Salaat First, une application d’aide à la prière musulmane, collectait les données de localisation de ses utilisateurs via le SDK d’un data broker français, Predicio. Or ce dernier travaille avec deux data brokers américains, Gravy Analytics et Venntel, qui comptent parmi leurs clients le Department of Homeland Security et le FBI.
Salaat First est de ces applications sur lesquelles on ne se questionne guère une fois installées. Téléchargée 10 millions de fois sur Android, cette application se veut une aide à la prière pour les musulmans, indiquant le sens de la Mecque, rappelant les heures de la salat et affichant les mosquées à proximité de l’utilisateur. Rien de notable ici, si ce n’est que l’application traquait ses utilisateurs et leurs déplacements. Motherboard, renseigné par une source anonyme, a mené l’enquête.
Elle a ainsi découvert que Salaat First collectait et partageait les informations de localisation de ses utilisateurs avec une entreprise parisienne, Predicio. Celle-ci est spécialisée dans la revente de données. La source de Motherboard ne s’est pas présentée les mains vides : elle a fourni au site américain un jeu de données contenant entre autres les déplacements précis des utilisateurs de l’app. Ladite source s’inquiétait que ces informations soient utilisées pour traquer des musulmans au quotidien. D’autant que les utilisateurs n’étaient pas correctement informés du partage de leurs données.
Dans quelle mosquée, à quelle heure, avec qui
Motherboard rapporte que les données obtenues comprennent latitude et longitude précises des utilisateurs de l'application, modèle de téléphone, système d'exploitation, adresse IP et horodatage. Le tout est fourni avec un identifiant publicitaire unique permettant de suivre un utilisateur précis. Notre confrère signale que le jeu de données ne se limitait pas qu’à Salaat First et incluait les données d’autres applications partagées avec Predicio.
Le nom de ce data broker français ne vous est peut-être pas inconnu. L’entreprise a en fin d’année dernière fait les gros titres de la presse anglo-saxonne, qui pointait son rôle dans une “supply chain” de données de localisation et ses liens avec deux sociétés américaines, Venntel et Gravy Analytics, elles aussi des data brokers mais aussi éditeurs de solutions d’analyse de données.
Gravy, Venntel et la chasse aux migrants
En ligne, Venntel est peu prolixe sur son site Web. De même, Gravy Analytics ne fait aucune mention de Venntel. Les seuls indices permettant de deviner les liens entre les deux entreprises proviennent d’une enquête du législateur américain. Ainsi, la Chambre des Représentants note que Venntel est une filiale de Gravy. Mais pourquoi donc est-ce le “House Committee on Oversight and Reform”, chargé notamment des affaires gouvernementales, qui enquête sur ce data broker ? Tout simplement du fait des contrats passés entre Venntel et des agences fédérales américaines, parmi lesquelles l’IRS mais aussi, je vous le donne en mille, le FBI et le Department of Homeland Security.
Or un article du Wall Street Journal courant 2020, alimentant les investigations des Représentants, dévoile que les données fournies par Venntel sont utilisées par l’ICE et le Customs and Border Protection pour traquer les personnes traversant illégalement la frontière américaine. En fin d’année dernière, un journaliste norvégien, Martin Gundersen, menait sa petite enquête, constatant que Predicio, dont le SDK était installé dans certaines apps utilisées par notre confrère, vendait ses données à Gravy, lequel les partageait avec Venntel, celui-ci revendant ses données et ses solutions d’analyse à ses propres clients.
Un bout de code
Salaat First a été développé par Hicham Boushaba, un développeur marocain passé par IBM, Huawei et Atos. Celui-ci explique à Motherboard avoir été approché par Predicio en mars 2020, et avoir intégré à son programme le SDK du data broker français. Il précise que leur accord ne portait que sur les données des utilisateurs de l’app en France, au Royaume-Uni, en Allemagne et en Italie. “Lorsque j'ai accepté de collaborer avec Predicio, l'accord et l'idée que j'avais était que les données collectées seraient totalement anonymisées et utilisées pour la personnalisation des publicités et/ou l'amélioration des produits, comme le fait toute autre société de données" explique le développeur, qui précise qu'il reverse les revenus générés à des associations caritatives.
Saalat First mentionnait, sur son site Web, Predicio. Mais l’application n’affichait pas cette politique de confidentialité ni ne renvoyait vers la page dédiée, y compris lorsqu’elle demandait à l’utilisateur la permission de collecter et partager leurs données de géolocalisation. Hicham Boushaba a néanmoins suspendu son utilisation du SDK en octobre, ce dernier consommant trop de batterie à son goût, et a mis fin à sa collaboration avec Predicio le 6 décembre, après l’article de Martin Gundersen.
Le flou sur le partage de ces données
Il n’y a aucune preuve que les données de localisation collectées dans Salaat First étaient revendues par Predicio à Venntel et ultimement alimentaient le FBI ou le DHS. Le jeu de données remis à Motherboard ne serait ainsi qu’une petite partie de ce que Predicio a pu collecter auprès de l’application de prière et d’autres. Le data broker français n’a pas répondu aux sollicitations de notre confrère, tandis que Gravy Analytics précise ne pas savoir si les données envoyées par Predicio avaient été collectées via Salaat First.
En effet, l’entreprise américaine ne demande pas la provenance de ces données puisque ses fournisseurs s’engagent contractuellement à ne fournir que des données légalement collectées. En d’autres termes, il est impossible de savoir pour l’heure si Predicio a partagé avec Gravy des données de Salaat First et si ces informations ont pu être vendues aux autorités américaines par Venntel.