Le CDC a suivi des millions de téléphones pour voir si les américains suivaient les ordres de confinement liés au COVID.

Des documents récemment publiés ont montré que le CDC prévoyait d’utiliser les données de localisation du téléphone pour surveiller les écoles et les églises, et souhaitait également utiliser les données à de nombreuses fins non liées à la COVID-19.
 
Les Centers for Disease Control and Prevention (CDC) ont acheté l’accès aux données de localisation collectées à partir de dizaines de millions de téléphones aux États-Unis pour effectuer une analyse du respect des couvre-feux, suivre les habitudes des personnes visitant les écoles de la maternelle à la 12e année et surveiller spécifiquement l’efficacité de la politique dans la nation Navajo, selon des documents du CDC obtenus par Motherboard. Les documents montrent également que bien que le CDC ait utilisé la COVID-19 comme raison d’acheter l’accès aux données plus rapidement, il avait l’intention de l’utiliser à des fins plus générales du CDC.
 

Les données de localisation sont des informations sur l’emplacement d’un appareil provenant du téléphone, qui peuvent ensuite montrer où une personne vit, travaille et où elle est allée. Le type de données achetées par le CDC a été agrégé – ce qui signifie qu’il a été conçu pour suivre les tendances qui émergent des mouvements de groupes de personnes – mais les chercheurs ont soulevé à plusieurs reprises des préoccupations quant à la façon dont les données de localisation peuvent être désanonymisées et utilisées pour suivre des personnes spécifiques.

Les documents révèlent le vaste plan que le CDC avait l’année dernière pour utiliser les données de localisation d’un courtier en données très controversé. SafeGraph, la société que le CDC a payée 420 000 dollars pour l’accès à un an de données, comprend Peter Thiel et l’ancien chef du renseignement saoudien parmi ses investisseurs. Google a banni la société du Play Store en juin.

Travaillez-vous dans l’industrie des données de localisation? Nous aimerions avoir de vos nouvelles. À l’aide d’un téléphone ou d’un ordinateur non professionnel, vous pouvez contacter Joseph Cox en toute sécurité sur Signal au +44 20 8133 5190, Wickr sur josephcox, OTR chat sur jfcox@jabber.ccc.de, ou par e-mail joseph.cox@vice.com.

Le CDC a utilisé les données pour surveiller les couvre-feux, les documents indiquant que les données de SafeGraph « ont été essentielles pour les efforts d’intervention en cours, tels que la surveillance horaire de l’activité dans les zones de couvre-feu ou le dénombrement détaillé des visites dans les pharmacies participantes pour la surveillance des vaccins ». Les documents datent de 2021.

Zach Edwards, un chercheur en cybersécurité qui suit de près le marché des données, a déclaré à Motherboard dans un chat en ligne après avoir examiné les documents: « Le CDC semble avoir délibérément créé une liste ouverte de cas d’utilisation, qui comprenait la surveillance des couvre-feux, des visites de voisin à voisin, des visites dans des églises, des écoles et des pharmacies, ainsi qu’une variété d’analyses avec ces données spécifiquement axées sur la « violence ». (Le document ne s’arrête pas aux églises; il mentionne les « lieux de culte ».)

Motherboard a obtenu les documents grâce à une demande de Freedom of Information Act (FOIA) auprès du CDC.

Les documents contiennent une longue liste de ce que le CDC décrit comme 21 « cas d’utilisation potentiels du CDC pour les données ». Il s’agit notamment des éléments suivants :

 

  • « Suivre les tendances des élèves de la maternelle à la 12e année par école et les comparer à 2019; comparer avec les mesures epi [Indice de performance environnementale] si possible.
  • « L’examen de la corrélation entre les données sur les modèles de mobilité et l’augmentation des cas de COVID-19 […] Restrictions de mouvement (fermeture des frontières, couvre-feux interrégionaux et quasi-régionaux) pour montrer la conformité.
  • « Examen de l’efficacité des politiques publiques sur [la] Nation Navajo. »

 

Au début de la pandémie, les données de localisation des téléphones cellulaires étaient considérées comme un outil potentiellement utile. Plusieurs organisations médiatiques, y compris le New York Times, ont utilisé les données de localisation fournies par les entreprises de l’industrie pour montrer où les gens se rendaient une fois que les confinements ont commencé à être levés, ou pour souligner que les communautés les plus pauvres étaient incapables de s’abriter sur place autant que les plus riches.

