Pokémon Go : une arnaque mondiale à la donnée ?

Le célèbre jeu Pokémon Go, téléchargé plus d’un milliard de fois depuis quatre ans, fait bien plus que promener les joueurs dans les parcs et les rues. Non content de les téléguider à dessein vers des commerces, il risque fort d’être aussi un système innovant de collecte abusive de données utilisateur, et d’images du monde entier, le tout à l’insu des joueurs. Un scandale « Spykémon Go » fera-t-il bientôt surface ?

Lecture 23 minutes

Rappelez-vous, c’était en juillet 2016. Du jour au lendemain, les gens s’étaient mis à marcher frénétiquement dans tous les sens, pointant leur smartphone partout. Dans les rues, les magasins, les parcs, et parfois les bureaux et les appartements, des objets invisibles provoquaient soudain l’excitation des foules. Un nouveau jeu de réalité augmentée se répandait comme une traînée de poudre : Pokémon Go.

Le principe ? Attraper des pokémons, les célèbres créatures virtuelles, en se déplaçant dans l’environnement réel, équipé d’un smartphone dont la caméra est activée. En utilisant la localisation GPS du joueur, l’application de jeu indique les emplacements des pokémons sur la carte des environs, et les créatures apparaissent sur l’écran du joueur lorsque celui-ci s’y rend. En pointant sa caméra sur un pokémon virtuel, il peut alors le « capturer » pour progresser dans le jeu. Nouveau, interactif, ludique, et planétaire. Un coup de maître à bien des égards, nous allons en parler.

Une réussite débordante

Alors qu’auparavant les pokémons n’existaient que dans les consoles de jeu, Evoli, Salamèche, Bulbizarre, Rondoudou, Mew, et tous leurs adorables comparses fantastiques débarquaient cette fois dans la vie réelle. On sortait maintenant en ville pour les attraper, mais avec de la chance, Pikachu pouvait parfois se trouver dans votre cuisine ! Quel ne fut pas l’enthousiasme de tous ceux qui, ayant joué aux Pokémons dans leur enfance ou adolescence, sentirent soudain renaître la flamme du jeu, avec cette version revisitée et immersive. Il faut dire que la « Pokémania », engouement pour la saga Pokémon lancée en 1996 au Japon sur Game Boy, a fait date dans l’histoire du jeu vidéo.

Un pokémon dans les locaux de la rédaction de Sciences et Avenir en juillet 2016.

À son lancement en 2016, le nouveau jeu Pokémon Go connaissait un succès immédiat et sans précédent : 130 millions de téléchargements et 206,5 millions de dollars de revenus générés dès le premier mois lui valaient une inscription au Guinness Book des records, tandis que son utilisation dépassait celle de WhatsApp ou Twitter. Dès les premiers jours, les médias du monde entier se penchaient sur le phénomène. Sciences et Avenir se félicitait d’avoir pu tester le jeu dans ses locaux.

Bientôt, des voix s’élevaient pour signaler des problèmes. Attirés par les pokémons, des joueurs entraient dans des lieux inopportuns, comme le musée du Génocide Cambodgien, le camp d’Auschwitz en Pologne, ou l’ossuaire de Douaumont en France transformé en arène pokémon. Partout dans le monde, terrains privés, cimetières, zones militaires, lieux de culte ou de mémoire étaient approchés, mais aussi frontières et zones dangereuses, comme des champs de mines en Bosnie, et la zone radioactive de Fukushima au Japon ! De plus, le jeu monopolisait l’attention et causait des accidents, notamment de voitures. Mais au fond, toute innovation déployée à grande échelle ne s’accompagne-t-elle pas de conséquences imprévues ? Des restrictions locales venaient bientôt corriger ces problèmes.

Un commerce paie pour que des pokémons ou lieux virtuels importants soient situés dans ses boutiques

En revanche, peu de critiques étaient formulées concernant deux autres aspects très discutables de Pokémon Go.

D’une part, l’utilisation massive et permanente de données de géolocalisation, inhérente au jeu, semblait ne chiffonner aucun joueur ; après tout, via nos smartphones, nous laissions déjà tant d’entreprises savoir où nous nous trouvons, que nous faisait une application de plus ?

D’autre part, la stratégie commerciale derrière Pokémon Go inclut une pratique de « lieux sponsorisés », comme l’illustre le partenariat avec Mac Donald’s, révélé lors du lancement du jeu au Japon. Le principe est simple et efficace : un commerce paie pour que des pokémons ou lieux virtuels importants soient situés dans ses boutiques. Plus fort encore qu’une publicité qui amène vers un site Internet, cette application amène physiquement les clients potentiels dans le magasin. Une pure manipulation des joueurs, donc.

Mais l’amusement l’avait emporté, en cet été 2016 couronnant l’année la plus chaude de l’histoire climatique humaine. Fidel Castro fumait ses derniers cigares, Donald Trump mettait au point son teint orange, et les pokémons nous faisaient oublier le récent vote du Brexit. Au demeurant, pourquoi critiquer si durement ce jeu bénéfique pour la population, qui incitait à l’exercice physique et aux rencontres entre joueurs ? Les objections étaient remisées en fond de tiroir, l’approbation des consommateurs tombait sans appel : deux mois après son lancement, le jeu avait été téléchargé un demi-milliard de fois et était disponible dans plus de 100 pays. Réussite débordante.

