Comment un bug numérique a transformé la vie de fermiers du Kansas en enfer

"Fiers de notre passé, tournés vers l'avenir" : telle est la devise de Potwin, une petite bourgade fondée au Sud-est du Kansas en 1885. Cette ville de 440 habitants, jadis comblée par les revenus de l'industrie pétrolière, n'est qu'à deux heures de route du centre géographique des États-Unis. C'est l'Amérique rurale, celle des routes monotones et des champs interminables ; 2 000 kilomètres séparent Potwin de New York, 2 200 autres l'éloignent de San Francisco. Un havre de tranquillité au milieu duquel Joyce Taylor, 82 ans, possède un terrain d'environ 1,5 kilomètres carrés. S'y trouvent une ferme, une petite maison, deux granges et une poignée d'enclos à cochons que la vieille dame loue aux amateurs de rase campagne.

En dépit de son isolement peu commun, la propriété de Mme Taylor reçoit régulièrement de curieux visiteurs : depuis plus de dix ans, agents du FBI, policiers à la recherche d'enfants fugueurs, ambulances destinées à des vétérans suicidaires et collecteurs d'impôts se pressent à sa porte. L'adresse et les noms de ses locataires ont été diffusés sur Internet, des inconnus se sont introduits sur le terrain. Un jour, une cuvette de toilette cassée a même été abandonnée sur le chemin de la ferme. Le défilé de gêneurs était tel que le shérif de Potwin a dû placer un écriteau à l'entrée de la propriété pour défendre son accès aux étrangers : "La pauvre dame se faisait harceler depuis des années", a-t-il expliqué. La malédiction aurait sans doute perduré si le journaliste Kashmir Hill n'avait pas mené l'enquête. Pour le magazine en ligne Fusion, il a découvert que tous les malheurs de Potwin étaient liés à une sombre affaire d'adresses IP.

Les adresses IP sont le pilier de la navigation Internet. Lorsqu'un appareil ou un réseau s'élance sur la toile, l'une de ces suites de chiffres uniques lui est automatiquement attribuée par le fournisseur d'accès auquel il fait appel. Sans ces cartes d'identité numériques que l'on pourrait comparer à des numéros de téléphone, toute communication entre ordinateurs serait impossible. Quand vous faites appel aux services d'Internet sans précaution particulière, l'adresse IP de la connexion que vous utilisez est disséminée un peu partout. Si vous visitez un site web, il y a de fortes chances que celui-ci mémorise l'enchaînement de chiffres qui vous a été attribué. Les sbires du marketing web et les autorités raffolent de ces petites étiquettes pour internautes. Les premiers peuvent les utiliser pour vous adresser des publicités ciblées, les secondes s'en servent pour pister leurs suspects.

Collecter des adresses "Internet Protocol" peut servir à bien d'autres choses encore : analyser un trafic, détecter des activités frauduleuses, admonester les voleurs de contenus protégés… Les applications sont si variées qu'un véritable marché de la chasse aux adresses IP s'est développé. Dans ce domaine, MaxMind est souvent cité comme une référence. Cette entreprise basée dans le Massachusetts s'est imposée grâce à ses offres de géolocalisation d'adresse IP GeoIP2 : "Plus de 5 000 sociétés dans le monde utilisent le données GeoIP2, explique fièrement MaxMind sur son site officiel, y compris 79 parmi les 100 plus importants acteurs du web." L'entreprise affirme que ses offres couvrent 99,9999% des adresses en service et insiste sur "l'exactitude de sa géolocalisation IP", la meilleure du marché d'après une étude indépendante datée de 2011.

Pour obtenir les informations qui lui permettent de cibler aussi précisément les internautes dans l'espace, MaxMind dispose de nombreuses méthodes plus ou moins discutables. "Il peut "partir en campagne", c'est-à-dire envoyer des voitures dans tous les Etats-Unis pour qu'elles recherchent des réseaux wifi ouverts, qu'elles recueillent les adresses IP qui y sont rattachées et notent leur localisation physique, explique Kashmir Hill dans Fusion. Elles peuvent collecter des données par le biais d'applications pour smartphones qui prélèvent les coordonnées GPS d'un téléphone quand il se connecte sous une nouvelle adresse IP. Il peut aussi chercher à identifier l'adresse IP d'une entreprise et parier qu'elle est liée à ses bureaux."

