εxodus ETIP : La base de données canonique pour traquer les traqueurs

Il y a une nouvelle histoire à ajouter à la liste d’horreurs du capitalisme de surveillance : L’armée des États-Unis est en traîn d’acheter des données d’emplacement et de traçage des entreprises qui traquent plusieurs millions de gens. Les utilisateurs doivent avoir des options réelles pour se sortir du « big tech », où le traçage domine. Nous passons en revue tous les applications soumises à fdroiddata pour le traçage et d’autres « anti-fonctions ». F-Droid est intégré dans des plateformes mobiles comme CalyxOS qui n’ont pas de logiciels propriétaires. Comme nous ne distribuons que des logiciels libres, nous avons le code source au complet pour passer en revue. Cela rend la tâche de trouver des activités de traçage beaucoup plus facile, même si ça rentre par accident sans la conscience du développeur, comme par exemple quand une bibliothèque prend d’autres dépendances.

En ce moment, la manière la plus efficace pour trouver automatiquement des traqueurs est de chercher pour des chaînes connues dans les contenus extraits du APK. Les noms de domaine en sont un exemple, comme si une application envoit des données à google-analytics.com ou facebook.com alors c’est clair que c’est en traîn de faire du traçage quelconque. Ces listes de chaînes connues doivent être créées et gérés par des personnes, puis ensuite rassemblées et passées en revue. Exodus Privacy a créé leur Exodus Tracker Investigation Platform (ETIP) pour exactement cette raison. F-Droid, Yale Privacy Lab, jawz101, Guardian Project et d’autres ont centralisé leurs effortrs sur εxodus ETIP en tant que base des données canonique pour ces chaînes.

Chercher la Toile ouverte pour des bits de clé

Puisque le traçage est fait principalement par des compagnies qui visent à obtenir des clients, ils font la publicité et documentent leurs services sur la Toile. Nous avons dépensé du temps à chercher cette information pour voir ce qu’on pouvait trouver. Nous avons cherché avec deux informations : les identifiants de clé d’interface de programmation que nous avions extrait et des listes « top 10 » des compagnies qui fournissent le traçage et d’autres services connexes. À partir de ceci, nous avions ajouté plus de 50 nouveaux profils de services à la base de données εxodus ETIP. Nous avions aussi ajouté plus de 100 pièces d’information aux entrées actuelles comme les chaînes d’identité des SDK, les liens à la documentation, les politiques de confidentialité et de l’information à propos des méthodes de traçage de la compagnie.

À partir de cette recherche, nous avions sauvegardé quelque promesses de choix des compagnies de traçage selectionnées :

  • « Glassbox offre des solutions d’analyse de l’expérience du client qui ne vous disent pas seulement ce que le client fait. Elle vous dit pourquoi. »
  • « Cibler la circulation de toutes les sources, incluant les 50% qui proviennent de la Toile cachée où les cookies de tierce partie sont bloqués, pour augmenter l’inventaire ciblable. »
  • « Collecter les données sur les produits et le client en direct, de partout »
  • « PlaytestCloud capturera l’expérience de jeu au complet, vous transformant en spectateur avec des super pouvoirs. »
  • « Nous enregistrons l’écran des joueurs, leurs touches et ce qu’ils ont à dire en tout temps. »
  • « Nous organisons des ensembles de données géospatiales sur l’échelle mondiale »
  • « Changez la durée de la segmentation et l’analyse d’une nuit au temps réel. Notre DMP fonctionne en-session pour des taux de correspondance parfaits même avec la circulation passante. »

Crowdsourcing la chasse aux traqueurs

Traquer les traqueurs est un travail qui convient très bien au crowdsourcing. Les compagnies de traçage disparaissent et se renomment tout le temps, pour éviter l’attention. Cependant, ils doivent encore contacter des développeurs pour trouver des clients. Cela veut dire que nous pouvons les trouver. Rejoignez la recherche ! Les personnes non-techniques peuvent aussi contribuer, par exemple, quand vous lisez des nouvelles à propos d’une compagnie de traçage, cherchez pour voir si elle est déjà dans ETIP. Sinon, écrivez un ticket pour demander qu’elle soit ajoutée. Les développeurs Android avec un peu de temps libre peuvent ajouter des signatures de code, des noms de domaine et d’autres détails techniques clés à ETIP. Ou même écrire des scriptes rapides avec de nouvelles idées pour détecter le traçage.

Il y a plusieurs forums où vous pouvez demander de l’assistance pour vos premiers pas. Nous espérons entendre de vous bientôt !

(This work was supported by NLnet’s NGI Zero PET fund.)