Maintenant, laissez-moi vous présenter une tout autre vision de Pokémon Go.

Au lancement, seuls quelques rabat-joie se méfient

Je me rappelle de ce matin de juillet 2016. Des collègues de l’institut de recherche où je travaillais, calmes encore la veille, se ruaient soudain dans les moindres recoins, un smartphone pointé devant eux. J’ai été d’emblée méfiant devant ce jeu d’un nouveau type. Filmer autour de soi allait plus loin que l’hypnotisation par un écran. Je me suis dit qu’en balayant les couloirs et les salles, une caméra connectée en main, ces gens ouvraient à l’application la possibilité de récupérer des images des lieux parcourus. Et si quelqu’un de malveillant se cachait derrière tout ça, il en saurait beaucoup sur les locaux de l’institut et ses équipements. J’ai fait part de mon inquiétude, on m’a ri au nez et rembarré : « c’est un jeu », « t’es parano », « t’es ridicule », « t’as peur d’un pokémon ?», etc. Tandis que s’écoulait la journée, je prenais la mesure de ce qui se jouait autour de moi. Je voyais ces collègues, hautement éduqués pour la plupart, s’empresser de scanner l’institut et ses abords. C’était plus qu’un bête mais innocent téléguidage. Aveuglés par le plaisir du jeu, ils se comportaient en parfaits petits soldats. Les chasseurs de pokémons étaient électrisés, les créatures étaient potentiellement partout : cantine, bureaux, laboratoires, auditorium, salles de réunion, serveurs informatiques, salles de microscopie. Et le jeu était mondial… Un coup de maître, je me suis dit.

Étais-je vraiment paranoïaque, ou y avait-il de bonnes raisons de s’en faire ?

Oublions les Poké Balls, la Team Rocket, les Gotta Catch’em All, et rappelons les deux principes de base du nouveau jeu : 1) amener le joueur en un lieu choisi, 2) l’inciter à pointer des emplacements précis avec sa caméra de smartphone, active en permanence.

Ce qui se passe concrètement quand les gens jouent : une entreprise balade des centaines de millions de personnes à pied dans le monde, avec chacune à la main une caméra en marche. Ça ne choque personne ? En positionnant les objets d’intérêt du jeu, l’entreprise peut faire pointer une caméra vers potentiellement n’importe quel point de la planète, y compris dans des bâtiment publics ou privés. Ça ne choque toujours personne ?

Le smartphone ne stocke pas d’images, néanmoins la caméra voit le lieu en temps réel et est techniquement capable de transmettre ces données via Internet. Dès lors, une question ne brûle-t-elle pas les lèvres : l’entreprise récupère-t-elle ce que voient ces centaines de millions de caméras dans le monde ?

Au lancement de Pokémon Go, des institutions s’étaient d’abord inquiétées des regroupements de personnes créés par le jeu. En France, sa sortie avait été repoussée par mesure de sécurité, suite aux attaques terroristes de Nice le 15 juillet 2016. De même, le Sénat, se méfiant des foules, avait cherché à empêcher une des premières chasses aux pokémons prévue dans les jardins du Luxembourg à Paris.

Bien que limitée, la possibilité technique de manœuvrer des groupes à leur insu, en les attirant par des événements ou des lieux virtuels spéciaux, existe bel et bien avec cette application de jeu. Elle est d’autant plus forte que les utilisateurs sont nombreux, et laisse imaginer des détournements malveillants : concentrer des gens en un lieu pour mieux les soumettre à une menace ou influence, ou au contraire les éloigner d’une zone pour y perpétrer plus facilement un acte.

À plus large échelle, c’est bien l’aspect caméra indiscrète qui avait alarmé. L’Armée Française interdisait ce jeu à son personnel, pour parer à des intrusions dans des zones de défense, et des transmissions potentielles de données sensibles. D’autres pays déclaraient bientôt voir dans Pokémon Go un outil d’espionnage ou en tout cas une menace pour leur sécurité, notamment la Russie, ainsi que plusieurs pays à majorité musulmane : Iran, Turquie, Arabie Saoudite, Emirats Arabes Unis, Indonésie, bien que des motifs religieux ou idéologiques s’y soient mêlés (Pokémon Go peut être assimilé à un jeu d’argent, que l’Islam prohibe).

Ainsi, sans prétendre que la crainte était légitime, on peut affirmer qu’elle était partagée dès le début par des entités sérieuses : institutions et États.

Par contraste, des militaires américains en exercice de tir, ou encore le président d’Israël Reuven Rivlin, s’amusaient à faire circuler sur les réseaux sociaux des photos de pokémons vus sur leur lieu de travail. Légèreté affichée, donc.

Un Pikachu vu pendant une séance de tir de la Marine nationale américaine, à l’été 2016.

Voyants d’alerte

Je voudrais maintenant indiquer trois drapeaux rouges à propos de Pokémon Go. Trois gros drapeaux qui s’agitent concernant les possibles dérives de ce jeu, et invitent à une haute méfiance à son égard.

Premier drapeau rouge. Dans sa politique de protection des données, l’entreprise vous indique (Section 2) « la possibilité […] de filmer des espaces publics autour de points d’intérêt et de [leur] envoyer vos enregistrements vidéo, avec les informations associées de localisation de votre appareil », le tout pour les aider dans de louables « efforts de développement d’une nouvelle technologie de cartographie en Réalité Augmentée (RA) ». C’est donc certain : via l’application, l’entreprise est capable de récupérer des images du monde réel prises par les caméras des joueurs. Attend-elle vraiment leur consentement et leur noble élan participatif pour le faire ? En outre, pour rassembler des clichés d’un lieu d’intérêt, ne suffira-t-il pas à l’entreprise d’y placer un pokémon de grande valeur, une « perle », pour être quasi-assurée qu’un joueur y passe avec sa caméra ?

