Le 21 mars 2011

Google condamné, l’analyse des Google cars dévoilée


Google condamné, l’analyse des Google cars dévoilée

La CNIL a publié son compte-rendu de son enquête concernant les voitures de Google Street View. Le résultat est surprenant !

Rappelez-vous, en août dernier, au plein cœur de la tourmente de Google Street View concernant ses intrusions dans la vie privée, la CNIL effectuait des contrôles sur les voitures de la société. Les informations détaillées dans le rapport sont croustillantes… et font peur.

Comme vous le savez, les véhicules qu’utilisent Google étaient non seulement munies d’appareils photos pour réaliser les vues panoramiques mais également de capteurs wifi pour améliorer ses services de géolocalisation. Le fonctionnement de l’ensemble des services de géolocalisation par les réseaux ou GSM que propose la société (y compris Google Maps, Google Street View, et par conséquent Latitude) repose sur la constitution et la mise à jour d’une base de données commune, dénommée « base GLS » pour « Google Location Server », explique la CNIL dans son rapport.

Les services de la CNIL ont procédé à un contrôle sur place le 11 décembre 2009 auprès de la société Google France. Il a été demandé à la société d’indiquer à la CNIL, sous cinq jours, si les véhicules utilisés collectaient d’autres informations techniques en dehors des données GPS et des photographies. Il ressort des échanges subséquents avec la société que la CNIL n’a pas obtenu de précisions sur ce point dans le délai imparti.

Google a par la suite présenté une voiture « en état de marche » à la CNIL, afin que la Commission constate la présence de dispositifs de capture wifi, mais « le véhicule présenté à la délégation ne comportait aucun disque dur de collecte »… La CNIL insiste et c’est suite à cela que Google a avoué sur son blog officiel que des données confidentielles avaient été capturées « accidentellement ». La CNIL demande les informations collectées, Google ne les fournissant pas assez rapidement la société californienne est mise en demeure en mai 2010.

Pour faire simple, il faut comprendre que les voitures de Google ont capturé les « paquets » des réseaux wifi ouverts sur leur route. Les réseaux sans-fil sécurisés (WEP, WPA, …) ne sont donc pas concernés.

Google a alors remis à la délégation la copie d’un disque dur comprenant l’ensemble des informations collectées par un véhicule Google dans la zone aux alentours de la ville de Millau sur les mois d’avril et de mai 2010. Un autre disque dur et le code source des programmes (gStumbler, gSlite, Kismet …) utilisés pour la capture des données ont également été fournis.

Les données communiquées à la CNIL représentent un volume de 16,8 Go. Dans cet ensemble de données de contenu, le volume exploitable s’élève approximativement à 1400 Mo, soit 8 % du volume total des données analysées. Parmi celles-ci, en opérant des recherches sur la base de mots-clés, la Commission a pu isoler 656 Mo de données relatives à la navigation sur internet, révélant la présence de 112 mots de passe d’accès à des sites internet (http) ainsi que de nombreuses données de connexion à des sites de rencontre et à des sites pornographiques.

En procédant par simple requête par mot-clé, la Commission a également isolé 6 Mo de données d’accès à des boîtes de courrier électronique, comprenant 72 mots de passe de messagerie. Parmi les données d’envoi de mail (smtp), la CNIL a pu identifier 124 adresses de courrier électronique, concernant aussi bien des expéditeurs que des destinataires. De manière générale, la Commission a pu identifier 774 adresses de courrier électronique distinctes sur l’ensemble des données communiquées.

Et le rapport va encore plus loin en fournissant des exemples qui font froid dans le dos. Vus les exemples choisis, on pourrait penser que les gens du Sud sont tous des petits coquins…

- Le 2 juin 2008, à 12h46, un internaute situé selon les données GPS à proximité d’une adresse très précise, dans la ville de MARSEILLE (13007), accède à un site d’image pornographiques appelé http://www.straightboysjerkoff.com, dont il est membre. L’identifiant qu’il utilise sur le site est enregistré en clair, ainsi que son mot de passe et son adresse IP sur le réseau interne, connecté à son point d’accès. L’identifiant SSID et l’adresse MAC de son point d’accès sont connus de Google mais ont été supprimés des informations fournies à la CNIL.

– Le 21 octobre 2008 à 13h05 un internaute situé selon les données GPS à proximité de la place Anne de Beaujeu, à TOURS (37000), accède à un site de rencontres gay http://rencontres.gayvox.com. Son adresse IP sur le réseau interne connecté à son point d’accès a été enregistré.