La pandémie de COVID-19 dans son ensemble a été un point chaud dans une guerre culturelle plus large, les conservateurs et les groupes anti-vaccins protestant contre les masques et les mandats de vaccination du gouvernement. Ils ont également exprimé une paranoïa spécifique selon laquelle les passeports vaccinaux seraient utilisés comme outil de suivi ou de surveillance, présentant le refus de vaccin comme une question de libertés civiles. La Défense de la santé des enfants de Robert F. Kennedy Jr., l’un des groupes anti-vaccins les plus influents et les plus financés aux États-Unis, a fait craindre que les certificats de vaccin numérique ne soient utilisés pour surveiller les citoyens. Le promoteur de QAnon, Dustin Nemos, a écrit sur Telegram en décembre que les passeports vaccinaux sont « un cheval de Troie utilisé pour créer un tout nouveau type de société contrôlée et surveillée dans laquelle la liberté dont nous jouissons aujourd’hui ne sera plus qu’un lointain souvenir ».

Dans ce contexte enflammé, l’utilisation des données de localisation des téléphones cellulaires pour une telle variété de mesures de suivi, même si elle est efficace pour mieux s’informer sur la propagation de la pandémie ou pour éclairer les politiques, est susceptible d’être controversée. Il est également susceptible de donner aux groupes anti-vaccins un point de données du monde réel sur lequel épingler leurs avertissements les plus sombres.

cdc-uses.png

UNE CAPTURE D’ÉCRAN DES CAS D’UTILISATION PROPOSÉS PAR LE CDC. IMAGE : CARTE MÈRE.

Les documents d’approvisionnement indiquent qu’« il s’agit d’une DEMANDE DE RP COVID-19 URGENTE » et demandent que l’achat soit accéléré.

Mais certains des cas d’utilisation ne sont pas explicitement liés à la pandémie de COVID-19. On peut y lire : « Points d’intérêt de recherche pour l’activité physique et la prévention des maladies chroniques, comme les visites dans les parcs, les gymnases ou les entreprises de gestion du poids. »

Une autre section du document détaille l’utilisation des données de localisation pour les programmes non liés à la COVID-19.

« Le CDC prévoit également d’utiliser les données et les services de mobilité acquis dans le cadre de cette acquisition pour soutenir les domaines programmatiques non liés à la COVID-19 et les priorités de santé publique dans l’ensemble de l’agence, y compris, mais sans s’y limiter, les déplacements dans les parcs et les espaces verts, l’activité physique et le mode de déplacement, ainsi que la migration de la population avant, pendant et après les catastrophes naturelles », peut-on lire. « Les données de mobilité obtenues dans le cadre de ce contrat seront disponibles pour une utilisation à l’échelle de l’agence CDC et soutiendront de nombreuses priorités du CDC. »

Le CDC n’a pas répondu à plusieurs courriels demandant des commentaires sur les cas d’utilisation pour lesquels il a déployé des données SafeGraph.

SafeGraph fait partie de l’industrie de la localisation en montgolfière, et SafeGraph a déjà partagé des ensembles de données contenant 18 millions de téléphones portables en provenance des États-Unis. Les documents indiquent que cette acquisition concerne des données géographiquement représentatives, « c’est-à-dire dérivées d’au moins 20 millions d’utilisateurs actifs de téléphones portables par jour aux États-Unis ».

En règle générale, les entreprises de ce secteur demandent, ou paient, aux développeurs d’applications d’inclure le code de collecte de données de localisation dans leurs applications. Les données de localisation sont ensuite acheminées vers des entreprises qui peuvent revendre les données de localisation brutes ou les emballer dans des produits.

SafeGraph vend les deux. Du côté des produits développés, SafeGraph propose plusieurs produits différents. Les « lieux » concernent les points d’intérêt (POI) tels que l’emplacement de magasins ou de bâtiments particuliers. « Patterns » est basé sur les données de localisation des téléphones mobiles qui peuvent montrer combien de temps les gens visitent un emplacement, et « D’où ils viennent » et « Où ils vont », selon le site Web de SafeGraph. Plus récemment, SafeGraph a commencé à offrir des données de transaction agrégées, montrant combien les consommateurs dépensent généralement à des endroits spécifiques, sous le produit « Dépenser ». SafeGraph vend ses produits à un large éventail d’industries, telles que l’immobilier, l’assurance et la publicité. Ces produits comprennent des données agrégées sur les mouvements et les dépenses, plutôt que sur l’emplacement d’appareils spécifiques. La carte mère avait précédemment acheté un ensemble de données de localisation SafeGraph pour 200 $. Les données ont été agrégées, ce qui signifie qu’elles n’étaient pas censées identifier les mouvements d’appareils spécifiques et donc de personnes, mais à l’époque, Edwards a déclaré: « À mon avis, les données SafeGraph sont bien au-delà de tout seuil de sécurité [autour de l’anonymat]. » Edwards a souligné un résultat de recherche dans le portail de données de SafeGraph qui affichait des données relatives au cabinet d’un médecin spécifique, montrant à quel point les données de l’entreprise peuvent être finement réglées. Théoriquement, un attaquant pourrait utiliser ces données pour tenter ensuite de démasquer les utilisateurs spécifiques, ce que les chercheurs ont démontré à plusieurs reprises comme étant possible.