Le problème, c'est que ces techniques sont bien moins exactes qu'invasives : certaines adresses IP ne peuvent tout simplement pas être attribuées à un bâtiment précis. Pour le constater, il suffit de tenter de géolocaliser votre appareil. Si le site auquel vous avez fait appel ne parvient pas à vous épingler précisément sur la carte, il vous désignera comme habitant dans une ville proche, voire en France. De l'autre côté de l'océan Atlantique, c'est pareil. Lorsque MaxMind fait face à une adresse IP américaine qu'il ne parvient pas à géolocaliser avec exactitude, il la place par défaut sur une ville ou un état. S'il n'a pas les moyens d'être aussi précis, il indique juste que l'adresse est basée aux États-Unis. En 2002, quand ils ont eu à choisir le point géographique auquel seraient rattachées ces IP trop floues pour être plus qu'américaines, les dirigeants de MaxMind se sont arrêtés sur le milieu du pays. Les coordonnées digitales exactes du point le plus central des Etats-Unis sont 39.8333333,-98.585522, un enchaînement un rien barbare que l'entreprise a décidé de lisser en 38.0000,-97.0000. Normalement, vous avez déjà deviné le problème : le point indiqué par ces coordonnées se trouve devant la maison de la pauvre Joyce Taylor.

Quelques 620 millions d'adresses IP pointent sur le 38°N 97°W. Si l'une d'entre elles est utilisée par un pirate, un spammeur ou un vétéran suicidaire, MaxMind les place chez Joyce Taylor. Forces de l'ordre, administrateurs de sites web ou de forums, internautes tout juste arnaqués, tous se font avoir sans réfléchir par les coordonnées de l'entreprise, qui n'indique pas clairement quand elle ignore la localisation d'une IP particulière."Le premier appel que j'ai reçu venait du Connecticut, a expliqué la vieille dame à Kashmir Hill. C'était un homme qui était furieux parce que le réseau de son entreprise était noyé sous les e-mails. Il a dit que c'était la faute de l'adresse rattachée à la ferme." C'était en 2011 ; depuis, la propriétaire a reçu tant d'appels téléphoniques menaçants qu'elle a d'abord refusé de répondre aux questions du journaliste.

Avant d'être contacté par Kashmir Hill, le co-fondateur de MaxMind n'avait pas la moindre idée de ce qui se tramait dans le jardin de Joyce Taylor. Face au journaliste, Thomas Mather a refusé de porter le chapeau : "A l'époque, nous avons choisi une latitude et une longitude qui étaient au centre du pays, il ne nous est pas passé par l'esprit que les internautes allaient utiliser notre base de données pour localiser des gens à un niveau domestique. (…) A ma connaissance, nous n'avons jamais dit que nos informations pouvaient être employées aussi précisément." Le problème a néanmoins été corrigé en vitesse. Trois jours après la mise en ligne de l'article sur Fusion, MaxMind a établi de nouvelles coordonnées pour les 620 millions d'adresses IP problématiques : 37°45'03.6"N 97°49'19.2"W, au beau milieu d'un lac du Kansas. Aucun membre du FBI ne devrait venir y chercher quoi que ce soit.

Le problème, c'est que Joyce Taylor et sa petite ferme ne sont pas les seules victimes du système de localisation par défaut tel qu'il a été mis en place par MaxMind. D'après les bases de données publiques de l'entreprise du Massachusetts, des milliers d'autres personnes sont concernées. Kashmir Hill rapporte l'histoire de Tony Pav, un habitant d'Ashburn sur la maison duquel pointent 17 millions d'adresses IP imprécises. L'homme a subi plusieurs perquisitions et d'innombrables appels téléphoniques menaçants avant que l'entreprise de Thomas Mather ne revoie sa base de données. "Outre l'humiliation de voir ma maison investie par les forces de l'ordre, je m'inquiète sincèrement pour ma sécurité, avait affirmé M. Pav avant ces corrections. C'est comme avoir une cible accrochée sur le ventre. J'ai l'impression que je suis assis sur une bombe."

MaxMind a mis ses données à jour, mais pas ses 5 000 clients. "En général, ils se mettent à jour chaque semaine, mais ça peut varier, a expliqué Thomas Mather. Pour certains, ça peut prendre plusieurs mois." Difficile de croire que personne ne l'ait prévenu du problème avant Kashmir Hill.