Je n’ai pas de preuves que de telles données soient transmises à l’insu des joueurs, cependant tout smartphone peut techniquement le faire. Or, qui sait ce que recèlent les lignes de codes de l’application ? Bien sûr, dans les conditions générales, l’entreprise niera toute possibilité d’utiliser ou récupérer ces images, du moins sans consentement. Mais les révélations de scandales de fuites de données à répétition, comme l’affaire Cambridge Analytica chez Facebook, devraient nous habituer à considérer de telles affirmations comme sans valeur, voire fausses.

Deuxième drapeau rouge. John Hanke, le directeur et fondateur de l’entreprise Niantic qui développe et distribue le jeu Pokémon Go, a été impliqué en 2010 dans l’affaire « Wi-Spy », un scandale de collecte abusive de données privées à l’échelle planétaire (pour plus de détails sur les liens entre « Wi-Spy » et Pokémon Go, voir cet article instructif de The Intercept, ou sa reprise par Courrier International).

Les faits ? Un enregistrement massif de données de réseaux Wi-Fi et de leurs utilisateurs, durant les années 2007-2010 où les fameuses voitures Street View de Google sillonnaient les routes du monde entier en prenant des photos. À l’époque, John Hanke était responsable chez Google de toutes les données géographiques, donc notamment de Google Earth et Google Maps.

La mission officielle de ces voitures – déjà discutable en soi – était de prendre des images depuis l’intégralité des rues de nombreux pays, afin d’ajouter la fonction « Vue depuis la rue » (Street View) à la base de données cartographiques mondiale Google Maps, en accès libre sur Internet. Par exemple, vous y tapez une adresse d’hôtel à Cracovie ou Barcelone, et vous pouvez regarder à quoi ressemble le quartier avant de réserver : voilà typiquement l’intérêt de cette fonction. Déjà devenu banal aujourd’hui, c’était révolutionnaire à ses débuts vers 2008.

Sauf que. En 2010, les autorités allemandes, suivies bientôt par la France et de nombreux autres pays, révélaient que les voitures de Google, en plus des images, avaient siphonné une immense quantité de données via les Wi-Fi du monde entier. Du pur vol, et une atteinte forte à la vie privée. Concrètement, tapez votre adresse postale dans Google Maps ; si l’option Street View est disponible, c’est qu’une voiture Google y est passée un jour ; vous verrez des images de votre rue, votre maison (voire reconnaîtrez des voisins ou vous-même malgré le floutage) ; si vos données Wi-Fi ne sont pas chiffrées – fort probable, et d’ailleurs vrai pour tous les réseau Wi-Fi publics – la voiture Google a pu collecter lors de son passage non seulement le nom de votre réseau, mais aussi les sites Internet que vous visitez, votre historique de recherches, vos identifiants de connexion, vos courriels, etc. Révoltant, non ?

Voilà la « Blitzkrieg Google » : déployer sciemment et rapidement des pratiques agressives, puis s’en excuser platement mais conserver les données

À ma connaissance, aucune punition sérieuse n’est tombée pour Google. Pour info, si l’entreprise géante doit s’acquitter de quelques centaines de milliers d’euros d’amende en Europe, ou peut-être de quelques millions de dollars aux États-Unis, c’est moins que l’argent qu’elle génère en une seule journée

Après avoir, en avril 2010, nié toute collecte d’informations privées, Google a reconnu le contraire en mai suivant, puis déclaré en juillet que « des erreurs sérieuses » avaient été commises dans les protocoles d’interaction avec les réseaux Wi-Fi, et affirmé avoir « travaillé à les supprimer rapidement ». Inadvertance donc, de la part d’une des entreprises les plus compétentes au monde en la matière ? Non, vraiment, même un Pokémon aussi innocent que Sorbébé ne goberait pas cette énormité. Voilà plutôt le signe clair d’une tactique hypocrite, consistant à déployer sciemment et rapidement des pratiques agressives, puis à s’en excuser platement dès que le pot aux roses est découvert. C’est ce que j’appelle la « Blitzkrieg Google », j’en reparle plus bas. Or, malheureusement, une fois les données acquises, elles ne sont plus effacées.

Pour compléter le tableau, ajoutons que l’entreprise Niantic est directement issue de Google (Alphabet), dont elle s’est officiellement séparée un an avant le lancement du jeu, en 2015 – Google y restant actionnaire aux côtés de Nintendo. Son patron John Hanke avait lancé le projet au sein de Google, en s’appuyant sur les données de cartographie mondiale sur lesquelles il avait la main.

Fait troublant : Hanke est co-auteur d’un brevet concernant un jeu de réalité virtuelle, déposé par Google en 2012, et transféré en 2015 ensuite chez Niantic. Le brevet dit en toutes lettres que le jeu « peut inclure une tâche impliquant d’acquérir de l’information sur le monde réel, et la condition de fournir cette information pour remplir l’objectif du jeu. Par exemple, […] prendre la photo d’un monument, d’un objet d’art, d’une devanture de magasin […] » (colonne 14). De là à conclure que le jeu en question est Pokémon Go, et que les informations sur le monde réel sont fournies par le joueur sans son consentement (il faut bien qu’il progresse dans le jeu), il n’y a que deux pas.