n janvier 2019, le ministère des Transports de l’Illinois a acheté de telles données à SafeGraph qui concernaient plus de 5 millions de téléphones, a précédemment constaté l’organisation militante Electronic Frontier Foundation (EFF).

Les documents du CDC montrent que l’agence a acheté l’accès aux « données de base américaines » de SafeGraph, aux « données hebdomadaires sur les modèles » et aux « données sur les modèles de quartier ». Ce dernier produit comprend des informations telles que le temps de logement à domicile et est agrégé par État et par bloc de recensement.

« SafeGraph offre des données sur les visiteurs au niveau du groupe de blocs de recensement qui permettent d’obtenir des informations extrêmement précises sur l’âge, le sexe, la race, le statut de citoyenneté, le revenu, etc. », peut-on lire dans l’un des documents du CDC.

SafeGraph et le CDC ont déjà évoqué leur partenariat, mais pas dans les détails révélés dans les documents. Le CDC a publié une étude en septembre 2020 qui a examiné si les gens à travers le pays suivaient les ordres de rester à la maison, qui semblaient utiliser les données safeGraph.

SafeGraph a écrit dans un article de blog en avril 2020 que « Pour jouer notre rôle dans la lutte contre la crise sanitaire covid-19 – et son impact dévastateur sur l’économie mondiale – nous avons décidé d’étendre davantage notre programme, en rendant nos données sur le trafic piétonnier gratuites pour les organisations à but non lucratif et les agences gouvernementales aux niveaux local, étatique et fédéral. » Plusieurs entreprises de données de localisation ont vanté leurs données comme une atténuation potentielle de la pandémie pendant son pic aux États-Unis, et ont fourni des données aux organisations gouvernementales et médiatiques.

Un an plus tard, le CDC a acheté l’accès aux données parce que SafeGraph ne voulait plus les fournir gratuitement, selon les documents. L’accord d’utilisation des données pour les données fournies en nature devait expirer le 31 mars 2021, ajoutent les documents. Les données étaient toujours importantes à accéder à l’ouverture des États-Unis, a fait valoir le CDC dans les documents.

« Le CDC a intérêt à continuer d’accéder à ces données de mobilité à mesure que le pays s’ouvre à nouveau. Ces données sont utilisées par plusieurs équipes / groupes dans la réponse et ont permis de mieux comprendre la pandémie en ce qui concerne le comportement humain », peut-on lire dans une section.

Les chercheurs de l’EFF ont obtenu séparément des documents concernant l’achat par le CDC de produits de données de localisation similaires auprès d’une société appelée Cubeiq ainsi que les documents SafeGraph. L’EFF a partagé ces documents avec Motherboard. Ils ont montré que le CDC avait également demandé d’accélérer l’achat des données de Cubeiq en raison de la COVID-19 et avait l’intention de les utiliser à des fins autres que la COVID-19. Les documents ont également répertorié les mêmes cas d’utilisation potentiels pour les données de Cubeiq que dans les documents SafeGraph.

Google a banni SafeGraph de son Google Play Store en juin. Cela signifiait que tous les développeurs d’applications utilisant le code de SafeGraph devaient le supprimer de leurs applications, sinon leur application devait être supprimée du magasin. Il n’est pas tout à fait clair à quel point cette interdiction a été efficace: SafeGraph a déjà déclaré qu’il obtenait des données de localisation via Veraset, une société dérivée qui interagit avec les développeurs d’applications.

SafeGraph n’a pas répondu à plusieurs demandes de commentaires.

Source : https://www.vice.com/en/article/m7vymn/cdc-tracked-phones-location-data-curfews