé.
Riana Pfefferkorn, chercheuse à l’Observatoire Internet de Stanford, a déclaré qu’il s’agissait d’un « exemple parfait » de la raison pour laquelle les défenseurs des libertés civiles critiquent depuis longtemps ce type d’ordonnance judiciaire pour sa capacité à accorder à la police l’accès aux informations intrusives des citoyens.
« Le gouvernement force essentiellement YouTube à servir de pot de miel aux autorités fédérales pour piéger un suspect criminel en triangulant sur qui a visionné les vidéos en question au cours d’une période donnée », a déclaré Pfefferkorn, parlant de la récente ordonnance ciblant les utilisateurs de YouTube. « Mais en demandant des informations sur tous ceux qui ont visionné l’une ou l’autre des trois vidéos, l’enquête peut également impliquer des dizaines, voire des centaines d’autres personnes qui ne sont pas soupçonnées d’actes répréhensibles, tout comme les mandats de recherche inversés pour la géolocalisation. »
Exiger la botte de foin numérique
Les ordonnances et les mandats de recherche inversée sont un problème en grande partie imputable à Google, en partie grâce aux quantités gargantuesques de données utilisateur que le géant de la technologie collecte depuis longtemps sur ses utilisateurs, comme les historiques de navigation, les recherches sur le Web et même les données de localisation granulaires. Réalisant que les géants de la technologie détiennent d’énormes quantités de données de localisation et de requêtes de recherche des utilisateurs, les forces de l’ordre ont commencé à convaincre les tribunaux d’accorder un accès plus large aux bases de données des entreprises technologiques au-delà du simple ciblage des utilisateurs individuels.
Une ordonnance de perquisition autorisée par le tribunal permet à la police d’exiger des informations d’une compagnie de technologie ou de téléphone sur une personne qui, selon les enquêteurs, est impliquée dans un crime qui a eu lieu ou est sur le point de se produire. Mais au lieu d’essayer de retrouver leur suspect en cherchant une aiguille dans une botte de foin numérique, la police exige de plus en plus de gros morceaux de la botte de foin – même si cela comprend des informations personnelles sur des personnes innocentes – pour rechercher des indices.
En utilisant cette même technique pour exiger des informations d’identification de toute personne ayant visionné des vidéos YouTube, les forces de l’ordre peuvent également exiger que Google fournisse des données identifiant chaque personne qui se trouvait à un certain endroit et à une certaine heure, ou chaque utilisateur ayant effectué une recherche sur Internet pour une requête spécifique.
Les mandats de géofence, comme on les appelle plus communément, permettent à la police de dessiner une forme sur une carte autour d’une scène de crime ou d’un lieu d’intérêt et d’exiger d’énormes quantités de données de localisation provenant des bases de données de Google sur toute personne dont le téléphone se trouvait dans cette zone à un moment donné. .
La police peut également utiliser des mandats de « recherche par mot-clé » qui peuvent identifier chaque utilisateur ayant recherché un mot-clé ou un terme de recherche au cours d’une période donnée, généralement pour trouver des indices sur des suspects criminels recherchant à l’avance leurs crimes potentiels.
Ces deux garanties peuvent être efficaces car Google stocke les données de localisation granulaires et les requêtes de recherche de milliards de personnes dans le monde.
Les forces de l’ordre pourraient défendre la technique de surveillance pour son étrange capacité à attraper même les criminels présumés les plus insaisissables. Mais de nombreuses personnes innocentes ont été impliquées par erreur dans ces enquêtes – dans certains cas en tant que suspects criminels – simplement parce qu’elles disposaient de données téléphoniques qui semblent les placer à proximité de la scène d’un crime présumé.
Bien que la pratique de Google consistant à collecter autant de données que possible sur ses utilisateurs fasse de l’entreprise une cible privilégiée et l’un des principaux destinataires de mandats de recherche inversée, elle n’est pas la seule entreprise soumise à ces ordonnances judiciaires controversées. Toute entreprise technologique, grande ou petite, qui stocke des banques de données utilisateur lisibles peut être obligée de les remettre aux forces de l’ordre. Microsoft, Snap, Uber et Yahoo (qui possède TechCrunch) ont tous reçu des commandes inversées pour les données utilisateur.
Certaines entreprises choisissent de ne pas stocker les données des utilisateurs et d’autres brouillent les données afin qu’elles ne soient accessibles à personne d’autre que l’utilisateur. Cela empêche les entreprises de donner accès à des données auxquelles elles n’ont pas ou ne peuvent pas accéder, en particulier lorsque les lois changent du jour au lendemain, comme lorsque la Cour suprême des États-Unis a annulé le droit constitutionnel d’accéder à l’avortement.
Google, pour sa part, met progressivement un terme à sa capacité à répondre aux mandats de géofence, notamment en déplaçant l’endroit où il stocke les données de localisation des utilisateurs. Au lieu de centraliser d’énormes quantités d’historiques de localisation précis des utilisateurs sur ses serveurs, Google commencera bientôt à stocker les données de localisation directement sur les appareils des utilisateurs, de sorte que la police devra rechercher les données directement auprès du propriétaire de l’appareil. Pourtant, jusqu’à présent, Google a laissé la porte ouverte à la réception d’ordres de recherche visant à obtenir des informations sur les requêtes de recherche et l’historique de navigation des utilisateurs.
Mais comme Google et d’autres le découvrent à leurs dépens, le seul moyen pour les entreprises d’éviter de divulguer les données des clients est de ne pas les avoir au départ.