Le e-policing désenclave les campagnes indiennes

Le site de la BBC nous apprend comment la police de l'état du Maharashtra, en Inde, utilise l'internet pour améliorer l'accès des résidents des zones les plus isolées à ses services . Vingt-deux kiosques de vidéoconférence ont été installés dans des villages reculés, ce qui évite aux habitants qui souhaitent déposer une plainte ou communiquer avec un policier d'avoir à se déplacer et perdre ainsi plusieurs journées de travail. Ce système, encore au stade expérimental, aurait permis à un informateur de communiquer des indices sur des trafiquants de drogue, et serait également utilisé par de nombreuses femmes pour dénoncer des cas de violences conjugales. Il permet aussi de signaler le comportement abusif de certains policiers locaux directement à leur hiérarchie. Si de l'avis de certains, le e-policing est loin de représenter la panacée (particulièrement dans les cas de violence domestiques), la facilité avec laquelle les usagers l'ont adopté laisse présager que la fracture numérique n'est peut-être pas aussi profonde qu'on le conçoit. On imagine par contre mal l'intérêt qu'auraient les organisations policières présentes en milieu urbain, déjà submergées par les appels téléphoniques, à ouvrir une nouvelle fenêtre de communication virtuelle avec un public insatiable en matière de sécurité.

Quand McAfee pirate la criminologie

L'entreprise McAfee, spécialisée dans les logiciels antivirus et autres solutions de sécurité informatique vient de rendre public son deuxième rapport sur la "criminologie virtuelle". Le thème principal de ce rapport destiné à devenir une publication annuelle concerne le rajeunissement des délinquants informatiques, qui seraient recrutés de plus en plus jeune dans les rangs du crime organisé. Dans une dérive sensationaliste assez discutable, on évoque ainsi des enfants de 14 ans qui seraient recrutés selon des techniques assimilées à celles du KGB, et qui éprouveraient une addiction similaire à celle des drogués une fois initiés aux subtilités du piratage informatique.

Si ce rapport peut prétendre être une bonne source d'informations factuelles sur les incidents de l'année passée dans le domaine de la sécurité informatique, et qu'il propose un scénario plausible des menaces futures, l'usage de l'étiquette criminologique pour lui conférer une crédibilité semble abusif. En effet, on n'y trouve que très peu de statistiques fiables sur l'ampleur des phénomènes décrits, ce qui est toutefois préférable aux statistiques délirantes que l'on retrouve dans d'autres publications de l'industrie de la sécurité informatique. Par ailleurs, l'affirmation selon laquelle le crime organisé traditionnel investit massivement ses ressources dans la fraude informatique n'est pas étayée par des données empiriques très convaincantes, au-delà de quelques anecdotes glanées dans la presse. Enfin, les questions de prévention, et notamment la responsabilité des usagers des entreprises qui mettent sur le marché des produits et des services contenant des vulnérabilités importantes n'est pas abordée. Si des adolescents ordinaires sont capables de commettre sans grand effort des fraudes élaborées, peut-être les concepteurs négligents des équipements et des services qui rendent ces fraudes possible devraient-ils être en partie tenus pour responsables des préjudices subis?

La criminologie est une discipline dont l'ambition scientifique repose sur un socle théorique et méthologique bien plus consistant que l'approche adoptée dans ce rapport, qui n'est rien d'autre qu'une synthèse sélective de coupures de presse agrémentée d'inférences alarmistes. Peut-être l'an prochain le titre pourrait-il être modifié pour devenir le "virtual marketing report"?

Nouvelles en bref

MySpace se lance à la chasse aux pédophiles
Le site internet de réseau social MySpace vient de conclure un accord avec la société Sentinel Tech Holding afin de construire une base de données lui permettant de détecter les prédateurs sexuels et de bloquer leur accès à ses services. Cette base de données privée viendra consolider au niveau national les registres publics d'agresseurs sexuels déjà accessibles en ligne dans de nombreux états américains. Elle contiendra environ 550.000 noms. Personne n'a encore précisé quelles seront les procédures de rectification offertes en cas d'erreur, ni la politique de mise à jour et d'effacement des données.

Un dossier spécial de Libération sur les dangers de l'Internet collaboratif
Les site Écrans, qui appartient la galaxie Libération vient de mettre en ligne une série d'articles et d'entretiens sur les risques que font peser les nouveaux sites collaboratifs sur la protection de la vie privée. Vous pourrez lire mes réponses aux questions de la journaliste Frédérique Roussel ici.

Le Pentagone vient de franchir une nouvelle étape dans le déploiement d'armes à létalité-réduite
Le site Wired vient d'obtenir des documents faisant état de la certification d'un nouveau système d'armes à létalité réduite en développement depuis une dizaine d'années par l'armée de l'air américaine. Ce système, à base d'ondes millimétriques, provoque une intense sensation de brûlure chez les personnes qui sont soumises à son rayonnement. Il a notamment été testé dans des situations de maintien de l'ordre pour disperser des manifestants, ainsi que dans des configurations de guérilla urbaine. D'après les journalistes, des systèmes embarqués à bord d'avions de combat son en développement. Cette arme n'aurait pas encore été déployée sur les champs de bataille.

Psiphon contre la censure sur Internet

Un groupe de chercheurs du Centre Munk d'Études Internationales, basé à l'Université de Toronto vient de mettre à la disposition des utilisateurs d'Internet un logiciel permettant de naviguer en contrecarrant les systèmes de censure numérique. Plus de 40 pays dans le monde filtrent le contenu des pages Internet téléchargées par leurs citoyens, et 12 d'entre eux bloquent le contenu de sites jugés subversifs. Psiphon permet de contourner ces contrôles en utilisant des ordinateurs relais situés dans des pays démocratiques. Psiphon exploite la confiance qui lie les membres d'un réseau social et la nature mondialisée des liens personnels: un individu ayant libre accès à Internet installe le logiciel sur son ordinateur personnel, et transmet à des connaissances ou à des amis vivant dans un pays soumis à la censure un code d'accès et un mot de passe unique. Cela lui permet de se connecter de manière cryptée à l'ordinateur privé, et d'utiliser ce dernier comme une plateforme anonyme de navigation de sites interdits. Il s'agit en fait d'un système de proxy, dont la particularité est qu'il est plus difficile à bloquer que les sites répertoriés d'anonymisation comme TOR, puisque les adresses des ordinateurs sur lesquels Psiphon est installé ne sont connues que des utilisateurs.