Dès juillet 2016 aux États-Unis, l’EPIC (Electronic Privacy Information Center, sorte d’équivalent de la CNIL française) mettait explicitement en garde contre l’entreprise Niantic, commentant : « Étant donné l’histoire passée de Google Street View, il y a peu de raisons de croire aux garanties concernant l’état actuel des pratiques de collecte de données de Niantic. » Peu de joueurs ont lu ou pris au sérieux cet appel, semble-t-il.

Troisième drapeau rouge. À peine quelques jours après la sortie de Pokémon Go aux États-Unis, des observateurs comme le blogueur Adam Reeve alertaient sur des permissions abusives que s’octroyait l’application, mettant en péril des données privées sans rapport avec le jeu. D’après Reeve, il fallait plus ou moins un compte Google pour pouvoir jouer, et les permissions de l’application, en cherchant bien, indiquaient : « Pokémon Go a un accès complet à votre compte Google », ce qui d’après la documentation Google signifie que « l’application peut voir et modifier presque toute information dans votre compte Google ». C’est-à-dire, ainsi que le rappelait Adam Reeve : lire vos courriels, en envoyer en se faisant passer pour vous, accéder à vos documents stockés sur Google Drive, regarder votre historique de recherche, regarder vos images dans Google Photos, etc. Tiens donc, le jeu est ainsi une sorte de Cheval de Troie, n’est-il pas ?

Google réagissait aussitôt, adoptant la même attitude que dans le scandale Wi-Spy. Ayant « découvert récemment » que l’application « demandait par erreur la permission pour un accès complet au compte Google de l’utilisateur », Google rassurait les joueurs sur cet maladresse involontaire, assurant que la faille était corrigée et que ni Pokémon Go ni Niantic n’avaient accédé à leurs informations.

Là encore, qui pourrait croire que l’entreprise Niantic, s’apprêtant à déployer un jeu soigneusement préparé car d’ampleur mondiale, avait réellement omis une précaution si basique : restreindre les permissions de l’application au strict nécessaire ? Comment ce rapprochement de données prétendument fortuit entre Niantic et Google peut-il ne pas rappeler les forts liens de capital et de propriété intellectuelle existant entre les deux entités ? Sans même mentionner que le brevet de Hanke a été retransféré de Niantic à Google en octobre 2017. On peut tout à fait y voir une tactique effrontée et grossière, celle de la « Blitzkrieg Google », l’entreprise ayant tenté le coup pour siphonner sans scrupules des données d’utilisateurs, sachant que cela se verrait vite. Or, tout réside dans la notion de « vite ». À la vitesse vertigineuse à laquelle s’est répandu le jeu – le nombre d’utilisateurs a dépassé en 48h celui de Tinder – même quelques jours ou semaines de collecte de données ont pu s’avérer bien juteuses.

Qui a souhaité, inquiet, revenir en arrière et supprimer son compte Pokémon Go, a pu apprendre sur la page officielle de l’entreprise que celle-ci conserverait ses données « aussi longtemps que nécessaire » (Section 6), autrement dit, se gardait le droit de ne pas les effacer.

De même que pour l’environnement le meilleur déchet est celui qui n’est pas produit, voici une règle à garder en mémoire pour notre vie privée : la donnée la plus sûre est celle qui n’est pas transmise.

Le jeu sur smartphone, nouveau danger de notre époque

Où nous mènent donc ces faits et observations ?

Premièrement, à un constat amer : l’avènement du Web 2.0 s’est accompagné de bien des menaces pour notre vie privée. À l’époque des Game Boy et même du Web 1.0, une entreprise éditant un jeu se concentrait encore sur un objectif acceptable : la maximisation de ses ventes, que ce soit des supports ou des produits dérivés (posters, peluches, dessins animés, etc.). Au pire, on risquait d’être abruti par le jeu, ou de claquer un paquet d’argent.

Aujourd’hui, principalement à cause des smartphones, un jeu à succès ouvre la porte à bien plus que cela. Tout d’abord, la géolocalisation du joueur peut être collectée en temps réel. Et si l’on n’imagine pas toujours ce qu’en fera l’entreprise, pas d’inquiétude, l’entreprise l’imagine pour nous. De plus, avec des frontières entre applications et entre comptes toujours plus floues et poreuses – sous prétexte de l’interaction au sein des communautés de joueurs, et des complémentarités entre services – des données d’une profondeur croissante peuvent être collectées sur l’identité du joueur et ses actions, sur la toile comme dans la vie réelle. Et c’est d’autant plus aisé que le joueur est un enfant.

Un jeu est devenu un outil potentiel d’intrusion dans la vie privée ou de manipulation des masses

Ainsi, c’est triste à dire, mais avec le Web 2.0 et les smartphones, un jeu est devenu un outil potentiel d’intrusion dans la vie privée ou de manipulation des masses, outil d’autant plus dangereux qu’il a son alibi ludique et le caractère anodin de créatures fantastiques comme les Pokémon.

