La nouvelle montre d'aviateur de Garmin résout en partie un risque que la guerre en Ukraine met en évidence - Microtargeting

À la fin du mois dernier, la société d'électronique Garmin
GRMN
a commencé à vanter sa nouvelle smartwatch pour les aviateurs, la D2 Mach 1. Outre une multitude de fonctionnalités spécifiques à l'aviation, le D1 dispose d'un "mode furtif" pour arrêter le suivi GPS et d'un "mode kill" pour effacer sa mémoire. Le micro-ciblage par la Russie des membres des forces ukrainiennes via des appareils personnels suggère que Garmin est sur quelque chose. Mais est-ce suffisant ?

Avec son grand cadran de 47 mm et son écran tactile AMOLED haute résolution, le D2 Mach 1 est remarquablement visible, le genre de montre qui a attiré les aviateurs depuis la Première Guerre mondiale. Sa navigation directe, son oxymètre de pouls, ses cartes mobiles GPS et sa météo NEXRAD Les radars sont des capacités attrayantes dans un si petit appareil, multipliées considérablement lorsque la montre est connectée par Bluetooth à un smartphone avec les applications Garmin Pilot, In-Reach ou Connect.

Les notifications par SMS et par e-mail, les capacités biométriques (y compris la fréquence cardiaque, le suivi de la condition physique, les profils d'activité, etc.) que vous pouvez trouver avec d'autres appareils portables font également partie du contenu connecté du Mach 1. Ils sont suffisamment attrayants pour avoir attiré une clientèle militaire.

Les modèles précédents de la nouvelle montre (le D2C/D2D) étaient même a acquise (avec le financement de l'unité) par le 99e escadron de reconnaissance de l'armée de l'air qui pilote le U-2 Dragon Lady sensible qui collecte des informations. En 2017, le Marine émis un modèle de smartwatch sœur, la Fenix ​​3 de Garmin, à tous ses pilotes F/A-18 Hornet/Super Hornet/Growler pour aider à la détection de l'hypoxie.

Jim Alpiser, directeur des ventes du marché secondaire de Garmin, confirme que la société "a quelques représentants qui vendent activement" des D2 Mach 1 à des clients de la défense/militaires. Cependant, Alpiser n'est "pas libre de divulguer" à quelles unités militaires ils vendent. Cette confirmation est conforme au succès passé de la société basée à Olathe, au Kansas, et à la smartwatch suivie par les aviateurs et autres militaires américains.

Mais la popularité des montres et autres appareils portables de Garmin auprès des militaires a pris une signification supplémentaire à la lumière de ce qui se passe actuellement en Ukraine et à l'académie militaire des États-Unis à West Point, New York.

Micro-ciblage russe des militaires ukrainiens

Les agents russes ciblent collectivement et individuellement les membres du service militaire ukrainien en exploitant les données provenant d'applications résidant sur les appareils connectés (téléphones portables, tablettes, ordinateurs, montres intelligentes) qu'ils utilisent sur ou à proximité du champ de bataille. La pratique a été soulignée dans un article récent pour Nouvelles de la Défense co-écrit par Jessica Dawson, chercheuse à l'US Army Cyber ​​Institute (ACI), et Brandon Pugh, conseiller politique pour l'équipe cybersécurité et menaces émergentes du R Street Institute.

Comme le soulignent les auteurs, "c'est la nouvelle norme pour les militaires et les vétérans d'être considérés comme des cibles de grande valeur dans la guerre de l'information".

En Ukraine, des acteurs russes ont inondé les boîtes de réception des membres du service militaire ukrainien d'e-mails chargés de logiciels malveillants dans le but d'amasser des données personnelles, de diffuser de la désinformation et de l'intimidation. Dawson et Pugh rapportent également que des milliers de SMS ont été envoyés à la police locale et aux militaires.

La Russie a eu accès à l'armée ukrainienne en violant et en exploitant les médias sociaux et d'autres applications sur les appareils personnels et professionnels qu'ils utilisent, ouvrant un portail direct vers l'exploration de données, les opérations d'influence et la génération d'informations tactiques. Ces dernières peuvent inclure des données de localisation en temps réel, des schémas de vie/de déplacement et la taille du groupe/de la formation. Tout appareil commercial connecté est une ouverture susceptible d'être militarisée contre son utilisateur.