Cependant, la question de la confiance s'avère dans la pratique une arme à double tranchant: en effet, il ne sera pas toujours évident pour des militants des droits de la personne d'identifier des personnes de confiance hors de leur pays si les déplacements leurs sont interdits. Ensuite, la question de la responsabilité concernant les contenus illégaux (pédo-pornographie, contenus incitant à la haine et à la violence...) téléchargés par les utilisateurs à l'aide de tierces machines n'est pas évoquée par les concepteurs. Enfin, les autorités de ces pays pourraient certainement utiliser des logiciels d'analyse de réseaux sociaux pour identifier des dissidents encore inconnus en surveillant les communications correspondant aux particularités d'usage de Psiphon. Il ne semble donc pas que Psiphon soit destiné aux militants sous intense surveillance policière, mais plutôt aux internautes "ordinaires" désireux de contourner les systèmes de censure automatisés de leur pays, ce qui n'est déjà pas si mal.

Détecteurs sonores d'agressions testés en Hollande

La société Sound Intelligence est en train d'installer dans plusieurs villes hollandaises sa technologie de détection sonore des agressions. Des micros placés dans les espaces publics sont couplés à un logiciel capable de reconnaître les caractéristiques particulières des sons émis par des individus qui vivent des situations de stress et de peur intenses. Dès qu'un tel cri est détecté, en général associé à une agression ou une rixe en cours, une alerte est automatiquement lancée, qui peut se traduire par l'activation de caméras de vidéosurveillance dans la zone concernée, ou par l'envoi immédiat de policiers. Cette technologie, utilisée depuis le 15 novembre 2006 par la ville de Groningen, est présentée par ses promoteurs comme une garantie aux libertés individuelles, puisque les caméras de vidéosurveillance ne seront déclenchées qu'en cas de nécessité. Cette technologie, similaire en bien des points aux systèmes de détection des tirs d'armes à feu implantés aux États-Unis, semble bien marquer l'avènement de la surveillance sonore dans les espaces publics et privés.

PS: Une vidéo faisant la démonstration de la technologie est téléchargeable sur le site de l'entreprise.

Les 10 commandements de Kevin Mitnick

Kevin Mitnick, le pirate informatique reconverti en consultant de sécurité nous livre sur le site Wired ses 10 commandements pour protéger notre ordinateur et nos données personnelles des prédateurs du web:

• Faites des sauvegardes systématiques de vos données;
• Choisissez des mots de passe complexes et modifiez toujours les mots de passe par défaut offerts par certains services;
• Utilisez un antivirus reconnu et réglez ses paramètres afin qu'il se mette à jour quotidiennement;
• Mettez votre système d'exploitation à jour aussi souvent que possible;
• Évitez à tout prix les logiciels connus pour leurs multiples failles de sécurité comme Internet Explorer;
• Utilisez des logiciels de cryptage lorsque vous envoyez un courriel sensible et pour protéger des informations confidentielles sur votre disque dur;
• Installez un (ou plusieurs) logiciels gratuits de détection des logiciels mouchard (spyware) comme Spybot ou SpyCop;
• Utilisez un logiciel pare-feu qui empêche d'autres ordinateurs de se connecter à votre machine et qui permette de gérer l'accès de vos logiciels à Internet;
• Neutralisez certaines applications que vous n'utilisez pas, et en particulier celles qui permettent d'accéder à votre ordinateur;
• Sécuriser votre réseau sans-fil (Wi-Fi) en activant la fonction WPA avec un mot de passe d'au moins 20 caractères, et ne vous connectez pas sur les réseaux qui ne disposent pas d'un niveau de sécurité équivalent (en déplacement pour affaires par exemple).

Ces conseils à la portée de tous nous rappellent que la négligence des utilisateurs est l'un des principaux avantages dont disposent les pirates informatiques et les fraudeurs.

La convergence de la sécurité physique et de la sécurité digitale

IBM mettra sur le marché dans les prochains mois des solutions de sécurité dites "intégrées" qui combinent des systèmes de vidéosurveillance et de contrôle d'accès à des logiciels "intelligents" d'analyse des données. Ces logiciels s'appuient sur des algorithmes pour détecter des comportements suspects ou anormaux, comme des véhicules stationnés dans des zones interdites aux alentours des aéroports, des individus circulant à contresens dans les couloirs d'accès aux transports en commun ou ne s'arrêtant pas aux caisses enregistreuses d'un magasin après avoir pris un produit dans un rayon. Les algorithmes utilisés permettent de lancer des alertes dès qu'un comportement anormal est détecté, ou de mener des recherches sur des individus ou des véhicules spécifiques parmi des milliers ou des millions d'heures d'enregistrement avec une efficacité bien supérieure à celle d'opérateurs humains. Cette tendance à l'intégration des équipements qui enregistrent des informations sur les déplacements des individus et des véhicules avec des logiciels qui permettent une analyse beaucoup plus systématique de ces informations aboutit au renforcement de la traçabilité des personnes. En effet, il s'agit ici de convertir nos allées et venues dans le monde réel en des données numériques aisées à analyser et à conserver, afin de pouvoir les fusionner aux données recueillies lors de nos incursions dans le monde virtuel.

L'état de la sécurité portuaire dans le monde

Une équipe de chercheurs de l'Université du Texas vient de rendre public un rapport sur les initiatives américaines et internationales destinées à mieux contrôler le transport maritime et à éviter que des containers ne soient utilisés par des groupes terroristes comme vecteurs d'armes de destruction massive. Outre la description exhaustive des mesures mises en place et rendues obligatoires par les douanes américaines aux pays faisant commerce avec les États Unis, des études de cas portant sur les assemblages de sécurité dans sept ports, dont celui de Marseille, sont proposées. Celles-ci démontrent notamment les différentes priorités en matière de sécurité: alors que les responsables américains sont essentiellement préoccupés par une éventuelle attaque terroriste catastrophique, les directeurs de la sécurité des ports étudiés sont plutôt focalisés sur la contrebande, la fraude ou le trafic d'êtres humains. Les coûts prohibitifs de certains contrôles et leur impact sur le commerce international sont également abordés.

La surveillance par satellite des agresseurs sexuels

Les récentes élections qui se sont tenues aux États Unis en début de semaine n'ont pas seulement permis la prise de contrôle par le parti Démocrate de la Chambre des représentants et du Sénat. De nombreux états tenaient également des élections locales et les électeurs de la Californie se prononçaient notamment sur une série de propositions législatives variées. La proposition 83 avait ainsi pour objectif de rendre obligatoire la surveillance par GPS des personnes condamnées pour agression sexuelle pour le reste de leur vie. Cette disposition a été adoptée avec 70% des suffrages exprimés. Même si certaines dispositions de cette nouvelle loi risquent d'être frappées d'inconstitutionnalité, son application continuera tant qu'un jugement ne sera pas prononcé par la Cour suprême. On estime qu'environ 20.000 personnes seraient concernées par cette mesure.

