Avatar 164886 Par Jessica Davis

– Deux personnes qui ont utilisé l’application de recherche de contacts COVID-19 de santé publique de l’État de Californie ont intenté une action en justice contre son développeur, Google, affirmant que l’outil exposait des données utilisateur et violait leur vie privée, entre autres allégations.

Le système de notification d’exposition Google-Apple (GAEN) était développé par les géants de la technologie pour aider les gouvernements et les agences de santé publique à contrôler la propagation du coronavirus. La technologie s’appuie sur les données de proximité recueillies à partir des fonctions Bluetooth des appareils mobiles et alerte les individus d’une exposition potentielle.

Au moment de l’annonce en avril 2020, Google a fourni un plan détaillé de ses politiques de confidentialité qui comprenait une exigence de consentement explicite de l’utilisateur, ainsi qu’une liste de questions fréquemment posées pour réitérer les politiques de confidentialité des entreprises.

Ces politiques prévoyaient de garantir que la génération de clés de suivi liées à l’appareil de l’utilisateur était aléatoire, au lieu d’extraire mathématiquement les données de la clé privée de l’utilisateur. Les entreprises de technologie se sont également engagées à désactiver le service une fois la pandémie maîtrisée.

Publicité

L’annonce a suscité de nombreuses préoccupations de la part de diverses parties prenantes de la protection de la vie privée, en particulier concernant le consentement des utilisateurs et la forte dépendance aux API. L’Association nationale des procureurs généraux (NAAG) stressé que les applications ne protègent pas suffisamment les informations personnelles des consommateurs.

LIRE LA SUITE: AGS exhorte Apple et Google à garantir la confidentialité du suivi des contacts COVID-19

Le procès, déposé devant le tribunal de district américain de Californie du Nord à San Jose, allègue que l’application a confirmé ces préoccupations.

« Étant donné que la mise en œuvre de GAEN par Google permet de placer ces données sensibles de suivi des contacts dans les journaux système d’un appareil et fournit à des dizaines, voire des centaines, l’accès à ces journaux système, Google a exposé les informations personnelles et médicales privées des participants GAEN associées à la recherche des contacts. , y compris des notifications aux utilisateurs d’appareils Android de leur exposition potentielle au COVID-19 », selon le procès.

Plus précisément, le procès allègue que l’utilisation par l’application d ‘«identifiants de proximité mobiles» sur la radio Bluetooth des appareils est enregistrée par les enregistrements GMS de Google, qui «révèlent involontairement[d] non seulement leurs informations à de nombreux tiers, mais également des informations provenant d’utilisateurs GAEN sans méfiance sur d’autres appareils (y compris des appareils non Android, tels que des iPhones) qui se trouvent à leur portée. »

En outre, les identifiants sont conservés avec d’autres identifiants d’appareils et stockés dans les journaux système des appareils mobiles, ils sont ensuite disponibles pour les tiers qui ont accès à ces journaux. Et comme les informations exposées sont personnellement identifiables, les informations peuvent être utilisées pour retracer l’identifiant jusqu’aux identités de l’utilisateur, aux emplacements et à d’autres identifiants.

« Pour ceux qui ont déclaré avoir été testés positifs, cela permet à des tiers de relier ce diagnostic au patient particulier, ce qui fait échec au prétendu anonymat revendiqué par Google pour son service », affirme le procès.

LIRE LA SUITE: Le nouveau COVID-19 Spear-Phishing, les attaques d’usurpation d’identité imitent Google, OMS

«Même si GAEN n’enregistre pas directement les diagnostics COVID-19 dans les journaux système, un résultat de test COVID-19 positif peut être déduit des RPI qui sont écrits dans les journaux système, car, comme indiqué ci-dessus, la clé associée à un résultat positif le diagnostic est rendu public », poursuit-il. «Tout le monde peut accéder à la clé divulguée publiquement et identifier les RPI générés par un appareil appartenant à une personne infectée par COVID-19.»

Le procès affirme en outre que Google a été informé de la faille GAEN en février 2021, qui a provoqué la violation de données présumée. Cependant, le public n’a pas été informé que «ses informations personnelles et médicales privées étaient exposées à des tiers».

Les personnes ont également affirmé que Google avait indirectement confirmé l’existence de la faille décrite dans le procès, lorsqu’elle a commencé à remédier à une faille de sécurité via une mise à jour logicielle.

Le procès affirme que le géant de la technologie a violé la loi californienne sur la confidentialité des informations médicales, ainsi que les droits de common law et de confidentialité, et cherche à obtenir une injonction publique obligatoire qui obligerait Google à résoudre le problème allégué.

Les individus demandent également des dommages et intérêts présumés, ainsi qu’une action collective à l’échelle nationale pour les utilisateurs d’Android qui ont téléchargé ou activé une application de recherche de contacts basée sur le GAEN de Google – environ 28 millions d’individus.

LIRE LA SUITE: Sens. Flag Confidentialité, problèmes de sécurité sur le site de dépistage COVID-19 de Google

Comme expliqué précédemment à HealthITSecurity.com par Kelvin Coleman, directeur exécutif de la National Cybersecurity Alliance (NCSA), le manque de confidentialité fédérale aux États-Unis a alimenté les préoccupations en matière de confidentialité. Mais les géants de la technologie ont mis en œuvre des exigences de sécurité clés, probablement fondées sur le respect des réglementations en matière de confidentialité.

« Google et Apple ont déjà pris une bonne première série de mesures pour mieux garantir la confidentialité en interdisant l’utilisation du suivi des données de localisation dans leur API de suivi des contacts », a déclaré Coleman à l’époque. «Les autres agences gouvernementales ou les développeurs du secteur privé devraient idéalement suivre le même exemple.»

«Ils doivent également être transparents en communiquant aux utilisateurs les vulnérabilités entourant la fonctionnalité Bluetooth, pourquoi son activation sur les appareils doit être effectuée selon les besoins, l’importance d’utiliser des mesures de cryptage et d’activer MFA pour toutes les applications qui utilisent ou collectent des informations personnellement identifiables.»

Rate this post
Publicité
Article précédentTrans Girl frappée par des menaces de mort après le témoignage de la législature de TX: VIDÉO
Article suivantSnowrunner se lance sur Switch et Steam le mois prochain • Fr.techtribune
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici