Outre Atlantique,le business de la vente de données sur le marché de la géolocalisation est une chasse gardée des opérateurs de téléphonie mobile. Personne ne s’entend mieux qu’AT&T, Sprint ou Verizon pour vendre de l’abonnement aux particuliers, puis refourguer au prix du kilo(octet) les détails de la vie privée de chacun à des cyber-brasseurs qui en tireront profit.
Seulement,depuis quelques temps, explique Brian Krebs, les indélicatesses de ces recycleurs d’informations (ou leur incapacité à protéger les données) sont révélées par quelques chercheurs en sécurité.
Par exemple Securus, une mouche numérique fournissant des informations aux polices de la côte Est, qui a laissé fuité le contenu de ses bases. LocationSmart, un de ses concurrents, a totalement oublié ce que chiffrer voulait dire et ignorait même jusqu’à l’existence de la notion de droit d’accès, jusqu’au jour où un universitaire de Carnegie Mellon a pu consulter le « fichier client » du broker en utilisant la version de démonstration de son service. Derrière chaque contrat de ce genre se cache un Cambridge Analytica en puissance.
Ce qui n’empêche pas ces spécialistes de la minute facturée, qui sont aussi souvent des « professionnels de l’infosec », de distiller de signalés conseils en matière de protection des S.I. . Le complexe de Deloitte, en quelques sortes. Troué d’un côté, vendeur de bouchons de l’autre.
La suite est sans surprise. Un sénateur (démocrate) a demandé aux principaux opérateurs s’ils ne se sentaient pas concernés par la légèreté avec laquelle leurs données étaient exploitées. En réponse à ce coup de semonce, les entreprises interpelées décident de… dénoncer les contrats passés et de suspendre cet échange toxique.
… de suspendre, et non d’arrêter définitivement. Car, comme le prouve la réponse d’AT&T au sénateur, il est hors de question de cesser ce trafic juteux, sous prétexte que sans agrégateur, il « serait impossible de disposer d’une méthode pratique et efficace pour faciliter les demandes entre opérateurs concurrents ». De son côté, AT&T explique que si les données sont ainsi partagées, c’est pour le bien des usagers… sans cette géolocalisation permanente, les services d’assistance automobile ne pourraient fonctionner…or, ces services sauvent des vies humaines ! La panne de delco ou le pneu crevé prend soudain une dimension épique jusqu’à présent insoupçonnée.
En d’autres termes, les opérateurs promettent une amélioration des conditions d’exploitation, mais refusent toute influence extérieure dans l’établissement de leurs propres lois. Le meilleur des RGPD est le RGPD que l’on se cuisine. Jusqu’à ce qu’un nouveau scandale, une nouvelle fuite de données massive vienne chambouler ce pré-carré, et aboutisse peut-être à un encadrement législatif imposé par l’Etat. Dans combien de temps ?