Le problème remonte à la patrie américaine, à toute notre société civile et commerciale et à notre propre armée. Les opérations ici et en Ukraine peuvent être mises en danger grâce à l'omniprésence des données collectées pour la publicité ciblée.

Dawson et Pugh expliquent que le nom, l'identifiant du service et les informations sur l'adresse IP/l'appareil balayés pour l'analyse des données publicitaires facilitent l'identification des informations des individus à partir de leurs téléphones portables ou d'autres appareils connectés, qu'elles proviennent d'identifiants publicitaires ou du numéro de téléphone. lui-même.

Selon eux, les identifiants publicitaires peuvent être agrégés avec d'autres informations de suivi par de nombreuses entités, des annonceurs en ligne aux courtiers en données, pour révéler des modèles de vie quotidienne tels que l'endroit où quelqu'un vit et ses préférences politiques. Les données publicitaires deviennent alors un vecteur pour cibler et harceler les individus.

Pour illustrer le large potentiel, Dawson fait référence à un 2019 fonctionnalité qui a rapporté que chaque minute de chaque jour à travers le monde, des dizaines d'entreprises non réglementées et peu surveillées enregistrent les mouvements de dizaines de millions de personnes via leurs téléphones portables, "stockant les informations dans de gigantesques fichiers de données".

Les militaires ukrainiens et américains sont un sous-ensemble de ces millions et représentent un risque auquel le Pentagone vient juste de prendre conscience. Il y a environ un an, Dawson a mis en place un programme de recherche et a commencé à creuser le problème de la collecte de données commerciales et militaires. Que fait l'armée américaine face au risque de micro-ciblage ?

"La réponse n'est pas grand-chose", dit-elle. « Nous essayons de tirer la sonnette d'alarme sur le fait qu'il s'agit d'une préoccupation importante. Je comprends que [les télécommunications/l'informatique] est une industrie d'un billion de dollars, mais c'est très dangereux.

C'est un problème exacerbé par l'omniprésence des appareils connectés personnels et les traditions américaines de longue date de liberté individuelle et de confidentialité qui sous-tendent la possession et l'utilisation par les membres du service de téléphones, de Fitbits ou de montres intelligentes. Les soldats, marins, marines, aviateurs et gardiens américains les possèdent et multiplient leur portée/puissance via une multitude d'applications de médias sociaux, biométriques, de navigation, de jeux et de communication.

"Comment permettez-vous aux gens de se battre dans l'espace d'information via les médias sociaux et d'autres messages tout en protégeant vos formations de toutes les émissions qui se dégagent de ces appareils?" Dawson demande. "Nous n'avons pas de bonne réponse à cela."

Compte tenu de sa vulnérabilité – littéralement la vie ou la mort – la question se pose de savoir si l'armée ukrainienne a trouvé une réponse ?

« Nous ne savons pas si les soldats ukrainiens sont interdits d'accès aux appareils commerciaux », dit Dawson. « Je n'ai vu aucun rapport sur ce que fait l'armée ukrainienne. Je suppose que le mot est sorti, "Éteignez cette merde."

Mais l'éteindre est difficile, reconnaît Dawson. Les mêmes appareils et logiciels que la Russie cherche à exploiter (jusqu'à TikTok) sont également utilisés dans la guerre de l'information par l'Ukraine.

Comprendre l'étendue du problème est tout aussi difficile. Pour quantifier et caractériser les risques de collecte de données, ACI aimerait examiner les métadonnées des appareils des membres des services de l'armée. "Cela implique de regarder des individus américains, donc nous ne sommes pas autorisés à le faire à moins que ce ne soit très étroitement adapté."

Les chercheurs ont obtenu une approbation expérimentale limitée pour parcourir les données générales, mais l'armée, dit Dawson, n'a toujours pas de politique. "Le consensus général a été que les [télécommunications] commerciales ne sont pas un problème - que l'armée ne veut pas s'en approcher."

"Test bêta" de la Force spatiale

Il semblerait que les autres services non plus. Ironiquement, la Force spatiale touche par inadvertance à la question. En mars, la Force spatiale plans annoncés de mettre officiellement en place un nouveau "programme de fitness en trois parties" qui le verrait abandonner le test d'aptitude physique (PT) annuel si familier à tous les services, pour le remplacer par un programme qui utilisera "une technologie portable et une solution logicielle couplée avec fitness /régimes d'entraînement et pratiques de santé préventives.