Cette surveillance par satellite ne sera pas en mesure d'empêcher la récidive, puisque les bracelets fixés aux chevilles des personnes concernées peuvent être aisément retirés. C'est plutôt une fonction de dissuasion qui est ici recherchée. La technologie GPS permettra notamment de créer des zones interdites d'accès aux anciens condamnés (comme les abords des écoles ou les parcs publics) à l'aide de barrières virtuelles. Des alarmes peuvent être programmées dès que le porteur passe un certain temps dans ces zones, plutôt que de la traverser en voiture par exemple. Un fabriquant de bracelets de localisation a même inséré une radio à son produit afin que les surveillants puissent directement s'adresser aux surveillés! Les coûts de fonctionnement s'élèvent à 8$ par jour et par personne surveillée. Des problèmes techniques subsistent encore, étant donné que le signal GPS reste bloqué à l'intérieur des bâtiments.

Mais la véritable question que pose l'adoption de cette loi est celle de l'imminence d'une société de surveillance maximale, dans laquelle les capacités techniques seront utilisées pour maintenir un contrôle permanent sur les allées et venues d'anciens condamnés, ou de toutes les personnes jugées vulnérables comme les personnes âgées, les enfants ou les individus souffrant de désordres mentaux. La délégation de ces pratiques à des entreprises pose également le problème de l'intégrité des données relatives aux déplacements privés des individus.

Le forage de données s'intensifie aux frontières US

L'administration américaine des douanes vient d'annoncer dans le journal officiel du gouvernement fédéral son intention de mettre sur pied un nouveau programme de forage de données (ou datamining en bon français) baptisé "Automated Targeting System" ou ATS. Ce projet permettra de croiser de vastes quantités d'informations déjà en possession du gouvernement US, ainsi que celles fournies par les compagnies aériennes sur leurs passagers qui se rendent aux États-Unis. Ces informations pourront être conservées pendant 40 ans et seront partagées de manière extensive avec diverses agences gouvernementales américaines et étrangères. Des algorithmes seront utilisés afin d'attribuer à chaque passager entrant ou quittant les USA, ainsi qu'à toute cargaison traversant la frontière un "score de risque" qui déterminera l'intensité des contrôles qui seront appliqués.

Outre la très grande difficulté liée à la détermination du degré de risque d'un individu à partir d'informations souvent incomplètes ou erronées, aucun mécanisme d'accès aux informations détenues n'est prévu, ce qui rendra le passage à la frontière périlleux pour les homonymes de personnes recherchées ou les individus ayant fait l'objet d'une mauvaise évaluation.

En bref

Un candidat au poste de directeur des écoles publiques de l'Oklahoma suggère que l'on recouvre les manuels scolaires d'une couche de kevlar, le matériau utilisé dans les gilets pare-balles, afin d'offrir aux élèves une meilleure protection en cas de fusillade dans leur école. Pourquoi ne pas carrément généraliser le port de l'uniforme, qui pourrait être fabriqué dans ce tissu miracle? (une vidéo de l'effet de tirs d'AK47 sur des manuels scolaires est visible sur le site en lien).

81% des entreprises américaines ont déclaré avoir perdu au moins un ordinateur portable au cours des 12 derniers mois, selon une étude réalisée par l'entreprise de consultant Vontu. 64% des 500 répondants ont affirmé que leur organisation n'avait aucune politique d'inventaire des données confidentielles sur support électronique, et 50% n'avaient pas la moindre idée d'ensemble concernant les politiques de stockage de l'information sensible (propriété intellectuelle, états financiers, contrats en négotiation...).

Christopher Soghoian nous explique dans son blog comment produire de fausses cartes d'embarquement afin de pénétrer dans les zones de sécurité des aéroports, et même dans les avions sous une fausse identité. Afin de faciliter la tâche des internautes et attirer l'attention sur cette brêche énorme du système de la sécurité aérienne, il avait même mis en ligne un site permettant de créer autant de cartes d'embarquement que nécessaire. Apparemment, le FBI n'a pas trouvé que c'était une bonne idée et a perquisitionné son domicile en lui demandant de fermer son site. La faille de sécurité elle reste toujours ouverte.

Un réseau de capteurs acoustiques à Washington

La ville de Washington vient de se doter d'un réseau de capteurs acoustiques destinés à détecter et à localiser des coups de feu de manière instantanée. Cette technologie développée par l'entreprise Shotspotter utilise un réseau de capteurs de la taille de pots de peinture dissimulés sur le toit d'immeubles pour trianguler la position géographique de coups de feu. Ce système permettrait aux policiers d'arriver sur les lieux suffisamment rapidement pour augmenter leurs chances d'arrestation d'un suspect et les chances de survie des victimes, et tout particulièrement dans des quartiers sensibles où la routine de ce genre d'événement n'entraîne pas systématiquement d'alertes téléphoniques de la population à la police. Si d'autres villes ont déjà adopté cette technologie, le fait que cette expérimentation soit subventionnée par le FBI et qu'une évaluation positive permette d'envisager une généralisation à d'autres quartiers et d'autres villes risque de ne pas laisser les investisseurs insensibles. Le coût pour équiper une ville de la taille de Washington serait de plusieurs millions de dollars.

Une nouvelle forme de surveillance sonore, qui complèterait l'omniprésente surveillance visuelle des caméras vidéos, est-elle en train de voir le jour? Si les capacités actuelles de Shotspotter semblent incapables de reconnaître une voix dans la masse ou d'isoler une conversation distante, on doit bien avouer qu'une telle possibilité devient envisageable, et qu'il faudra peut-être bientôt faire attention aux paroles que l'on prononcera en public.

La panique morale de la cybercriminalité

Le quotidien québécois La Presse publie aujourd'hui un article qui frise la mauvaise foi, et qui reflète la panique morale en train de s'établir autour du problème de la cybercriminalité. Le terme de panique morale a été pour la première fois utilisé en 1972 par un criminologue anglais, Stan Cohen, pour décrire:

"...une condition, épisode, personne ou groupe de personnes qui émerge en tant que menace aux intérêts et valeurs sociales (Cohen, 1972, 9). Ces menaces sont décrites de façon sensationnelle par les médias ainsi que d’autres agents de contrôle social, tels que les politiciens, la police ou les leaders religieux, avec l’intention d’établir des paramètres balisant les comportements acceptables (Welch, 2000)" (Neuilly et Zgoba 2005).

