ProPublica est une salle de presse d’investigation lauréate du prix Pulitzer. Inscrivez-vous à la newsletter The Big Story pour recevoir des histoires comme celle-ci dans votre boîte de réception.
Au lendemain de l’invasion de l’Ukraine par la Russie en février, le président de la commission sénatoriale du renseignement, Mark Warner, a envoyé une lettre à Google l’avertissant d’être en alerte pour “l’exploitation de votre plate-forme par la Russie et des entités liées à la Russie”, et appelant l’entreprise à auditer sa publicité. le respect par les entreprises des sanctions économiques.
Mais pas plus tard que le 23 juin, Google partageait des données utilisateur potentiellement sensibles avec une société de technologie publicitaire russe sanctionnée appartenant à la plus grande banque d’État de Russie, selon un nouveau rapport fourni à ProPublica.
Google a autorisé RuTarget, une société russe qui aide les marques et les agences à acheter des publicités numériques, à accéder et à stocker des données sur les personnes naviguant sur des sites Web et des applications en Ukraine et dans d’autres parties du monde, selon une étude de la société d’analyse des publicités numériques Adalytics. Adalytics a identifié près de 700 exemples de RuTarget recevant des données d’utilisateurs de Google après que la société a été ajoutée à une liste du Trésor américain d’entités sanctionnées le 24 février. Le partage de données entre Google et RuTarget s’est arrêté quatre mois plus tard, le 23 juin, le jour où ProPublica a contacté Google à propos de l’activité.
RuTarget, qui opère également sous le nom de Segmento, appartient à Sberbank, une banque d’État russe que le Trésor a décrite comme “d’une importance unique” pour l’économie du pays lorsqu’elle a frappé le prêteur avec des sanctions initiales. RuTarget a ensuite été répertorié dans une annonce du Trésor du 6 avril qui imposait des sanctions de blocage complètes à la Sberbank et à d’autres entités et personnes russes. Les sanctions signifient que les individus et entités américains ne sont pas censés faire des affaires avec RuTarget ou Sberbank.
Fait particulièrement préoccupant, l’analyse a montré que Google partageait des données avec RuTarget sur les utilisateurs naviguant sur des sites Web basés en Ukraine. Cela signifie que Google peut avoir transmis des informations critiques telles que des identifiants de téléphone portable uniques, des adresses IP, des informations de localisation et des détails sur les intérêts des utilisateurs et l’activité en ligne, des données qui, selon les sénateurs et les experts américains, pourraient être utilisées par les services militaires et de renseignement russes pour suivre personnes ou se concentrer sur les lieux d’intérêt.
Publicité
En avril dernier, un groupe bipartite de sénateurs américains a envoyé une lettre à Google et à d’autres grandes sociétés de technologie publicitaire avertissant des implications pour la sécurité nationale des données partagées dans le cadre du processus d’achat de publicités numériques. Ils ont déclaré que ces données d’utilisateur “seraient une mine d’or pour les services de renseignement étrangers qui pourraient les exploiter pour informer et dynamiser les campagnes de piratage, de chantage et d’influence”.
Le porte-parole de Google, Michael Aciman, a déclaré que la société avait empêché RuTarget d’utiliser ses produits publicitaires en mars et que RuTarget n’avait pas acheté d’annonces directement via Google depuis lors. Il a reconnu que la société russe recevait toujours des données sur les utilisateurs et les achats d’annonces de Google avant d’être alertée par ProPublica et Adalytics.
“Google s’engage à respecter toutes les sanctions applicables et les lois de conformité commerciale”, a déclaré Aciman. “Nous avons examiné les entités en question et avons pris les mesures d’exécution appropriées au-delà des mesures que nous avons prises plus tôt cette année pour les empêcher d’utiliser directement les produits publicitaires de Google.”
Aciman a déclaré que cette action comprend non seulement empêcher RuTarget d’accéder davantage aux données des utilisateurs, mais aussi d’acheter des publicités par l’intermédiaire de tiers en Russie qui ne peuvent pas être sanctionnés. Il a refusé de dire si RuTarget avait acheté des publicités via les systèmes Google en utilisant ces tiers, et il n’a pas commenté si des données sur les Ukrainiens avaient été partagées avec RuTarget.
Krzysztof Franaszek, qui dirige Adalytics et auteur du rapport, a déclaré que la capacité de RuTarget à accéder et à stocker les données des utilisateurs de Google pourrait ouvrir la porte à de graves abus potentiels.
“Pour autant que nous sachions, ils prennent ces données et les combinent avec 20 autres sources de données qu’ils ont obtenues de Dieu sait où”, a-t-il déclaré. “Si les autres partenaires de données de RuTarget incluaient le gouvernement russe, les services de renseignement ou les cybercriminels, il y a un énorme danger.”
Dans une déclaration à ProPublica, Warner, un démocrate de Virginie, a qualifié d’alarmant l’échec de Google à rompre sa relation avec RuTarget.
« Toutes les entreprises ont la responsabilité de s’assurer qu’elles ne contribuent pas à financer ou même à soutenir par inadvertance l’invasion de l’Ukraine par Vladimir Poutine. Apprendre qu’une entreprise américaine pourrait partager des données d’utilisateurs avec une entreprise russe – détenue par une banque publique sanctionnée, rien de moins – est incroyablement alarmant et franchement décevant », a-t-il déclaré. “J’exhorte toutes les entreprises à examiner leurs opérations commerciales de haut en bas pour s’assurer qu’elles ne soutiennent en aucune façon la guerre de Poutine.”