– Le 26 mars 2009 à 15h03, un internaute pouvant être situé très précisément à l’aide de ses coordonnées GPS sur la D118 (au nord de Carcassonne) accède à un site de rencontre http://www.mes-rencontres-sexy.com/ dont il est membre. L’identifiant utilisé est connu de la société, comme son mot de passe et son adresse IP sur le réseau interne connecté à son point d’accès. De nouveau, l’identifiant SSID et l’adresse MAC du point d’accès de cet utilisateur sont connus de Google mais ont été supprimés des informations fournies à la CNIL. Avant d’arriver à ce site, selon les cookies qui ont été interceptés, l’internaute a effectué la recherche suivante sur le moteur de recherche Google : « rencontre coquine gratuite« .

Des données plus sensibles ont été découvertes également :

- Ont également été interceptés les bribes d’accès à un système de soins en ligne, à proximité des coordonnées GPS de la Clinique Mutualiste Chirurgicale située au 3 rue le Verrier à Saint-Étienne (42100). Ces bribes font notamment référence à un soin proscrit par un professionnel de la santé nommément désigné, et le chemin d’accès aux documents recherchés fait référence à un outil de gestion des patients en milieu hospitalier.

– Il a également été possible de consulter un échange de courriels entre une femme et un homme mariés, cherchant tous deux une relation extra-conjugale. Les coordonnées GPS associées à cette requête, identifiées en clair, pointent vers une adresse précise (un numéro de rue dans une ville du département du Rhône). Les personnes concernées sont identifiées par leurs prénoms et leurs adresses de courrier électronique.

Dans le disque dur de la voiture étant passée à Millau, la CNIL a découvert 6000 identifiants SSID et plus de 185 000 adresses MAC. Elle a part ailleurs permis d’établir que les Google Cars enregistraient non seulement les adresses MAC des points d’accès Wifi, mais aussi les adresses MAC de l’ensemble des terminaux connectés à ces points d’accès (ordinateurs personnels, imprimantes et autres périphériques, smartphones, etc.).

Depuis, l’entreprise Google a corrigé ses programmes, a été plus transparente quant à son programme et ses 22 voitures sont de nouveau sur les routes françaises. Malgré tout, pour ces infractions, Google devra verser pas moins de 100 000 euros.

Mise à jour : La parole est à la défense, Google a réagi officiellement à cette nouvelle. Comme nous l’avons déjà dit, explique Peter Fleischer, nous sommes profondément désolés d’avoir collecté par erreur des données circulant sur des réseaux WiFi non sécurisés. Dès que nous avons compris ce qui se passait, nous avons arrêté nos voitures Street View et en avons immédiatement informé les autorités françaises. Notre objectif a toujours été de détruire ces données et nous sommes contents que la CNIL nous en ait donné l’autorisation, conclue le directeur de la protection des données personnelles.

source Merci pour l'info, Cédric !

Publié le 21 mars 2011 à 11:20 par dans Justice

Labels : , ,

18 commentaires

  1. [...] par Brett le 21-03-2011 Zorgloog: Google condamné, l’analyse des Google cars dévoilée [FR] http://www.zorgloob.com/2011/03/21/google-street-view-cnil No [...]

    Backlink
  2. eddy a dit :

    Ce qui est inquiétant c’est de voir que ces informations circulent en clair … (infos médicales, orientation sexuelle, …)

    Moi aussi je peux mettre mon ordinateur portable dans ma voiture et aller sillonner les rues pour récupérer ces infos. Pas sûr que mes intentions soient plus nobles que celles de google …

  3. TOMHTML a dit :

    Voila, le problème n’est pas que Google ait pu accéder à ces infos, mais que n’importe qui peut y accéder !

    N’empêche, perdre 8% d’espace disque avec des données inutiles et ne pas s’en apercevoir pendant quatre ans, c’est fou. Ou suspect.

  4. Thomas a dit :

    Comment peut ont « accidentellement » capter des paquets wifi ?

    En partant du principe que le wifi est « sniffé » pour trouver les SSID ouvert, comment peut ont « accidentellement » resoudre les valeurs de ces paquets (login/pass de formulaire)

    Je travaille dans l’informatique mais ca m’echappe (je ne connais pas tout, donc je pose la question).

  5. theMutthon a dit :

    @Thomas: Seuls les réseaux totalement ouverts (sans login ou pass de formulaire)ont été capturés.