Dans l'article de La Presse, on apprend ainsi que la viabilité de la cyberéconomie canadienne serait menacée par la cybercriminalité galopante, et que cette préoccupation émane des plus hautes sphères du gouvernement, puisqu'elle s'appuie sur un document rédigé par des hauts fonctionnaires du ministère de l'industrie. Plusieurs chiffres alarmistes sont cités, dont celui d'un quart des états-uniens sur quatre qui serait chaque mois la victime d'une attaque destinée à voler son identité.. rien de moins! Chaque citoyen de notre voisin du Sud serait donc directement menacé pas moins de trois fois par an, de quoi en effet mettre l'économie dans tous ses émois. Une rapide consultation du site internet à partir duquel ce chiffre est tiré nous éclaire sur ce chiffre: les fonctionnaires fédéraux et le journaliste de La Presse entendent par "attaque visant à voler l'identité d'une personne" les courriels d'hammeçonnage que nous recevons par dizaines chaque semaine dans nos boîtes aux lettres électroniques.

La plupart des utilisateurs d'internet ne prêtent aucune attention à ces pourriels, et de nombreux fournisseurs d'accès les éliminent automatiquement avant même qu'ils atterrissent dans nos boîtes. Si ce type de pratique fait encore hélas toujours trop de victimes, des chiffres beaucoup plus réalistes réunis par le ministère de la justice des USA nous amènent à penser qu'environ 3,5% des foyers ont subi un préjudice financier sur une période de 6 mois en 2004 du fait d'un vol d'identité, et que la médiane des sommes perdues se situait aux alentours de 400$. Ces montants sont en général assurés ou remboursés par les institutions financières. Une augmentation a peut-être eu lieu, mais on reste encore loin de la menace généralisée décrite dans le rapport gouvernemental et l'article en question.

Un autre chiffre censé nous sensibiliser fait état de 40% des canadiens qui évitent d'acheter des biens ou des services sur internet pour des raisons de sécurité. Peut-être que les commerçants de quartier pourront tirer profit de cette situation et que cela permettra de maintenir encore pendant quelques temps des liens sociaux de proximité.
______________________________________
Mélanie-Angela Neuilly et Kristen Zgoba, « La panique pédophile aux États-Unis et en France », Champ pénal, Responsabilité / Irresponsabilité pénale mis en ligne le 14 septembre 2005. URL : http://champpenal.revues.org/document340.html. Consulté le 16 octobre 2006.

Documentaire sur le Taser

L'émission Enjeux, de la télévision de Radio-Canada proposait ce soir un documentaire très complet sur le Taser et les risques associés à son usage. Des études de cardiologues sont notamment citées, et la campagne de communication du fabricant qui participe à la construction du mythe de la létalité réduite est également trés bien exposée.
Le documentaire est disponible en visionnement et des liens additionnels sont proposés.

Les dollars tombent du ciel pour les drones policiers

Le budget du ministère étatsunien de la sécurité intérieure (DHS) pour l'année 2007 prévoit d'attribuer 25 millions de dollars pour l'achat et la mise en service de drones de surveillance des frontières maritimes et terrestres du pays (ce qui inclut la frontière avec le Canada). Cette décision n'a donc pas été affectée par l'écrasement d'un tel engin en avril dernier en Arizona, qui avait soulevé la question de la sécurité entourant l'utilisation de ces aéronefs sans pilotes dans des environnements non-guerriers. Plus récemment, deux drone belges de la force de paix EUFOR se sont écrasés au Congo dans la capitale Kinshasa, le plus récent incident ayant tué une personne et en ayant blessé deux autres. L'Autorité Fédérale de l'Aviation (FAA) américaine, consciente de nombreuses questions encore non résolues sur ce point a d'ailleurs signifié au Shériff de Los Angeles qui prévoyait de tester son propre drone la nécessité d'obtenir un permis de vol spécifique avant de poursuivre toute expérimentation. De plus, la FAA a mandaté la société Lockheed Martin afin de l'aider à intégrer ces nouveaux objets volants au trafic aérien civil déjà passablement congestionné. Petit détail d'importance, Lockheed est l'un des principaux fabricants de drones aux USA. Cela n'aidera certainement pas à une évaluation objective de l'efficacité de ces outils pour des missions policières, qui laisse certains observateurs tel que l'Inspecteur du DHS dubitatif. Celui-ci a en effet déclaré au Congrès américain en décembre 2005 que les drones, en raison de la maintenance requise et de leur fragilité structurelle coûtaient environ deux fois plus cher à utiliser que des aéronefs avec pilotes. Cette voix discordante n'a visiblement pas eu un grand impact sur les législateurs.

La vérité sur les listes de passagers aériens suspects

Dimanche prochain, la chaîne CBS diffusera dans son émission "60 minutes" un reportage sur les listes de passagers aériens interdits de vol, qui ont été instituées au lendemain des attentats du 11 septembre 2001. Ces listes ont été constituées dans l'urgence en fusionnant toutes les bases de données des services de renseignement et de police, et sans qu'une réflexion très poussée sur la fiabilité des informations qu'elles contiennent n'ait été menée. Toute personne ayant à un moment ou à un autre été en lien avec un individu ou une entité soupçonnée de terrorisme, ainsi que tous ses homonymes, sont associés par défaut à la catégorie des menaces potentielles à la sécurité nationale et font l'objet de contrôles accrus dans les aéroports, confinant parfois au harcèlement. Maher Arar, arrêté par les autorités américaines lors d'une escale aux USA et expulsé vers la Syrie pour y être torturé sur la foi de renseignements erronés transmis par le gouvernement canadien représente certainement un exemple extrême du préjudice qui peut résulter de cette pratique lorsqu'elle est mal appliquée et mal encadrée.

L'enquête de "60 minutes" fait ainsi apparaître que la liste principale utilisée en mars 2006 comportait les noms de personnes dont on peut douter qu'ils représentent une grande menace terroriste, comme Saddam Hussein (en prison en Irak), Nabih Berri (président du parlement libanais) ou Evo Morales (président de la Bolivie). Par ailleurs, les noms de certains membres d'Al Qaeda activement surveillés par les services de renseignement occidentaux et arabes ne figurent pas sur ces listes, pour éviter des fuites concernant des opérations en cours... On peut quand même être rassuré, le nom d'Osama ben Laden est bien présent (avec deux orthographes différentes), au cas où il déciderait de rendre une petite visite à ses sympathisants américains.

