Un nombre croissant d'utilisateurs anonymes de X ont signalé avoir découvert, via Google Trends, que leurs noms complets, jamais divulgués publiquement en ligne, étaient recherchés depuis Israël peu après avoir publié des critiques des actions militaires israéliennes. Les signalements, documentés dans une enquête de MintPress News publiée cette semaine, concernent des utilisateurs de différents pays et horizons politiques, partageant tous un point commun : ils avaient critiqué Israël sur la plateforme. Un utilisateur a rapporté que son nom complet, y compris son deuxième prénom, avait été recherché depuis Israël 11 fois en une seule journée, tandis qu'un autre a affirmé que son nom avait été recherché 100 fois après la publication de contenus liés à l'affaire Jeffrey Epstein.
La controverse a remis sous les projecteurs Au10tix, la société israélienne de vérification d'identité que X utilise pour traiter les documents d'identité des utilisateurs depuis 2020. Au10tix a été fondée en 2002 en tant que branche technologique d'ICTS International, une société de sécurité enregistrée aux Pays-Bas et créée en 1982 par d'anciens membres du Shin Bet, l'agence de renseignement intérieur israélienne, et d'anciens responsables de la sécurité de la compagnie aérienne israélienne El Al. La société, dont les opérations sont basées à Hod HaSharon en Israël, exige des utilisateurs de X souhaitant la vérification premium qu'ils téléchargent une pièce d'identité officielle avec photo et un selfie, transmis ensuite à Au10tix pour un traitement biométrique.
Plusieurs employés d'Au10tix ont des parcours confirmés au sein de l'Unité 8200, l'unité de renseignement électromagnétique d'Israël, équivalente à la NSA américaine, qui fournit environ 90 pour cent du matériel de renseignement israélien. Selon des profils LinkedIn accessibles au public, d'anciens membres de l'Unité 8200 occupent des postes allant de développeur à responsable analytique au sein de l'entreprise. Les anciens de l'Unité 8200 ont également fondé des sociétés de surveillance controversées, dont le groupe NSO, créateur du logiciel espion Pegasus. Au10tix a déclaré respecter les normes internationales de confidentialité et ne transférer de données à aucun tiers.
Les préoccupations en matière de vie privée sont aggravées par une importante violation de données révélée en juin 2024 par 404 Media. Un logiciel malveillant de type infostealer installé sur l'ordinateur d'un employé d'Au10tix avait récupéré des identifiants administrateur en décembre 2022, et ces identifiants avaient été publiés sur un canal Telegram en mars 2023. Des chercheurs en sécurité ont découvert que les identifiants étaient toujours fonctionnels 18 mois plus tard, exposant potentiellement les noms complets, dates de naissance, nationalités, numéros d'identification et scans faciaux des utilisateurs de l'ensemble des clients d'Au10tix, parmi lesquels figuraient également TikTok, Uber, LinkedIn et Coinbase. L'Electronic Frontier Foundation a averti que les systèmes de vérification d'identité sont fondamentalement des systèmes de surveillance et que de telles violations peuvent mener au vol d'identité, au chantage ou à la perte de l'anonymat.
Le calendrier de ces signalements est particulièrement sensible, survenant environ une semaine après le lancement par les États-Unis et Israël de frappes militaires coordonnées contre l'Iran le 28 février. L'Union européenne, le Royaume-Uni et l'Espace économique européen sont exclus du programme de vérification d'X basé sur Au10tix, presque certainement parce que le Règlement général sur la protection des données interdit l'envoi de données biométriques à des sociétés tierces dans ces conditions. X a entamé une transition partielle vers le processeur de paiement Stripe pour la vérification aux États-Unis en juin 2024 après que le propriétaire Elon Musk a reconnu les plaintes des utilisateurs, mais la société continue d'utiliser une approche multi-fournisseurs incluant Au10tix. Les experts ont mis en garde contre le fait que les données de Google Trends présentent des limites d'échantillonnage connues pouvant produire des résultats trompeurs pour les recherches à faible volume dans de petites régions, ce qui signifie que les preuves, bien que visibles sur la plateforme, ne démontrent pas de manière définitive une surveillance systématique.
Commentaires