Rappelons que le but premier d’une entreprise, fut-elle dans l’industrie du jeu, n’est pas d’amuser la population mais de réaliser un profit durable, ce qui peut passer par acquérir un certain pouvoir. John Hanke a dirigé les collectes de données de Google Street View, opération ayant remis en cause la souveraineté des États sur leur territoire, puisqu’il s’est agi d’une appropriation de l’espace public par une entreprise privée (lisez donc cet intéressant commentaire juridique). Comment croire qu’un tel homme ait perdu tout goût du pouvoir, et que sa motivation première pour lancer Niantic et Pokémon Go aura été de permettre aux trentenaires du monde entier de vivre une deuxième Pokémania ?

Les évolutions techniques d’Internet et des téléphones permettent pourtant de belles œuvres collectives, entre autres le développement de la science citoyenne. Grâce au principe du jeu sérieux (activité ludique à intention sérieuse, par exemple pédagogique), des projets utilisent la participation bénévole et à grande échelle d’utilisateurs de la toile pour résoudre des problèmes scientifiques. Citons par exemple Foldit, qui s’attaque au difficile problème biologique des structures tridimensionnelles des protéines et a connu de grands succès. Dans de tels projets, l’aspect ludique est clé, pour renforcer la bonne volonté des amateurs souhaitant contribuer à la science.

Or, tout projet de science citoyenne cite clairement ses buts, et ne peut investir que des moyens limités dans la qualité du jeu. Dans un jeu comme Pokémon Go, à l’inverse, l’aspect ludique est hautement travaillé, et les vrais buts non révélés. Si les gains officiels proviennent des ventes de fonctionnalités de jeu et des partenariats de type « lieux sponsorisés », on devine que l’entreprise a par ailleurs un fort intérêt à collecter des données utilisateurs de type localisation et images, et a su les monnayer, ou bâtir avec elles les fondations de projets à venir.

Un scénario angoissant mais loin d’être grotesque

Deuxièmement, je voudrais avancer un scénario hypothétique sur ce qui a pu se passer avec ce jeu. Un scénario osé, dont je souhaite sérieusement qu’il soit erroné et affabulé : le géant Google avait frappé fort avec Street View, il a frappé encore plus fort avec Pokémon Go.

La cartographie a toujours été d’un haut intérêt stratégique pour les États. Déjà, les Romains cartographiaient leur Empire à des fins militaires et d’administration. Il en subsiste des vestiges, comme des fragments de plaques de marbre gravées, pour le cadastre d’Orange dans le sud de la France, ou des bornes en pierre numérotées sur le territoire de l’actuelle Tunisie (voir par exemple ce site pour plus d’infos). En France, la célèbre « carte d’État-Major», carte générale du territoire établie au XIXè siècle à des fins militaires, avait été précédée par les « cartes de Cassini ». Ce projet titanesque, commandé en 1683 par Louis XIV, puis financé en partie par Louis XV, et achevé en 1818, avait mobilisé quatre générations de cartographes et leurs équipes pour décrire le territoire français avec une exactitude sans précédent – Napoléon sut en tirer profit.

Ce n’est sans doute pas un hasard si Keyhole, l’entreprise rebaptisée Google Earth après son rachat par Google en 2005, avait été financée par la CIA, la célèbre agence de renseignements américaine. Et le fondateur de Keyhole n’était autre que… John Hanke lui-même, aujourd’hui à la tête de Niantic !

Google disposait déjà, sous le nom de Google Earth, d’une base de données mondiale d’images par satellite. Par ailleurs, Google Maps s’était rapidement imposée comme la ressource de données routières en ligne la plus populaire. Une idée de génie fut de compléter ces deux bases de données par des images collectées depuis le terrain : Google Street View était né. Les voitures dotées de leurs caméras (et de leur dispositif de siphonnage de données Wi-Fi) furent lâchées pour numériser les routes du monde. Les États furent pris de vitesse, et avant qu’ils aient pu réagir, une entreprise américaine détenait déjà des quantités faramineuses de données collectées sur leurs territoires. Se devinant roulés, les États jurèrent, mais un peu tard, qu’on ne les y prendrait plus.

Or, jadis les cartes géographiques ne conféraient d’avantage stratégique que si les autres royaumes ne les détenaient pas. Et voilà que cet agent qui avait réussi la prouesse de cartographier secrètement les territoires étrangers rendait accessibles au monde entier les images acquises ! Qu’est-ce qui avait donc changé ?

C’est que le terrain est bien plus riche que les photographies qui en sont prises. Comme le révélait bientôt l’affaire « Wi-Spy », il était intéressant de collecter toutes sortes de données numériques via les réseaux Wi-Fi – et le brevet de Hanke montre que les ingénieurs avaient d’autres idées pour la suite, comme « indiquer l’emplacement des chemins parcourables dans une zone » (colonne 14) . Ainsi, Google publiait la façade, ces images utiles à l’humanité qui légitimaient son action, et se réservait les vraies données stratégiques qu’un Napoléon moderne serait prêt à payer cher.

Cependant, les données Street View de Google, pour épatantes qu’elles étaient, restaient limitées à ce qu’on enregistre depuis une voiture. Y manquaient les étroites ruelles de nombreuses vieilles villes du monde, les zones piétonnes, les pistes cyclables. Y manquaient également les espaces situés loin des routes, comme les parcs, les sentiers ruraux, les champs, les forêts, les jardins privés. Mais aussi, et surtout, l’intérieur des bâtiments, qui renferment tant d’informations sur la vie privée des particuliers et des entreprises. Une alléchante mine d’or pour un géant avide de données.

