Des écrans publicitaires récoltent l’adresse des smartphones des passants afin de mesurer l’efficacité d’une pub. Le dispositif inquiète depuis quelques jours malgré sa légalité. Un codeur a développé un programme visant à gêner l’opération.
Deux écrans publicitaires installés à la gare Saint-Lazare début mars défrayent la chronique depuis quelques jours. Ces derniers mesurent des taux de fréquentation. Ils sont équipés d’une carte Wifi permettant d’identifier l’adresse MAC du smartphone d’un passant dans un rayon de dix mètres. L’adresse MAC est en quelque sorte le numéro d’identité d’un smartphone, tablette, ordinateur... Elle est unique à chaque appareil.
Grâce à cette adresse, Retency, le concepteur de la technologie, peut compter les personnes qui passent devant l’écran, et savoir s’ils se rendent chez les marques vantées par la publicité. La start-up parisienne vend ensuite son analyse aux régies publicitaires. Metrobus dans le cas de Saint-Lazare et de Toulouse où la technologie est aussi expérimentée. Si le taux de conversion est élevé, Metrobus pourra vendre l’espace publicitaire plus cher.
Mesurer l’efficacité d’une pub physique comme sur le web
Pour résumer, cela permet de mesurer l’efficacité d’une publicité dans le monde physique, comme cela est déjà possible de le faire sur le web.
Le dispositif fait bondir plus d’un Twittos. Thomas Bourguenot de l’association Resistance à l’agression publicitaire, est le premier à avoir lancé l’alerte sur le réseau social. Il accuse Retency et Metrobus de prendre les « usager.e.s » pour des « cobayes à publicitaires ».
Un procédé pourtant légal
C'est officiel, les capteurs d'audience à @ClientsRATP ne sont plus un "pur fantasme".
Et les usager.e.s sont vraiment pris pour des cobayes à publicitaires.cc @RAP_Asso @laquadrature@CNIL https://t.co/sokBsQaD4C pic.twitter.com/kylfoxKK0R
— Thomas Bourgenot (@_LoboTom_) March 22, 2019
Le procédé utilisé par Retency pour récolter les adresses MAC des passants est pourtant légal. Il a été audité et validé par la Commission nationale informatique et liberté (Cnil) en 2017. « Le procédé (…) garantit une anonymisation totale des informations de flux de trafic, comptage et parcours », assure Retency dans un communiqué. Interrogée par le service CheckNews de Libération, Isabelle Bordry, fondatrice de Retency, précise que les adresses récoltées sont supprimées dans un délai de 2 à 3 minutes après la récolte.
Retency ne peut pas reconstituer le parcours individuel d’une personne. La jeune pousse est simplement capable de dire qu'un pourcentage de personnes qui ont vu une pub à Saint-Lazare, s'est ensuite rendu dans une boutique donnée, elle aussi équipée de la technologie, explique CheckNews.
Les informations étant anonymisées dans de brefs délais, l’entreprise peut se passer du consentement préalable des passants selon la Cnil. Étape normalement obligatoire depuis l’entrée en vigueur du RGPD en mai 2018. Une discrète inscription sur les écrans publicitaires indique qu’il est toutefois possible ne pas faire partie du comptage en se rendant sur ce lien : https://retency.com/stats/. Le lien renvoie vers un formulaire où il faut remplir l’adresse MAC de son appareil ainsi que ses adresses Wifi et Blue-Tooth.
Les internautes continuent de protester
Ces explications et l’autorisation de la Cnil n’empêchent pas certains internautes de continuer à protester contre le dispositif, qui demeure pour certains une menace à la vie privée. Un codeur (visiblement membre de l'association La Quadrature du net) a créé un programme en open-source sur la plate-forme Framagit dans le but de gêner le comptage de Retency. Le code génère aléatoirement une adresse MAC et l’envoie automatiquement à Retency via son formulaire. « Le but est de générer un maximum d’adresses à exclure de l’opération de Retency. C’est une forme de protestation », explique l’un des codeurs ayant contribué au code (en le corrigeant).