La caméra de surveillance voudrait vous dire un mot

Dans un nouvel effort de déshumanisation des relations humaines, la ville de Middlesbrough, au Royaume Uni, vient de franchir un pas de géant pour l'humanité. Elle vient en effet d'installer sept caméras de surveillance munies de haut-parleurs, comme nous l'apprend une dépêche de l'AFP reprise dans La Presse. Ces haut-parleurs permettent aux opérateurs des caméras d'interpeller directement les personnes surprises en train de commettre des "incivilités" comme jeter des papiers gras par terre, traverser en dehors des passages piétons, ou vandaliser des équipements publics. Selon un conseiller municipal, il s'agit d'une "espèce d'humiliation publique, mais cela signifie que les gens ne recommenceront plus"... Ou peut-être vont-ils justement trouver distrayant de provoquer cette voix qui descend du ciel? Par ailleurs, ce souci de "nettoyer" l'espace urbain de tout signe visible de désordre donne lieu à une nouvelle forme de pollution sonore qui aura certainement vite fait d'exaspérer les piétons.

Cette dématérialisation des relations humaines, et en particulier dans les activités de sécurité et de prévention, se manifeste également par la multiplication des robots de surveillance, qui sont destinés à remplacer les gardes de sécurité. Des entreprises comme Robosoft (en France), Mobile Robot (aux USA), ou encore Secom (au Japon), sont parmi les entreprises qui proposent ce genre de produits. La dernière des trois a développé le Robot X, qui est équipé de caméras, de haut-parleurs et d'un canon à fumée non toxique destiné à repousser les intrus en dehors du périmètre de sécurité patrouillé. Le coût de location de ce robot est d'environ 2.700 USD par mois, soit la moitié du salaire mensuel d'un garde de sécurité au Japon.

Le terrorisme, une cause de décès marginale

Les commémorations du 11 septembre 2001 passées, une analyse non scientifique des causes de décès de la population américaine pour les 10 dernières années nous rappelle à quel point le terrorisme reste marginal, comparé à des évènements accidentels. Cette étude, menée par un journaliste de Wired à l'aide de données officielles, montre ainsi qu'entre 1995 et 2005, 3147 personnes sont décédées dans des attentats aux USA. Pendant la même période, 254.419 personnes perdaient la vie au volant de leur véhicule dans des sorties de route, 140.327 s'empoisonnaient accidentellement, environ 60.000 périssaient dans des accidents du travail et près de 20.000 ne survivaient pas à une mauvaise grippe. Chiffre peut-être plus inquiétant dans le cadre de la sécurité publique: le nombre de personnes abattues par les forces de l'ordre (3.949) était plus élevé que celui des victimes du terrorisme. Ce palmarès macabre nous rappelle la multiplicité des risques auxquels la vie courante nous confronte, et les variations importantes de notre tolérance à l'égard de certains d'entre eux. Alors que des milliards de dollars ont été investis depuis le 11 septembre dans la lutte contre le terrorisme, une indifférence complète semble toujours règner à l'égard de formes beaucoup plus diffuses de dangers qui résultent bien souvent de notre propre témérité.

Les profits du 11 septembre

À quelques jours du cinquième anniversaire des attentats contre les tours jumelles et le Pentagone, quelques articles viennent nous rappeler que si les secteurs du transport aérien, maritime, du tourisme ou des assurances ont subi des pertes considérables (les estimations des coûts directs dépassent les 80 milliards de dollars US), d'autres entreprises ont directement profité des besoins en équipements et en services de sécurité. Aux États-Unis seulement, les dépenses du gouvernement fédéral au titre de la sécurité sont passées de 17 milliards de dollars US en 2001 à 58 milliards en 2007, ce qui dépasse largement le rythme de l'inflation. Un article du MIT Technology Review dresse ainsi le portrait de petites entreprises qui ont connu une croissance fulgurante après avoir obtenu des contrats du Department of Homeland Security. Cependant, bien souvent, les décisions d'attribution des contrats sont prises dans l'urgence, et les technologies qu'on demande à ces start-ups de mettre sur le marché sont rarement opérationnelles, ce qui entraîne des gaspillages à la mesure de la montagne de billets verts dépensés. Le Washington Post a d'ailleurs révélé il y a quelques semaines de nombreux abus dans ce domaine. Au Québec également, la société Garda a su admirablement profiter du nouvel environnement d'insécurité créé par le 11 septembre, ce qui lui a permis de connaître une croissance exceptionnelle. Fondée il y a seulement 11 ans avec 25.000$ de capital, elle emploie aujourd'hui 20.000 employés et vient de faire son entrée sur le marché de la sécurité privée haut de gamme, avec le rachat de la société américaine Vance International (voir le dossier dans La Presse Affaires du samedi 9 sept. 06). Les employés de Garda assurent notamment le contrôle des passagers et des bagages (sous uniforme CATSA) aux aéroports de Montréal et de Toronto. Si les actionnaires de ces entreprises peuvent se réjouir pour l'instant des juteux contrats qu'elles obtiennent, les citoyens qui dépendent d'elles pour leur sécurité disposent encore de trop peu d'éléments pour évaluer objectivement leur contribution à la prévention des actes terroristes. À l'instar de Bruce Schneier, certains n'hésitent d'ailleurs plus à parler d'une théâtralisation de la sécurité, plus axée sur la perception que sur la réalité. Les décors et les figurants de la superproduction qu'on nous propose depuis cinq ans ne semblent toutefois pas suffisant pour convaincre tout le monde d'assister au spectacle.

Les tasers arrivent en France

Les pistolets à impulsion électrique (ou taser en bon français) vont équiper prochainement la police nationale française, après une période d'expérimentation de quelques mois à Lyon. S'il est facile d'adhérer à l'idée que ce type d'armes à létalité réduite constitue une alternative préférable à l'utilisation d'armes à feu, les risques résiduels découlant de l'usage de tels équipement sont fréquemment passés sous silence par les policiers et leurs frabricants. Aux USA et au Canada, entre1999 et 2005, au moins 140 décès sont attribués à l'usage de tasers par les forces de l'ordre. Les victimes souffraient de problèmes cardiaques, se trouvaient dans des situations de stress intense ou étaient sous l'emprise de drogues, ce qui rendit la décharge électrique fatale. De plus, la tentation est forte pour de nombreux policiers d'étendre l'usage de cette arme qui ne laisse pas de traces à des situations non violentes, mais où la personne fait preuve d'un certain degré de résistance aux ordres qui lui sont donnés. Le nombre de procès intentés à la société Taser et aux forces de l'ordre s'accumule, et devant l'inquiétude des services de police américains, le Département de la Justice a annoncé en juin 2006 l'ouverture d'une enquête afin d'évaluer de manière un peu plus scientifique que les arguments marketing complaisamment relayés par les médias la dangerosité réelle de cette arme.

