Malgré l’engagement de Google à protéger ces informations pour les femmes souhaitant avorter, une enquête révèle que des outils et des applications de la firme permettent à des personnes de suivre la localisation d’autres utilisateurs.
Début juillet, Google a annoncé qu’il allait prochainement supprimer automatiquement les données de localisation en cas de visite d’une clinique spécialisée dans les avortements et d’autres établissements sensibles comme les centres d’hébergement pour les victimes de violence domestique. Une décision prise à la suite de l’annulation du droit à l’avortement par la Cour suprême. Si le géant américain n’a pas donné de calendrier précis sur ce changement, indiquant seulement qu’il prendra effet dans les semaines à venir, une enquête menée par le Tech Transparency Project révèle comment la technologie de l’entreprise pourrait exposer l’emplacement d’un utilisateur.
Des outils permettant une surveillance à l’insu de l’utilisateur
Plus précisément, cette organisation à but non lucratif a réalisé deux expériences montrant que malgré l’interdiction par Google des applications « stalkerware » utilisées pour espionner les individus, la société offre les mêmes capacités de surveillance avec ses outils. Pour la première, le TTP a créé des comptes Google distincts sur deux nouveaux smartphones Android, dont l’un a été désigné comme « victime » et l’autre comme « auteur ». L’organisation a activé l’historique de localisation sur le second téléphone, mais pas sur le premier. Elle s’est ensuite connectée au compte Google Play de l’auteur sur le téléphone de la victime et a téléchargé certaines applications. L’appareil a par la suite été emmené dans divers endroits au cours des semaines suivantes afin de déterminer si l’auteur était en mesure de voir où il se trouvait et de suivre ses déplacements.
Le TTP a alors découvert que celui-ci était capable de voir l’emplacement du téléphone de la victime pendant et après les divers déplacements, y compris celui dans une clinique de Washington offrant des services d’avortement. L’itinéraire et la position étaient visibles dans son propre historique de localisation et le premier l’était aussi via Google Maps sur son téléphone. De plus, la fonction Chronologie sur l’application a affiché l’itinéraire et identifié avec précision la localisation de la victime peu de temps après la visite de la victime à la clinique. Elle a même noté le temps passé par la victime dans la clinique. Enfin, plus de deux semaines après, l’emplacement de la clinique était toujours présent dans l’historique de localisation affiché sur le téléphone de l’auteur.
Pour l’organisation, cela signifie que soit Google n’a pas encore mis en œuvre le changement annoncé ou que son système de détection et de suppression des positions sensibles est défectueux. « Ce qui est clair, cependant, c’est que la sûreté et la sécurité des utilisateurs sont menacées par les outils Google qui permettent à d’autres personnes de suivre leur position sans leur consentement », affirme le TTP.
Des utilisateurs induits en erreur
La seconde expérience du TTP était basée sur une publication d’un individu sur Reddit ayant découvert qu’il pouvait suivre l’emplacement de sa petite amie de l’époque après s’être connecté à son compte Gmail sur son téléphone. L’organisation a utilisé les deux mêmes smartphones Android et comptes Google et s’est ensuite connectée au compte Gmail de l’auteur sur l’appareil de la victime. Elle a découvert qu’il était capable de voir les positions et les itinéraires de celle-ci sur son propre téléphone. Le TTP indique ainsi que même si une victime peut remarquer qu’une personne est connectée à son compte Gmail sur son téléphone, il est possible qu’elle ne soit pas consciente des conséquences. En effet, le fait qu’elle ait désactivé son historique de localisation peut lui faire croire que ses déplacements ne sont stockés nulle part ailleurs par Google alors que ce n’est pas le cas.
« Google a dit qu’il veut protéger les femmes en supprimant les cliniques d’avortement de leurs historiques de localisation. Notre étude montre qu’ils ne l’ont pas fait. Même s’ils finissent par tenir cette promesse, les agresseurs peuvent toujours utiliser les outils Google pour suivre leurs victimes partout ailleurs dans le monde », a déclaré Katie Paul, directrice du TTP, au Guardian. De son côté, la firme de Mountain View estime que les expériences de l’organisation sont des scénarios improbables étant donné qu’elles obligeraient un utilisateur indésirable à accéder un appareil, violer la sécurité de celui-ci sans que l’utilisateur ne se rende compte qu’un autre compte est connecté. « Nous encourageons chacun à vérifier régulièrement les comptes associés à son appareil et à ne pas partager le mot de passe de son appareil qu’avec des appareils de confiance », a expliqué un porte-parole de la société a indiqué au quotidien britannique. Il a également indiqué que le changement annoncé début juillet est désormais en vigueur et s’applique à toutes les visites de cliniques d’avortement à l’avenir.