« Il pourrait être possible de générer depuis un même ordinateur différentes adresses. Mais dans ce cas, Retency pourrait facilement identifier que ces adresses sont fausses car elles proviendraient toujours du même ordinateur. Ce qui est intéressant ici, c’est que le code peut être exécuté très simplement par n’importe qui. » Il est alors difficile pour Retency de distinguer les formulaires générés aléatoirement des vrais formulaires.
Les anti-pub se numérisent
Impossible de savoir le nombre de fois où ce code, partagé sur Twitter, a été exécuté. Mais il est intéressant de noter que les activistes anti-pub ne se contentent plus d’inscriptions politiques sur les affiches. Ils se numérisent, comme la publicité physique.
Petite page à installer facilement n'importe où et à faire visiter par tout le monde pour soumettre des adresses MAC à blacklister contre la publicité ciblée de la RATP : https://t.co/e0rGgwKnQO #stoplapub #RAP @RAP_Asso
— Un Garage (@UnGarage) March 24, 2019
Thomas Bourguenot de l’association n’a pas souvenir d’actions similaires contre des opérations de collectes de données à visée publicitaire. Mais le programme lui rappelle l’algorithme développé par le russe Grigory Bakunov pour contrer les procédés de reconnaissance faciale, utilisés à des fins publicitaires, mais aussi par certains gouvernements. L’algorithme permet de générer un maquillage de camouflage (à base d’épaisses bandes noires et de points). Le créateur n’a toutefois pas souhaité rendre son code public par peur qu’il soit utilisé par des criminels.
POUR ALLER PLUS LOIN
> Génération Code-barre : je scanne donc je suis
> La start-up WTF de la journée utilise les données de Facebook pour espionner les baby-sitters
Validé par la CNIL ??
La fondatrice de Retency en est membre, vous auriez pu le préciser dans l'article
https://www.linkedin.com/in/isabelle-bordry-75aa6913/
C'est énorme, merci pour votre commentaire, il se doit d'être rendu public une telle collusion! On comprend tout de suite mieux les circonstances dans lesquelles le projet a pu être validé...
Passer par le formulaire de Retency ne signifie pas que vos adresses ne seront pas collectées, juste qu'elles seront comparées à la liste des "inscrits à la désinscription" pour prise en compte ou pas dans les stats finales. Rien ne dit qu'elles ne seront pas collectées (ce qui est impossible, puisqu'il faut les collecter pour pouvoir les comparer à la liste), ou qu'elles seront effacées des systèmes plus tôt que les autres.
Autre remarque; personne ne s'inquiète du devenir de la liste des adresses enregistrées via le formulaire en ligne ? Il est pourtant encore plus dangereux, en ce que son contenu a vocation à persister dans le temps et que je sache son usage n'est pas encadré dans la communication faite par Retency. Or, lorsque vous enregistrez vos adresses physique de téléphone, vous le faite peut-être depuis un PC qui est probablement déjà profilé. Vous permettez ainsi à Retency de lier votre téléphone à votre identité et votre profil publicitaire.
Non, pour vous protéger contre Retency et consorts, il faut couper le WiFi, le Bluetooth et le NFC dans les lieux publics. Simple hygiène de base si vous ne voulez pas vous faire exploiter dans tous les sens pour le WiFi et le NFC dont vous n'avez pas besoin 99,999% du temps dans ces espaces. Pour le bluetooth c'est plus compliqué (casques audio sans fil), mais c'est à vous de voir si vous préférez votre confort à votre sécurité.
Non, ce n'est pas vrai !L'adresse MAC est diffusé en permanence pour permettre l'adressage du téléphone vers la ou les bornes les plus proches.
La simple solution est de retirer la batterie de son téléphone
Mais pourquoi, d'après vous, les batteries ne peuvent plus être retirées ???