    Au final, il y a encore une grosse incohérence dans le droit Francais: d’après hadopi, on est coupable de négligence si son réseau n’est pas crypté, donc en toute logique, ceux qui sont en tord sont ceux qui ont n’ont pas sécuriser les réseaux. Surtout pour les informations médicales, c’est assez scandaleux quand même.

  6. [...] Latitude) repose sur la constitution et la mise à jour d’une base de données …Lire l’article complet 0 [...]

    Backlink
  7. TOMHTML a dit :

    @Thomas : on peut faire quelque-chose « accidentellement » en ne prenant pas garde à modifier un fichier de configuration par exemple. C’est ce qui s’est passé ici.

  8. Jean Riopel a dit :

    Lorsque l’on est victime d’un vol, il n’y a pas d’effraction si les portes et fenêtres ne sont pas verrouillées et l’assurance ne rembourse pas les dommages causés. Avoir un Wifi sans protection ,c’est comme laisser ses portes ouvertes en disant venez chez moi. Alors ceux qui se font prendre des info sont les seuls coupables.

  9. Yann Brelière a dit :

    Jean Riopel: le fait d’être coupable de négligence et de ne pas être assuré n’empêche pas que la personne ayant commis l’effraction d’être coupable elle aussi.

  10. Thomas a dit :

    @TOMHTML @theMutthon Au final, ils ont utilisé un logiciel qui permettait ça (airodump-ng ?), et ont accidentellement mis une configuration qui recuperais les paquets ?

    Perso ça me semble plus plausible que des ingenieurs aussi brillants que ceux de chez Google aient intentionnellement profité de ces voitures pour récuperer le + d’infos possible, ce qu’ils ont toujours fais « en ligne », au final…

    Enfin bon, pas trop d’excuse non plus pour pas proteger son reseau, surtout quand la plupart des FAI donnent des box avec WPA activé par défaut

  11. TOMHTML a dit :

    Les noms des logiciels sont mentionnés dans l’article. La config par défaut récupère tous les paquets.
    Il n’y a, à ma connaissance, strictement aucun intérêt (commercial) à récupérer de telles données. Données que Google possède déjà par le bais de ses logs, soit dit en passant.

  12. Maxalexis a dit :

    Quel honte, et que dois-je en déduire ? Je gère mes comptes bancaires par le biais du Net (N° de compte, et code secret, pour se connecter) Autrement dit, Google peut ainsi avoir accès à mes comptes bancaires ? Consulter mes comptes une fois les mots de passe piratés ? Si tel est le cas, il nous faut poursuivre Google pour violation privée, piratage à des fins industriel et d’intérêt personnel, et exclure cette société qui nous surveille, sans notre autorisation, nos faits et gestes, et pire : Qui accède, en toute violation, à nos données à priori protégées !!!

  13. Luka a dit :

    @Maxalexis : Je ne suis pas d’accord avec toi pour plusieurs raisons :

    1) Les données bancaires sont systématiquement envoyées sur des connexions cryptées. Donc invisible aux yeux de Google.

    2) Pour que Google puisse avoir accès à vos données il faut réunir des conditions précises : connexion wifi complètement ouverte, passage d’une voiture google au moment précis ou vous utilisez votre connexion.

    3) Ces données ne sont plus collectées depuis la découverte du problème.

  14. [...] votre adresse ip, la localisation géographique et le style de vos recherches. (d’ailleurs vous êtes identifiés même sans aller sur Google ).Une fois cette crainte validée, vous pouvez avoir donc ici un [...]

    Backlink
  15. molokoloco a dit :

    Hum !… Quand même.. avec la puissance de calcul derrière… leur outils d’analyse de log et de géo-positionnement des SSID/MAC, surtout qu’ils se permettent ensuite de re-scanner et mettre à jour en permanence toutes leur infos, je pense au millions de téléphones Android en circulation, et qui repositionnent les SSID détectés lorsque l’on utilise le GPS… et puis tout le reste… Et bien ca fait beaucoup d’œufs dans un gros panier…

  16. Hat jemand eine Ahnung wie sehr dies verallgemeinerbar ist?

  17. [...] Google condamné, l’analyse des Google cars dévoilée [FR] http://www.zorgloob.com/2011/03/21/google-street-view-cnil [...]

    Backlink
  18. Mazam Ali Khan a dit :

    Je suis d’accord avec Luka puisque même si google a collecté accidentellement des infos, ce n’est pas de sa faute.