La mémoire des portables

La société Trust Digital vient de rendre publics les résultats d'une petite expérience menée sur la sécurité des données stockées sur les assistants personnels type Treo et Blackberry, ainsi que sur des modèles courants de téléphones portables permettant à leurs utilisateurs d'accéder à leurs courriels. L'entreprise s'est procuré une dizaine de téléphones d'occasion sur eBay, et en a exploré les entrailles. Les données mal ou peu protégées récupérées incluaient:

• La correspondance entre un homme marié --que sa femme suspectait-- et sa maîtresse;
• Des détails confidentiels sur des contrats de plusieurs millions de dollars en cours de négociation;
• Des comptes bancaires et les mots de passe associés;
• Des ordonnances médicales.

L'impression de ces données personnelles et professionnelles plutôt confidentielles correspondrait à 27.000 pages de texte. La raison pour laquelle il est si difficile d'effacer ces données réside dans la lenteur des mémoire flash dont sont équipés les téléphones cellulaires (la même que celle que l'on retrouve sur les clés USB) à s'acquitter de cette fonction. Les fabricants ont par conséquent recours à des procédures plus expéditives qui ne causent pas de délais pour l'utilisateur, mais qui sont beaucoup plus superficielles. Il en résulte que la pratique qui consiste à revendre sur internet des téléphones cellulaires usagés crée un risque non négligeable pour leur propriétaire. Un moyen de s'assurer que des données sensibles ne tombent pas entre les mains de la concurrence ou de cyberfraudeurs reste encore de les plonger dans un bain d'acide ou de les confier à un sculpteur contemporain qui entre dans sa phase "compression". De surcroît, on assume ici que l'intégrité des serveurs ayant servi à transmettre ces données ne pose aucun problème...

Pepperface: c'est beau mais ça fait pleurer

La société Pepperface vient de mettre sur le marché ce qu'il affirme être la plus petite bombe lacrymogène au monde, destinée à l'autodéfense des femmes qui n'acceptent aucun compromis sur leur style, y compris dans les situations les plus dangereuses. Plusieurs modèles, dont certains incrustés de cristaux Swarovski, sont proposés, et les clientes à la créativité développée peuvent également concevoir leur propre motif décoratif. Outre le facteur esthétique, le concepteur n'hésite pas à jouer la carte de la peur, en rappelant à chaque cliente potentielle que les risques de se faire agresser sont importants, quel que soit l'âge, le lieu ou le moment de la journée. Ce mélange de glamour et de peur s'accompagne d'une bonne conscience sociale, puisqu'un dollar sur chaque bombe vendue est généreusement donné à une association de lutte contre la violence domestique et les agressions sexuelles. Bref, on joue sur tous les tableaux possibles sans aucune vergogne. D'ailleurs, l'iconographie du site laisse également entendre à des attaquants potentiels un peu masochistes qu'ils pourraient même trouver du plaisir à se faire asperger le visage de poivre de cayenne par une amazone plus dominatrice qu'en position d'auto-défense.

Le crochetage de serrure: nouveau sport olympique?

Le crochetage de serrure, qui jusque-là était réservé aux serruriers et aux cambrioleurs fait son entrée dans le monde des loisirs. De nombreux sites Internet ont en effet permis de populariser un savoir qui auparavant était jalousement gardé par un petit groupe d'experts. Un Guide de crochetage des serrures à goupille peut ainsi être téléchargé gratuitement et librement dans sa traduction française, et dans de nombreuses autres langues. Une association d'enthousiastes du crochetage a également été créée en Allemagne. Si on peut déjà rester perplexe quand à la faible protection que semblent offrir des serrures standard devant la pratique relativement aisée de "l'art" du crochetage, une nouvelle technique ayant fait son apparition en Allemagne et en Amérique du Nord (le bumping) vient démontrer la faiblesse structurelle de la plupart des serrures à goupille. Cette méthode permet en effet à n'importe quel novice de crocheter n'importe quelle serrure après une formation de quelques minutes, et sans vraiment faire appel à une compréhension de la mécanique interne des serrures.

Si cette nouvelle pose un certain nombre de questions sur la protection véritable des espaces privés et la complaisance de l'industrie de la serrurie, ses ramifications s'étendent également au vol d'identité. Celui-ci sera en effet rendu d'autant plus facile par une large diffusion des techniques d'ouverture des boîtes aux lettres. Même les cyber-crimes contiennent ainsi un élément de très basse technologie qui pourrait être aisément prévenu.

La sécurité volatile des infrastructures de l'industrie chimique

L'industrie chimique n'a jamais eu réellement besoin de terroristes kamikazes pour causer des catastrophes écologiques à l'origine de la mort de dizaines, voire de centaines ou de milliers d'innocents. Seveso en Italie, AZF en France, Bhopal en Inde constituent autant d'exemples qui laissent entrevoir le potentiel de risques de ces installations. On est alors frappé par la résistance extrême de l'industrie chimique aux États Unis à l'imposition de règles de sécurité qui limiteraient le nombre de victimes en cas de catastrophes accidentelles, et surtout terroristes. Les évaluations varient, selon les administrations, mais les plus conservatrices estiment qu'environ 270 usines chimiques se situent aux États Unis à proximité immédiate de zones résidentielles de 50.000 personnes ou plus.

Deux visions de la sécurité s'affrontent ici: d'un côté, l'industrie chimique dit investir massivement afin de "durcir" les installations concernées et en empêcher l'accès aux terroristes. D'autre part, l'approche privilégiée par la communauté scientifique et certains législateurs vise plutôt à modifier les processus industriels afin de limiter les risques, notamment en ayant recours à des matières premières moins toxiques, à des processus de fabrication à basse température et à des modes de production en flux tendus qui limitent les quantités de produits toxiques fabriquées au strict nécessaire. Cependant, dans l'absence d'incitations fiscales ou économiques, l'industrie traîne les pieds et mobilise ses lobbyistes au parlement et dans les couloirs du pouvoir exécutif. De la même façon que la sécurité aérienne a été radicalement transformée par les attaques du 11 septembre, l'industrie chimique est à la merci d'un événement catastrophique qui ne manquera pas, dans un avenir très proche, de mettre en cause la responsabilité de ses dirigeants.

Un avion indétournable ?

Un consortium de chercheurs du secteur public et privé sont en train de développer des technologies qui ont pour ambition de rendre impossible des détournements d'avion. Le projet SAFEE (Security of Aircraft in the Future European Environment) table sur des technologies embarquées qui feront de l'avion lui-même la "dernière ligne de défense" contre des menaces terroristes. Les technologies actuellement à l'étude comprennent des détecteurs visuels et olfactifs de menaces; des systèmes de communication permettant de transmettre des informations entre le ciel et la terre sur ces menaces. Ne sont mentionnées sur le site que des technologies portant sur la détection de la menace. Cependant, des systèmes de contre-mesure ou de limitation des dommages (en cas d'explosion en vol par exemple) devront aussi être étudiés afin de traiter les menaces qui se seront transformées en attaques. Mais il y a peut-être là quelque chose de nature à ne pas vraiment restaurer la confiance des passagers dans le voyage aérien, qui est l'un des objectifs avoués de ce projet... Par ailleurs, devant les délais qui ne cesseront pas de se manifester, un objectif plus immédiat est d'influencer les autorités responsables de la sécurité du transport aérien, certainement afin qu'elles produisent un environnement règlementaire favorable à la commercialisation de ces nouvelles technologies.