Bien que le programme soit encore en phase de test bêta, la Space Force a signé un contrat avec la plate-forme logicielle de fitness Classements en forme "pour créer une communauté numérique pour connecter les appareils portables de fitness", selon un communiqué de presse de l'entreprise.

La société basée à Austin, au Texas, propose une application agnostique qui peut être utilisée sur une grande variété d'appareils/portables, y compris les montres Garmin. Il convient de noter que nulle part sur le site Web de FitRankings les mots «sécurité de l'information» ne sont énoncés. La manière dont Space Force sécurisera les données de cette communauté connectée, comment elle surveillera les données de santé/forme physique des Gardiens et comment elle les obligera à installer l'application sur leurs appareils portables personnels n'a pas été expliquée.

Selon une Air Force Times article, les responsables de la Force spatiale (et vraisemblablement le personnel de FitRankings) auront « accès à des tableaux de bord qui affichent différents niveaux de données sur les personnes qu'ils supervisent. L'étendue de ces données peut être ajustée pour afficher uniquement les totaux au niveau du groupe ou fournir une évaluation générale du niveau de forme physique d'un individu… »

Il n'est pas nécessaire de faire preuve d'imagination pour supposer que de telles données collectées de manière routinière intéresseraient les adversaires américains. Cependant, Dawson souligne que la fiabilité des appareils/applications biométriques doit elle-même être remise en question.

"Je n'ai pas vu de recherche qui indique que les données de ces applications biomédicales sont réellement exactes pour prédire la santé et le bien-être", dit-elle.

C'est possible, les applications peuvent créer un stress supplémentaire, ce que Dawson appelle la "sur-quantification de la surveillance de la santé" qui peut conduire les gens à une obsession malsaine. Elle propose également une note pratique, soulignant que les gens en Chine ont déjà compris comment faux trackers de fitness, en adaptant des vêtements au papier toilette ou aux bananes pour obtenir de meilleurs taux d'assurance.

La montre d'aviation Garmin la plus intelligente et la plus furtive à ce jour

"Pour revenir à la sauvegarde de la sauvegarde, nous aimons dire, dirigez simplement le pilote dans la bonne direction", plaisante Alpiser de Garmin. Il fait référence au mode d'urgence du D2 Mach 1 qui, en cas de panne complète du système de l'avion, fournit un guidage de navigation de base vers l'aéroport le plus proche.

Un utilisateur maintient simplement enfoncé le bouton cerclé de bleu sur le côté supérieur droit du boîtier de la montre. Le Mach 1 passe en mode urgence, simplifiant automatiquement l'affichage à quelques éléments cruciaux dont une flèche pointant la direction vers l'aéroport le plus proche.

Comme ses prédécesseurs, le Mach 1 reçoit les données satellites PNT (position/navigation/timing) de la constellation GPS américaine, de la constellation GLONASS russe et des satellites Galileo de l'UE. La montre ne repose pas sur une entrée liée, elle est donc fonctionnelle en cas d'urgence en utilisant les signaux satellites ci-dessus et sa propre base de données interne.

La fonction est un dernier recours pour les pilotes en embouteillage mais des versions précédentes de celle-ci ont été utilisées notamment par un Équipage de l'EA-18G Growler en détresse en 2017. Son mérite en tant que fonctionnalité autonome est généralement éclipsé par toutes les fonctionnalités connectées que Garmin vante pour le D2 Mach 1, y compris la planification de vol connectée et la surveillance de la santé du pilote. C'est là que le risque commence à s'infiltrer.

Jim Alpiser m'a dit qu'il revenait d'une réunion axée sur la sécurité avant notre entretien. Il dit que Garmin a "une grande concentration en interne sur la sécurité des données personnelles". Cette attention s'étend aux consommateurs militaires de ses montres et autres appareils.

« Nous comprenons que les opérations et le personnel militaires ont besoin d'un moyen de protéger leurs informations et d'effacer rapidement l'appareil s'ils le jugent nécessaire. Nous avons intégré ces fonctions et caractéristiques. Nous avons fait cela avec l'intention de rendre cette montre attrayante pour les aviateurs militaires.