Les États, échaudés, se tenaient sur leurs gardes. L’approche « voitures » ne marcherait pas une deuxième fois, et il serait difficile de publier des images d’intérieurs de bâtiments pour se légitimer. Google avait bien adapté ses caméras Street View en version portable, pourtant ni ses bourlingueurs motivés ni même ses chameaux dociles ne suffiraient à écumer la planète.

Google avait déjà convaincu des randonneurs de travailler pour lui et élargir la fonctionnalité Street view.

Dès lors, le deuxième coup de génie de Google fut d’oser mettre gratuitement la population mondiale à contribution : à fond dans la philosophie du Web 2.0 ! Pour ce faire, quelle meilleure motivation, et quelle meilleure couverture, qu’un innocent jeu ? Presque tout le monde a un smartphone : concevons donc un jeu qui amènera tout humain, où qu’il se trouve, à collecter pour nous des images de ses environs. Mieux, on pourrait utiliser le jeu pour faire se déplacer les gens, et même à l’intérieur des bâtiments – mais pas trop souvent, pour ne pas que ça se voie. Ils iraient exactement où l’on souhaite, selon nos intérêts, le tout en s’amusant, en faisant du sport, et en rencontrant d’autres joueurs. Et on se garderait toutes les données pour nous, puisque le jeu serait déjà leur récompense. Voyons… et si on repartait sur un jeu connu… un jeu qui a cartonné… Pokémon par exemple !

Les anciens enfants et ados de la Pokémania constituaient une base d’utilisateurs rêvée

Oui, la personne qui a eu ce déclic a dû exploser de joie, que ç’ait été John Hanke ou quelqu’un d’autre. Cela a pu être lors du rituel poisson d’avril de Google en 2014, qui associait pour la première fois les pokémons avec le service Google Maps. En tout cas, si le jeu Ingress, première tentative de Niantic, était déjà prometteur, l’idée des pokémons était magistrale. L’immense succès du jeu depuis quatre ans a consacré ce gameplay bien pensé.

Abusant de la naïveté des adeptes de jeu, ainsi que des nombreux fans existants de Pokémon, l’entreprise Niantic lançait donc ce nouveau concept écrasant toute concurrence, masquant des pratiques abusives d’intrusion dans la vie privée (siphonner vos données d’utilisation Internet) et de collecte d’images (vous faire filmer des lieux de l’espace public, mais aussi, pourquoi pas, l’intérieur de votre appartement, ou encore des locaux sensibles de votre employeur). Après tout, en 2016, Google ne se mettait-il pas en position de pouvoir récolter de précieuses données sur les entreprises, en leur vendant des offres comme Google Calendar, qui écrasaient en simplicité et efficacité la concurrence des dinosaures tels SAP jusqu’alors en place ? Personnel, agendas, lieux de réunions, ressources à réserver… il n’y manquait que des images. De plus, les anciens enfants et ados de la Pokémania n’étaient-ils pas maintenant actifs dans les entreprises et organisations du monde entier ? On n’eût pu rêver d’une meilleure base de départ d’utilisateurs.

Comme clin d’œil à ceux qui n’avaient pas encore oublié le scandale Wi-Spy, la même excuse énorme lorsque furent révélés les dysfonctionnements : nous avions déjà piraté « par erreur » les données des Wi-Fi du monde entier avec nos voitures, nous venons de lâcher dans le monde entier une application qui aspire « par erreur » vos données d’utilisation Internet et peut piloter votre compte Google, vraiment navrés, nous venons de le réparer. Quant à effacer les données collectées, pas une mention. Acquérir des données très vite et à grande échelle, puis s’excuser naïvement, voilà donc cette tactique de « Blitzkrieg Google » qui a fait ses preuves.

En quatre ans, les centaines de millions de caméras de smartphones s’en sont donné à cœur joie pour capturer les Dracaufeu et les Feunard, alimentant des serveurs américains en précieuses images du monde entier, ainsi qu’en données utilisateurs. Pour entretenir la motivation de ces petits soldats, des mises à jour, des innovations, des gadgets, des fonctionnalités inventives. Comme le rappelle le brevet de Hanke, « le processus d’acquisition de données devrait être divertissant pour le contributeur potentiel, afin que celui-ci s’implique sur le long terme ». Tout est dit.

Résultat : Google, non pardon, Niantic, qui ne fait pas du tout partie de Google, disposerait aujourd’hui d’une base de données d’ampleur mondiale et d’une profondeur sans précédent (images, données Wi-Fi, parcourabilité, etc.), concernant l’espace public mais aussi l’intérieur des bâtiments de particuliers et de professionnels dans plus de 100 pays. Quel outil génial que Pokémon Go ! Parc, recoin de monument, ruelle, salle de musée, intérieur de bistrot, local professionnel… il a suffi d’un clic à l’entreprise – y placer un pokémon – pour que des dizaines de joueurs s’y rendent, caméra allumée à la main.

Voilà donc quelle fut la deuxième phase de l’opération Street View.

Quand le jeu vidéo accélère la prophétie de 1984

Mon scénario vous paraît exagéré ? Digne d’un roman de science-fiction ? En vérité, plus je rassemble mes sources, moins il m’apparaît grotesque comme au début… Trop d’indices laissent craindre qu’il ait pu avoir lieu. Et se renseigner sur les pratiques et les litiges des géants d’Internet ne fait que renforcer cette méfiance que j’avais a priori.

