Christopher Soghoian

Jeunesse et formation

Christopher Soghoian est né en 1981 et possède la double nationalité britannique et américaine. Il a obtenu une licence en informatique à la James Madison University en 2002, suivie d'un master en Security Informatics à la Johns Hopkins University en 2005. Il a achevé son doctorat en informatique à l'Indiana University Bloomington en 2012. Sa thèse de doctorat examinait le rôle que les fournisseurs tiers de services Internet et de télécommunications jouent dans la facilitation de la surveillance de leurs clients par les forces de l'ordre.

Soghoian a occupé des fellowships universitaires dans plusieurs établissements, dont une visiting fellowship au Information Society Project de la Yale Law School et une Student Fellowship au Berkman Center for Internet & Society de Harvard University. Il est également TED Senior Fellow et a été précédemment Open Society Foundations Fellow.

Carrière

Entre 2009 et 2010, Soghoian a exercé en tant que premier conseiller technique interne de la Division of Privacy and Identity Protection de la US Federal Trade Commission, où il a contribué à des enquêtes visant Facebook, Twitter, MySpace et Netflix. De 2012 à 2016, il a été principal technologist de l'American Civil Liberties Union. Il a ensuite rejoint le bureau du sénateur Ron Wyden au poste de Senior Advisor for Privacy & Cybersecurity.

Travaux et recherches notables

Soghoian a attiré pour la première fois l'attention du grand public en octobre 2006 en créant un site web permettant aux utilisateurs de générer de fausses cartes d'embarquement Northwest Airlines. Son intention déclarée était de mettre en évidence des vulnérabilités du système de No Fly List. Le site a poussé celui qui était alors le congressiste Edward Markey à demander son arrestation, et le 28 octobre 2006, des agents du FBI ont perquisitionné son domicile et saisi des ordinateurs. Le FBI a clos son enquête criminelle en novembre 2006 sans déposer de plainte, et la Transportation Security Administration a fait de même en juin 2007.

En juin 2009, Soghoian a co-écrit une lettre ouverte adressée à Google avec 37 experts en sécurité et vie privée, exhortant l'entreprise à activer le chiffrement HTTPS par défaut pour Gmail et d'autres services cloud. Google a activé HTTPS par défaut pour Gmail en janvier 2010.

En décembre 2009, alors qu'il était employé par la FTC, Soghoian a secrètement enregistré une conférence à huis clos de l'industrie de la surveillance. L'enregistrement révélait que Sprint Nextel avait bâti un site web dédié permettant aux forces de l'ordre d'obtenir les données GPS d'abonnés, et que le site avait traité environ 8 millions de requêtes au cours de l'année précédente. L'enregistrement a ensuite été cité par Alex Kozinski, Chief Judge du Ninth Circuit Court of Appeals, dans son opinion sur l'affaire U.S. v. Pineda-Moreno. Soghoian a été congédié de la FTC à la suite d'une enquête de l'inspecteur général sur sa conduite.

En octobre 2010, il a déposé une plainte FTC alléguant que Google divulguait les requêtes de recherche des utilisateurs à des sites tiers. Une action collective a suivi, citant largement sa plainte. Google a mis fin à cette pratique en octobre 2011 et a réglé l'action collective en 2015 pour 8,5 millions de dollars.

En mai 2011, Soghoian a déposé une plainte FTC distincte alléguant que Dropbox induisait ses clients en erreur sur la sécurité de leurs données stockées. Peu après qu'il a soulevé la question publiquement, Dropbox a mis à jour ses conditions d'utilisation et sa politique de confidentialité pour préciser qu'elle ne chiffre pas les données utilisateurs avec une clé propre à l'utilisateur et qu'elle peut divulguer des données aux forces de l'ordre.

Toujours en mai 2011, Soghoian a été approché par la société de relations publiques Burson-Marsteller, qui lui a demandé d'écrire une tribune critique à l'encontre de Google. Il a refusé et a publié à la place l'échange d'e-mails. Des reportages ultérieurs ont révélé que la société avait été mandatée par Facebook.

Dans une intervention publique de février 2012, Soghoian a attiré l'attention sur le marché commercial des vulnérabilités zero-day, décrivant les vendeurs d'exploits logiciels comme « les marchands de la mort des temps modernes » vendant « les balles de la cyberguerre ». Ses commentaires ont contribué à une couverture grand public plus large de l'industrie du zero-day dans les années qui ont suivi.

À la DEF CON d'août 2013, Soghoian a présenté ses conclusions sur une équipe dédiée du FBI chargée de livrer des logiciels malveillants à des cibles de surveillance, qu'il a dit avoir identifiée à partir de documents gouvernementaux caviardés et de profils LinkedIn d'anciens prestataires du FBI. En octobre 2014, il a mis en lumière l'usurpation par le FBI, en 2007, de l'identité de l'Associated Press pour livrer un logiciel malveillant à un adolescent de l'État de Washington, action qui a été condamnée par de grandes organisations de presse.

Distinctions

Les travaux de Soghoian ont été couverts par des médias dont The Economist, Wired et Forbes. Ses recherches ont contribué au débat public et législatif sur les technologies de surveillance, les standards de chiffrement et les pratiques de données des entreprises.