Le mode furtif du Mach 1 est accessible via un menu de contrôle qui mène à une petite icône qui ressemble à un avion furtif. Appuyez sur l'icône et cela configure la montre de la même manière que le "mode avion" fonctionne sur n'importe quel autre appareil, en désactivant tous les signaux de diffusion sans fil sortants (Wifi, Bluetooth, antenne radio).

Il affichera la position de l'utilisateur sur une carte lors d'une activité (navigation aérienne, course à pied, etc.), mais aucune donnée de localisation n'est enregistrée, les positions GPS ne sont pas enregistrées. Par exemple, Garmin dit que si vous alliez courir 3 milles, il n'y aurait aucune trace de l'endroit où vous avez couru, seulement que vous avez couru XNUMX milles. Si vous désactivez le mode furtif, cette activité de course sera téléchargée sur Garmin Connect, également sans données de position.

Cela ressemble à un moyen attrayant de préserver la fonctionnalité sans enregistrer le mouvement si un utilisateur se souvient de l'actionner. Le Kill Switch du D1 efface la mémoire de l'appareil, une autre réflexion utile de Garmin qui pourrait profiter à sa clientèle militaire. Un utilisateur actionne le Kill Switch en appuyant et en maintenant enfoncé le bouton supérieur gauche suffisamment longtemps pour générer un avertissement de mise à mort avec un compte à rebours - si vous laissez le compte à rebours expirer, il efface tout sur l'appareil et revient aux paramètres par défaut.

Je l'ai essayé. Cela n'a pas fonctionné. Après avoir consulté Garmin, la société a expliqué qu'il fallait d'abord définir un seul bouton comme "raccourci clavier" avant de pouvoir l'utiliser. Ils ont expliqué comment le faire et ont ajouté que le Kill Switch efface toutes les données, mais écrit également sur l'ensemble du système de fichiers avec des données inutiles, puis recharge un nouvel ensemble de données système vierges en plus pour empêcher la récupération des données supprimées.

Encore une fois, une idée utile que Dawson accepte. "Tout ce qui est une réinitialisation facile des paramètres d'usine est une bonne idée. Dites que vous passez par la sécurité des frontières ou quelque chose de similaire, c'est bien.

Mais elle est sceptique quant à la fonctionnalité du mode furtif et à la collecte de données de Garmin en général. "J'ai consulté le rapport de confidentialité de Garmin Connect sur l'Apple Store. Il dit "données non liées à votre emplacement". Il indique toujours que les données qui vous sont liées à l'aide de cette application sont votre santé et votre forme physique, vos contacts, vos identifiants, vos coordonnées et le contenu de l'utilisateur.

Dawson renvoie aux identifiants publicitaires et rappelle que même si une application Garmin ne collecte pas expressément des données de localisation personnelles et ne les relie pas à des individus, les identifiants publicitaires de l'application/de l'appareil pourraient être fusionnés avec un autre ensemble de données et comparés pour identifier l'utilisateur. (Par exemple, une autre base de données d'une autre application qui collecte des données de localisation et les associe à un identifiant d'annonce.)

En utilisant deux ou plusieurs bases de données d'identifiants publicitaires, qui sont largement disponibles à la vente auprès de divers fournisseurs, les informations de l'utilisateur peuvent être glanées et suivies. "La politique de confidentialité de Garmin indique qu'ils ne vendent pas les données des utilisateurs, c'est donc une bonne étape, mais que se passe-t-il si l'entreprise est vendue ou s'il y a une violation de données ? Ces identifiants publicitaires peuvent ensuite être liés aux données de localisation. »

Les données personnelles micro-ciblables et susceptibles d'être violées, telles que le score de sommeil, les niveaux de stress, l'hydratation et le suivi de la santé des femmes, que Garmin met en évidence, sont préoccupantes pour les membres du service, ajoute Dawson.