Siri enregistre ce que vous dites sur votre état de santé, vos préférences sexuelles, vos opinions politiques…

Disons-le clairement : je m’inquiète avant tout qu’un tel scénario ait été techniquement possible. Je vois dans Pokémon Go un de ces systèmes potentiels de surveillance que nous laissons chaque jour prendre un peu plus pied dans nos vies, par inattention, mais aussi souvent – et c’est plus préoccupant – par consentement voire participation active. Faire entrer dans nos maisons des assistants vocaux comme l’Assistant Google ou comme Alexa (celui d’Amazon), dont la mission explicite est d’écouter et interpréter nos paroles, est pour moi un autre exemple alarmant de notre contribution volontaire aux intrusions numériques dans nos vies privées.

Pas convaincu(e) du danger ? Visionnez donc ce témoignage d’un ancien employé, qui révèle qu’en 2019 déjà, Siri, l’assistant vocal d’Apple, écoutait aussi quand on ne lui demandait pas, et récoltait ce que vous pouviez dire sur votre état de santé, vos préférences sexuelles, vos opinions politiques, vos données bancaires, avec toutes les dérives commerciales et policières qu’on peut imaginer. Ici, un témoignage équivalent sur Cortana de Microsoft. Voir aussi cet article, celui-ci… Ces appareils ou logiciels nous espionnent bel et bien. Si vous avez fait l’erreur de les acheter, jetez-les à la poubelle illico.

Alors qu’il y a trente ans à peine, des gens vivaient dans la crainte des écoutes du KGB ou de la Stasi (revoyez le film La Vie des autres…), aujourd’hui nous donnons de l’argent pour installer dans nos vie ces mouchards ultra-performants ! Le clairvoyant George Orwell, dans son roman 1984, n’avait pas eu l’indécence d’imaginer les citoyens installer de plein gré les fameux télécrans signant la fin de leur vie privée. En 2020 pourtant, nous y sommes. C’est ce que j’appelle notre acquiescement benêt, ce que Sylvain Tesson nomme notre « enrégimentement accepté par paresse ». Peu importe si nous pensons ne pas être personnellement intéressants pour un géant d’Internet : par notre acquiescement individuel, nous participons à la mise en place dans nos domiciles de ces systèmes mondiaux d’espionnage. Voilà ce qui me semble grave.

Maintenant, ce qui a pu se passer avec Pokémon Go s’est-il passé pour de vrai ? Bien sûr, je ne peux le savoir. Mais les fréquents scandales de fuites de données chez les géants d’Internet, ajoutés aux trois drapeaux rouges que j’ai indiqués, laissent fortement penser qu’à cette époque de transit débridé de données, ce qui peut arriver finit par arriver secrètement. Il a fallu plusieurs années après le lancement des voitures Google Street View pour qu’éclate le scandale « Wi-Spy ». Espérons que nous n’entendrons pas bientôt parler d’un scandale « Spykémon Go ».

Vous remarquerez que je n’ai pas nommé Niantic à tout bout de champ, me contentant souvent de parler de « l’entreprise » derrière le jeu Pokémon Go. En effet, je critique moins l’entreprise particulière que le type d’agissement, emblématique de notre époque de technologie aveugle et en train de se généraliser. De même, peu importe que les données soient détenues par une entreprise américaine, cela serait tout aussi alarmant en Europe, en Russie, en Chine, en Inde, ou dans tout pays quelle que soit sa taille. Ce qui m’inquiète avant tout est l’existence même de bases de données de telle ampleur, ainsi que des moyens techniques de les établir. Les deux ensemble confèrent un grand pouvoir.

Un des dangers de notre époque réside précisément dans ces pouvoirs, pas en premier lieu dans l’identité de ceux qui les détiennent… d’ailleurs temporairement.

Enfin, pourquoi parler de Pokémon Go quatre ans après sa sortie ? Parce que trop peu de gens s’en alarment, et que ce jeu suspect continue de se répandre – aussi parce que j’ai eu beaucoup à faire ces dernières années. Pour les données, c’était presque déjà trop tard après quelques jours. Mais plus le temps passe et plus la base de données, si elle existe vraiment, s’élargit et se complète. Si vous y jouez, il n’est jamais trop tard pour supprimer l’application et arrêter de travailler pour cette entreprise qui cartographie les moindres recoins privés de la planète. Alarmez-vous de la pratique des lieux sponsorisés, cessez de vous faire manipuler. Parlez de tout cela autour de vous, et voyez si personne ne partage mes soupçons.

Comme de nouvelles fonctionnalités de jeu continuent d’apparaître, les joueurs n’en démordent pas, et les profits de Niantic restent mirifiques. Pendant le confinement de 2020, des aménagements du gameplay ont permis d’entretenir la soif de pokémons, génératrice de tant de revenus. Depuis sa création, le jeu aurait déjà rapporté plus de 4,5 milliards de dollars.

Seule limite au succès du jeu : tout le monde n’aime pas les pokémons. Pour y remédier, Niantic lançait en 2019 le doublon Harry Potter: Wizards Unite. Même concept de géolocalisation et réalité virtuelle, et une base d’utilisateurs différente, histoire de toucher encore plus de monde.

Un coup de maître à bien des égards, je vous le disais.

