Ils savaient.
Depuis dix ans.
Dix ans d’avertissements de la part d’entrepreneurs, d’analystes, de gens payés pour leur dire exactement à quel point nos troupes sont exposées. Toute personne disposant d’une carte de crédit et disposant d’un moment libre peut acheter une carte indiquant l’endroit où dorment les soldats. Où ils travaillent. Où nous gardons les armes nucléaires.
Maintenant. La facture arrive à échéance.
Dans une zone de guerre, rien de moins.
L’admission
Le commandement central américain a finalement envoyé une lettre.
C’est moche à lire, mais assez honnête.
« Plusieurs rapports de menaces concernant l’exploitation par des adversaires de données commerciales. »
C’est la première fois qu’un responsable admet que les courtiers en données sont activement utilisés pour traquer les soldats américains au Moyen-Orient.
Reuters a reçu la lettre. Mais cette lettre n’est que la pointe de l’iceberg.
Le dossier remonte bien plus loin.
Le Congrès a entendu ces mêmes alarmes. Même intelligence. Mêmes témoins. Pourtant, rien ne s’est produit. Les lois sont au point mort.
Il y a eu une petite solution, bien sûr – une règle interdisant aux sous-traitants militaires de revendre les données partagées – mais cela a laissé le reste de l’industrie grand ouvert.
L’avertissement a commencé en 2016, à Fort Bragg. Une note technique du gouvernement destinée aux officiers supérieurs a montré quelque chose de effrayant. Les données de localisation commerciales – achetées légalement et non piratées – pourraient suivre les unités d’élite depuis la base aérienne de MacDill jusqu’en Turquie, puis jusqu’en Syrie.
Ils se sont regroupés dans des bases secrètes. Les données l’ont montré.
Tout espion étranger aussi.
Risque d’achat
Même après avoir été prévenus, certaines parties du Pentagone ont adoré ce marché.
La Defense Intelligence Agency a déclaré au Congrès dans les années 2020 qu’elle avait acheté des données de localisation téléphonique. Y compris les données sur les Américains.
Aucun mandat. Ils ne pensaient pas en avoir besoin.
La carte mère l’a confirmé quelques mois plus tôt. L’armée se nourrissait des données des applications grand public.
Puis en 2023.
L’armée a payé pour découvrir à quel point la situation était grave.
Les chercheurs de Duke, financés par West Point, se sont fait passer pour des adversaires.
Ils ont gratté les courtiers en données. Listes trouvées intitulées « Familles militaires » et « Familles militaires de base ».
Le coût ? Douze cents par disque.
Ils ont acheté des noms. Adresses personnelles. Problèmes de santé.
Ils se sont fait passer pour un acheteur singapourien et ont obtenu des données géolocalisées autour de Fort Bragg et de Quantico. Un courtier a renoncé aux contrôles d’identité pour un virement bancaire.
C’est devenu pire.
WIRED a trouvé ces mêmes données dans la plateforme publicitaire de Google.
Grâce au Conseil irlandais pour les libertés civiles, les enquêteurs ont vu des segments sur Google Display & Video 360.
Cibler les « décideurs » américains en matière de sécurité nationale.
Les gens travaillant dans les usines de missiles.
Créateurs de systèmes cryptographiques.
L’enquêteur a créé une fausse société d’analyse.
Il a dit :
“Quand je me suis inscrit, aucune question n’a été posée.”
Il aurait pu être n’importe qui. Un terroriste ? Un enfant ? Une personne au hasard dans la rue. Cela n’avait pas d’importance.
Conséquences réelles
Ce n’est pas hypothétique.
L’année dernière, les journalistes allemands et WIRED ont reçu un « échantillon gratuit » d’un courtier de Floride.
3,6 milliards de points de données. 11 millions de téléphones allemands. Deux mois de suivi.
À l’intérieur de ces données ? Troupes américaines.
Plus de 12 300 appareils ont transité par 11 bases américaines. Siège social de Wiesbaden.
Écoles pour enfants.
Appareils à la base aérienne de Büchel où les armes nucléaires sont placées dans des bunkers.
Des engins zigzaguant sur les parcours de véhicules blindés à Grafenwöhr, juste avant que des saboteurs présumés y soient arrêtés.
Interrogé à ce sujet, un porte-parole du Pentagone a donné une réponse fatiguée.
N’oubliez pas l’OPSEC. Sois prudent.
Mais la responsabilité individuelle ne résout pas la pourriture systémique.
L’institut militaire de West Point a noté qu’un cinquième des domaines visités sur ses réseaux non classifiés étaient des trackers.
Le réparer ? Bon marché. Facile.
Recommandation : abandonnez Google Chrome sur les appareils gouvernementaux. Il refuse de bloquer les cookies tiers. Tout le monde le fait. Chrome dit simplement non.
Un an plus tard.
Les législateurs demandent exactement la même chose.
Toujours ignoré
Quatorze membres du Congrès ont écrit au Pentagone. Biparti.
Ils l’ont aménagé. Vous le savez depuis dix ans.
Vous « n’avez pas réussi à adopter des défenses de bon sens ».
Ils veulent que Kirsten Davies, la CIO, agisse réellement. Désactivez les identifiants publicitaires sur les téléphones militaires. Remplacez Chrome par un navigateur sécurisé. Inscrivez les soldats sur les listes de désinscription de l’État.
Ils ont spécifiquement posé des questions sur le rapport de West Point. Et une loi de 2010 destinée à protéger le personnel vulnérable.
Le timing est brutal.
Centcom affirme avoir commencé à désactiver le partage de position sur les smartphones gouvernementaux ce mois-ci seulement.
Dix ans de retard.
Et l’armée ?
Ce mois-ci, ils ont demandé aux soldats d’utiliser leurs téléphones personnels pour leur travail.
Les mêmes téléphones diffusant des identifiants publicitaires aux courtiers.
L’armée affirme que seule l’application professionnelle est surveillée. Les éléments privés restent privés.
Les courtiers ne se soucient pas de cette distinction.
Les courtiers en données n’ont pas de murs. Ils ont des données.
Et apparemment, ils le vendent toujours.