"Si vous [en tant qu'adversaire] voulez déterminer le moment idéal pour déployer des messages psychologiques, vous le faites lorsque quelqu'un est stressé et épuisé. Cette application [Garmin Connect] donnerait vraisemblablement cette information. Même si Garmin ne vend pas ces données, si elles sont piratées, elles peuvent être diffusées. »

Malheureusement, l'expérience le prouve. En juillet 2020, des cybercriminels ont ciblé Garmin avec un attaque ransomware qui a chiffré les systèmes internes de l'entreprise et fermé des services critiques tels que Garmin Connect, flyGarmin, Strava et InReach. L'entreprise a détecté l'attaque pour la première fois lorsque les employés ont commencé à partager des photos de postes de travail cryptés. L'attaque a été attribuée à un groupe de hackers russe appelé "Evil Corp".

Selon rapports, Garmin a publié une déclaration disant: "Nous n'avons aucune indication que des données client, y compris les informations de paiement de Garmin Pay, ont été consultées, perdues ou volées." Mais comme Brett Callow, chercheur en cybersécurité chez Emsisoft, l'a déclaré à Sky News, "l'absence d'indication n'est pas une indication d'absence".

Le Trésor américain avait précédemment sanctionné Evil Corp, un groupe qui pourrait encore opérer en Russie. Garmin affirme que ses applications sont conçues en interne et que des fonctionnalités telles que le mode furtif et Kill Switch peuvent également être trouvées sur d'autres modèles de smartwatch comme celui de l'entreprise. Tactic 7.

« Vous avez un contrôle total sur les personnes avec lesquelles vous partagez ces informations. C'est à l'utilisateur de partager ces informations quand il le juge approprié », rappelle Alpiser de Garmin. Le porteur peut avoir un certain contrôle, mais même cela n'est pas complet et l'entreprise n'a pas hésité à utiliser des données utilisateur généralisées pour se promouvoir.

En janvier, Garmin a publié un 2021 Rapport de condition physique Garmin Connect dans lequel la société déclare : "Les données de millions de clients mondiaux de smartwatch offrent un aperçu des principales activités de l'année."

"Face aux blocages en cours et à l'émergence de nouvelles variantes du COVID-19, les utilisateurs de Garmin ont enregistré un nombre record d'activités de fitness en 2021", a déclaré Joe Schrick, vice-président du segment fitness de Garmin.

La publication peut sembler assez innocente, mais c'est une publicité claire du type de données personnelles agrégées (et individuelles) sur la forme physique que possède Garmin - des données potentiellement attrayantes pour le type de micro-ciblage que la Russie poursuit en Ukraine.

L'exemple remonte au coin technologique «méchant dur» que les sociétés américaines et autres se sont mises dans Dawson dit.

« Lorsque nous pensons à la sécurité [protocoles] que ces entreprises ont, nous acceptons essentiellement que nous prenons une entreprise privée et la dressons contre un État-nation. Le DoD et le gouvernement fédéral n'aident généralement pas les entreprises privées à protéger leurs données. Même si Garmin dispose d'une bonne sécurité, si un État-nation veut s'en mêler, il pourra y entrer.

En plus du problème de micro-ciblage immédiat pour le D2 Mach 1 ou tout autre appareil, il existe un grand vide politique dans l'armée et dans tout le DoD Dawson observe.

"Quelle autorité le DoD a-t-il pour dicter, recommander quoi que ce soit en ce qui concerne les appareils privés des gens ?"

Si la Force spatiale poursuit son expérience de test de fitness connecté, cela pourrait-il créer un précédent ? Dawson n'a pas de réponse, mais elle suggère un point de départ.

« La première chose que nous devons faire est d'amener le DoD à reconnaître qu'il s'agit d'une priorité de sécurité nationale… L'idée que la patrie est un espace contesté et que ces données font partie de cet espace contesté n'a pas été clairement articulée dans les documents de sécurité nationale du DoD. .”

La guerre en Ukraine peut soulever des problèmes de confidentialité des données à un niveau tel que les dirigeants militaires et politiques américains en prennent note. Dawson confirme que l'Army Cyber ​​Institute utilise l'Ukraine pour justifier sa lutte contre le microciblage. Cela pourrait la ramener, elle et ses collègues de l'armée, à une question fondamentale.

Si Dawson partait au combat dans un hélicoptère d'attaque AH-64 Apache, un char M-1 Abrams ou à pied, ai-je demandé, porteriez-vous un Garmin D2 Mach 1 ?

« Je ne l'emporterais pas avec moi », répondit-elle.