2 réflexions sur « Pokémon Go : une arnaque mondiale à la donnée ? »

  1. Salut Thomas,

    Enquête très intéressante, merci pour ces 23 minutes d’esprit critique. Je regardais récemment deux séries Arte produites par Léo Favier (https://www.arte.tv/fr/videos/RC-017841/dopamine/ et https://www.arte.tv/fr/videos/RC-015330/propaganda/) qui s’attaque aux ressorts des théories comportementales et de la psychologie humaine, déployés implicitement pour rendre les gens accros à leurs smartphone. Pokémon est dans la liste (https://www.arte.tv/fr/videos/075937-006-A/propaganda-6-10/) et ça démarre par : « Convaincre les gens de te filer leurs données perso? Ok, pas de problème! ». Le reste, c’est exactement ce que tu décris, tu n’es pas le seul fou =D!

    Je partage ton sentiment sur la décorrélation niveau scolaire / sensibilisation à la protection des données. Mon expérience dans la recherche académique public tient en deux point :

    1. Utilisation par les jeunes chercheurs de serveurs Google Drive pour stocker des Google docs/sheets alors que nos labos ont des serveurs et des services sécurisés maison… Notre chef du service informatique au Max Planck a refusé de développer une application pour nos mails pro car forcément à développer pour Android et iPhone. Malheureusement il appartient à l’ancienne école et peu sont aussi sensible que lui à la protection des données.

    2. Ma nouvelle collaboration scientifique est composée pour moitié d’américains. Tous nos outils de travail sont hébergés sur Amazon Web Service. Pour nos données acquises par des finances publiques, à la limite qu’elles soient accessibles à tous… mais je pense à toutes les boites européennes qui hébergent sur AWS et qui tombent ainsi sous le coup de la juridiction américaine. Un autre scandale dont on ne parle pas ou si peu : la fuite de nos données française de santé chez Microsoft.

    En résumé, voir la très bonne thinkerview sur la souveraineté numérique: https://www.thinkerview.com/tariq-krim-et-bernard-benhamou-souverainete-numerique-la-douche-froide/.

    Puisque tu mentionnes la stasi (mon chef allemand m’en parle régulièrement quand on parle de Google…), pour compléter sur la surveillance de masse, qui nous arrive de partout – vu cet été à vélo tant de panneaux « ville sous vidéo-surveillance » – j’aimerai compléter ton propos par la transition de la surveillance Google à la surveillance institutionnelle. De mon point de vue, tout le monde dans le milieu de la techno à maintenant compris l’intérêt de ces données et joue sur la corde sensible sécuritaire pour déployer tout un tas de système intrusif. Un collectif tente de faire une veille de ces systèmes : Technopolice (https://technopolice.fr et https://forum.technopolice.fr/). Je laisse les gens y jeter un oeil.

    Sinon, tout va à peu près bien.
    Bise et bonne humeur!
    Yo

    J'aime

    1. Salut Yoann,

      J’ai regardé la Thinkerview qui est très bonne en effet, ainsi que les séries Dopamine et Propaganda. « Chaque année, c’est la même chose : il faut vendre le dernier iPhone… ». Sur Pokémon Go, Léo Favier dit en quelques images ce que je raconte en beaucoup de mots. Percutant et instructif, j’espère qu’il touche plein de monde via Arte !

      Je te rejoins, c’est affolant à quel point tous les ressorts émotionnels intimes sont exploités pour abrutir ou asservir les utilisateurs de smartphones : sécurité, statut social, appartenance au groupe, le tout démultiplié par l’accès 24h/7j à Internet. Ca rejoint le livre du neuroscientifique Sébastien Bohler que je présentais en mai dernier : https://dequevolem.com/2020/05/02/le-21e-siecle-ou-les-impasses-du-cerveau-humain/. Il y parle des mécanismes de motivation des comportements et les lie au « toujours plus » qui gouverne nos sociétés. Le magazine « Cerveau & Psycho » qu’il dirige semble d’ailleurs être partenaire de la série Dopamine.

      J’ai rencontré récemment un gars du service informatique d’une école d’ingénieurs de Lyon, lui aussi est dég que les étudiants boudent son nuage (cloud) fait maison, gratuit et tout sécurisé, préférant les services des Gafam auxquels ils offrent leurs données de bon coeur. Ces boîtes géantes ont bien réussi leur coup, l’avantage massue est pour moi l’aspect tout intégré de leurs services : messageries, stockage, navigation routière/transport, moteur de recherche, alertes, agendas, calculateurs… Imbattable avec des solutions maison, le fossé est creusé depuis trop longtemps. Pour ne pas céder à cet asservissement mais défendre sa liberté, il faut accepter des outils un peu moins pratiques et moins intégrés. Beaucoup de logiciels libres font le taf, Framasoft etc.

      A la fac d’Aix-Marseille, nos courriels sont fournis par Outlook (Microsoft) mais notre nuage tourne avec le logiciel libre NextCloud, dont le slogan est « Reprenez le contrôle », et qui fonctionne très bien.

      Le Health Data Hub m’a l’air bien scandaleux oui, ils en parlent dans la Thinkerview. De ce que je comprends, des boîtes françaises auraient eu toutes les compétences requises pour mettre en place l’outil, si on leur avait laissé 1-2 ans de plus, ou les avait informées en amont. Le sentiment d’urgence a conduit à se jeter dans les bras de Microsoft ; même pas sûr qu’ils aient eu à soudoyer le gouvernement.

      Merci pour toutes ces infos de qualité !
      A une prochaine

      J'aime

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s