Des courtiers en données plus que ravis de vendre des données personnelles du personnel militaire

Des courtiers en données plus que ravis de vendre des données personnelles du personnel militaire. Une faille dans la sécurité nationale qui pourrait avoir de lourdes conséquences.

Le fait que des tierces parties vendent nos données personnelles est ennuyeux. Mais pour certaines personnes à risque, comme le personnel militaire, la vente de ces informations pourrait rapidement devenir une menace de sécurité nationale. Des chercheurs de l’Université Duke ont publié une étude récemment montrant les mesures de sécurité en place chez les courtiers en données (les « data brokers ») pour empêcher que des personnes malintentionnées et/ou non identifiées achètent de telles données des militaires. Et il s’avère que la réponse est assez effrayante : il n’y a souvent que très peu de protections, voire aucune, et ce, même lorsque l’acheteur se dit explicitement être un agent étranger.

Des courtiers en données plus que ravis de vendre des données personnelles du personnel militaire

Une étude de Duke de 2021 du même chercheur révélait que les data brokers se vantaient d’avoir accès à des données du personnel militaire américain. Dans cette étude plus récente, les chercheurs ont utilisé des ordinateurs totalement nettoyés, des VPN, des téléphones jetables achetés en cash et d’autres méthodes pour dissimuler leur identité au maximum. Ils ont écumé les sites des courtiers en données pour voir lesquels ont des données sur le personnel militaire. Ils ont ensuite tenté d’acheter ces données, se faisant passer pour deux entités : datamarketresearch.org et dataanalytics.asia. Avec peu ou pas de vérifications, plusieurs de ces courtiers ont transféré les données demandées non seulement à l’entité présumée basée à Chicago datamarketresearch, mais aussi au serveur du nom de domaine en .asia localisé à Singapour. Les enregistrements ne coûtaient que 12 à 32 centimes l’unité.

Une faille dans la sécurité nationale qui pourrait avoir de lourdes conséquences

Les informations sensibles incluaient des données de santé et financières. Il y avait aussi des informations de localisation, même l’équipe de Duke a décidé de ne pas les acheter – nul ne sait si c’était pour des raisons financières ou éthiques -. « L’accès à ces données pourrait être utilisé par des personnes étrangères et/ou malveillantes pour cibler du personnel militaire en service, des vétérans et leurs familles ou leurs proches pour du profiling, du chantage, du ciblage avec des campagnes d’informations et plus encore », explique le rapport. Au niveau des individus, il pourrait aussi être question de vol d’identité ou de fraude.

Cette faille dans la sécurité nationale américaine est en grande partie due à l’absence de législation claire et complète dans le pays concernant la confidentialité des données des individus ou les pratiques des entités en relation avec les data brokers. Les Sénateurs Elizabeth Warren, Bill Cassidy et Marco Rubio avaient introduit le Protecting Military Service Members’ Data Act en 2022 pour donner pouvoir à la Federal Trade Commission d’empêcher les courtiers de vendre les informations du personnel militaire à d’autres nations. Ce projet de loi avait été de nouveau présenté en mars 2023. Le dossier n’a toujours pas avancé.