Profilage facial dans les aéroports

Dans un entretien accordé au quotidien Le Devoir, Jacques Duchesneau, le Directeur de l'Autorité Canadienne de Sécurité du Transport Aérien (ACTSA) nous annonce l'arrivée inévitable au Canada des techniques de profilage du comportement développées en Israel et aux États Unis. Selon lui:

Ce n'est plus une approche mécanique qu'on doit avoir, par exemple dire que le quatrième passager est fouillé et que si c'est la juge en chef du Canada, eh bien, on la fouille quand même parce qu'elle est la quatrième, dit-il. Cette réglementation devrait être revue.... On doit faire une certaine ségrégation, qu'on le veuille ou pas. Ça viendrait faciliter les choses parce qu'on ne prendrait peut-être pas 20 secondes pour tout le monde et on prendrait peut-être plus de 20 secondes pour d'autre monde.

Il fait là référence aux techniques d'analyse du comportement et des expressions faciales développées par les services de sécurité Israéliens et des psychologues américains, dont le plus connu est Paul Ekman. Ces techniques, qui mettent l'accent sur le comportement d'un terroriste potentiel, plutôt que sur l'analyse technologique de ses bagages ou des particules d'explosifs présentes sur ses vêtements, sont actuellement en cours de déploiement aux USA, ainsi qu'au Royaume Uni. Elles s'appuient sur des techniques développées au milieu des années 1970 dans le cadre de la lutte contre le traffic de drogues (notamment le programme Jetway de la DEA), et mettent l'accent sur l'observation d'anomalies du comportement avant et pendant l'enregistrement, ou lors de discussions informelles engagées par des agents spécialement formés aux techniques de "lecture" des émotions cachées.

Les promoteurs de telles techniques s'interrogent cependant sur leur transférabilité à l'échelle industrielle du transport aérien mondialisé, qui doit faire voyager quotidiennement des millions de passagers avec le maximum de fluidité. Concernant les expérimentations en cours aux USA, ils notent l'adoption parcellaire de la méthodologie, qui privilégie un système de pointage assez opaque aux dépens d'aspects beaucoup plus importants comme un interrogatoire de second niveau par une personne spécialement formée. Ils évoquent également la difficulté de distinguer l'origine de la nervosité parmi bien des passagers, qui peuvent souffrir d'agoraphobie, de claustrophobie, ou simplement craindre pour leur sécurité, et qui adopteront des comportements de repli ou d'agression proches de ceux de terroristes potentiels. Le spectre du profilage racial n'est enfin jamais bien loin lorsque de telles pratiques faisant appel au jugement humain sur ce qui est "normal" et ce qui ne l'est pas sont mises en oeuvre, les normes culturelles de comportement variant grandement d'un groupe ethnique à un autre.

Si le profilage comportemental est certainement plus prometteur qu'une escalade technologique sans fin, de nombreux obstacles se dressent encore à son implantation dans les centaines d'aéroports internationaux qui englobent la planète. Nul doute par exemple que l'on trouvera bientôt sur Internet des manuels de contrôle des muscles faciaux destinés aux futurs terroristes.

Détecter les explosifs liquides: c'est possible mais trop cher

Un article du Toronto Star (abonnement gratuit requis) nous apprend que la technologie qui permet de détecter la présence d'explosifs liquides dans les bagages à main existe depuis environ 10 ans. La société Rapiscan serait en mesure d'équiper immédiatement de nombreux aéroports. Cependant, le coût prohibitif de ces machines (250.000 USD par unité) fait qu'on ne compte pas d'aéroports parmi ses quelques clients actuels. De plus, la durée d'analyse qui est d'environ une minute par objet "scanné" congestionnerait encore plus des aérogares déjà bien encombrés. En attendant qu'une attaque à l'explosif liquide réussisse, on continue donc à utiliser des technologies obsolètes mais abordables sur le plan financier.

C'est ce que l'on pourrait appeler la technique du rétroviseur: on se concentre sur les menaces passées, en tenant pour nulle la capacité d'innovation et de créativité des terroristes. On dépense alors des milliards en équipements sur la base d'événements déjà survenus, ce qui est plus facile à justifier auprès de l'opinion publique et des décideurs politiques que d'essayer de prédire la forme que prendra la prochaine attaque et d'investir en conséquence. Cela explique pourquoi les avions de ligne ne sont pas encore protégés contre les MANPADS (Man-Portable Air Defense Systems), ce qui reste de l'avis de beaucoup de spécialistes du terrorisme une des menaces les plus imminentes qui pèsent sur le transport aérien. Selon la Fédération des Scientifiques Américains, il y aurait 500.000 MANPADS en circulation dans le monde, dont plusieurs milliers disponibles sur le marché noir. Cependant, à l'heure actuelle, les coûts de déploiement de systèmes de protection contre les MANPADS sont tellement exorbitants (de 1 à 3 millions USD par avion) que même la compagnie Israélienne El Al a pour l'instant interrompu l'équipement de ses appareils. Cette inflation des coûts des technologies de sécurité et des choix budgétaires qu'elles amènent immanquablement à faire constituent à cet égard autant un facteur d'insécurité que de protection accrue.

Sécurité vs. Profitabilité: les dilemmes du transport aérien

Les mesures de sécurité imposées aux voyageurs du transport aérien au lendemain des arrestations menées en Angleterre font pour l'instant l'objet d'un consensus, devant la menace terroriste apparemment imminente d'un 11 septembre bis. Cependant, cete belle unité de façade devrait céder la place dans les prochains jours ou les prochaines semaines à des appels plus ou moins voilés des compagnies aériennes et des aéroports afin de rendre moins restrictive la liste des produits autorisés en bagages à main.

C'est en effet tout le segment de passagers d'affaires qui risque de déserter les premiers rangs des cabines, préférant le confort des salles de téléconférence au parcours du combattant des contrôles de sécurité. On les voit mal laisser voyager en soute leurs précieux téléphones et ordinateurs portables, remplis de données commerciales confidentielles. La nature spartiate des conditions de vol imposées depuis 24 heures devrait constituer pour beaucoup un incitatif négatif. Par ailleurs, les ventes d'alcool des boutiques duty-free seront certainement inexistantes pendant toute la durée des restrictions, conduisant rapidement à des pertes de revenus considérables et à des licenciements. Les compagnies aériennes, qui commençaient tout juste à sortir la tête hors de l'eau vont certainement être touchées par une nouvelle vague de faillites spectaculaires.

Les pressions vont donc rapidement s'accumuler sur les autorités publiques responsables de la sécurité des transports pour lever les restrictions les plus incommodantes. Jusqu'à ce que l'on ait connaissance de la nature exacte de l'attaque planifiée, et de ses paramètres techniques, il est impossible de prédire quelles mesures de sécurité deviendront permanentes, et lesquelles seront discrètement abandonées. Cependant, la constance des groupes terroristes dans le choix du transport aérien comme cible privilégiée, et leurs efforts sans cesse renouvelés pour identifier les failles dans la protection des aéroports et des avions n'incite guère à l'optimisme.

PS: Dans son édition du 19 août, Le Monde propose un interview du Président de l'Association Internationale de l'Aviation Civile (265 compagnies aériennes) qui réclame la prise en charge intégrale des dépenses de sécurité par les gouvernements. On se demande s'il compte aussi partager les profits de ses membres avec les États, qui auront contribué à assurer la viabilité de leur modèle d'affaire... Le Figaro, quant à lui, décrit la polémique qui enfle entre les transporteurs anglais et les exploitats de l'aéroport, à qui ils comptent demander des dommages et intérêts pour la mauvaise gestion de la crise.
______________________

Un article du Washington Post sur l'impact initial des nouvelles règles sur les magasins d'aéroports (les boutiques de bagages semblent s'en sortir).

Une réflexion intéressante sur la modélisation de ce type de risques.

Le gouvernement chinois envoie des SMS par millions

Le gouvernement chinois informe des millions de citoyens des dangers climatiques imminents qui les guettent à l'aide de SMS. En effet, le taux d'équipement en téléphones portables est supérieur à celui des téléphones fixes (426 millions d'abonnés contre 365), dont les coûts d'infrastructure sont plus importants pour un pays aussi vaste et aussi peuplé que la Chine. Lorsqu'un typhon ou une violente tempête est prévue, les autorités avertissent les pêcheurs en mer ou les résidents des villes côtières afin qu'ils s'y préparent. Dans la province du Fujian, ce sont ainsi 18 millions de courts messages textes qui ont été expédiés lors de cinq alertes météorologiques cette année.

Ce système a également été utilisé dans le cadre de l'épidémie de SRAS, et afin de décourager les manifestations anti-japonaises en 2005, où des millions de chinois ont vu s'afficher sur l'écran de leur cellulaire: "respectez la loi, maintenez l'ordre". Cette technique n'est pas nouvelle, les activistes l'ayant déjà utilisée dans le monde entier pour organiser en quelques heures des manifestations de grande ampleur qui prennent généralement les forces de police par surprise. Le pouvoir de cet outil pour mobiliser les masses dans des perspectives d'engagement politique ou de sécurité civile reste encore méconnu, même si un nombre croissant de chercheurs s'est attelé à la modélisation de tels phénomènes à l'aide d'outils développés par les épidémiologistes.

La police et les espions se mettent à blogger

Deux nouveaux blogs policiers officiels (les premiers?) ont fait leur apparition sur Internet. Le premier, qui émane de la police chinoise, dans la province du Hebei, a pour objectif de mieux faire connaître le quotidien des agents de police et de susciter des suggestions sur les moyens d'améliorer les services de police. Plus d'un million de visiteurs l'auraient consulté au cours des deux premiers mois d'existence. Cependant, les promoteurs du projet ne cachent pas qu'il est avant tout destiné à "étendre l'influence de la police", et à ce titre, on ne s'attend pas à ce que des discussions trop critiques y soient lancées.

Le second blog par contre est beaucoup moins consensuel. Écrit par le directeur de la police du North Wales, au Royaume Uni, celui-ci n'hésite pas à fustiger ses supérieurs au ministère de l'intérieur qui ne lui donnent pas les moyens suffisants de remplir ses missions ou qui maintiennent des règlements désuets. Il évoque également avec candeur sa surcharge de travail et la dimension parfois politique de celui-ci.

À l'intérieur des organisations de sécurité et de renseignement, les blogs deviennent également un moyen additionnel d'échange de l'information et d'innovation, comme en atteste le renvoi d'une consultante de la CIA qui était chargée de produire un blog accessible aux espions américains sur le serveur ultra-sécurisé Intelink, et qui a affirmé au grand dam de ses employeurs que ces derniers approuvaient l'usage de la torture. Plus de 1.000 blogs portant sur le renseignement, le terrorisme et d'autres sujets ultra-secrets auraient été créés depuis l'an dernier.

Les iPods bannis des entreprises canadiennes

Un sondage de la firme Ipsos-Reid rendu public aujourd'hui semble indiquer une méfiance de plus en plus prononcée des entreprises canadiennes à l'encontre des gadgets miniaturisés de stockage des données tels que les iPods ou les barettes de mémoire flash (clés USB). Réalisé entre mars et mai 2006 auprès de 259 grandes et moyennes entreprises, et commandité par la société Sun Microsystems, ce sondage portait sur la sécurité de l'information dans ces entreprises.

50% des dirigeants sondés ont déclaré interdire à leurs employés d'utiliser leur propre ordinateur portable ou des clés USB personnelles sur leur lieu de travail, et 30% ont interdit à ceux-ci d'utiliser des lecteurs MP3, qui pourraient servir à voler de grandes quantités d'informations privilégiées à partir des ordinateurs fixes ou du réseau intranet de l'entreprise. Cependant, de l'aveu même des managers interrogés, 17% disent ne pas avoir une idée précise des risques associés à l'accés distant de leurs employés au réseau informatique de l'entreprise, et 13% évaluent comme peu efficaces les mesures qu'ils mettent en oeuvre pour gérer les risques générés par de telles technologies. Pour 42% des managers interrogés, le risque le plus grave pouvant toucher l'entreprise est de se faire subtiliser des informations relatives à ses clients.

Quand le cerveau vient à l'aide des machines

Le Professeur Paul Sadja, directeur du Laboratoire d'imagerie intelligente et d'informatique neuronale de l'Université Columbia vient de recevoir une importante subvention de la DARPA afin de développer une interface cerveau-machine permettant d'accélérer considérablement le traitement de données visuelles. Le cerveau humain traite en effet les informations visuelles plus rapidement que notre conscience, et les ordinateurs sont peu efficaces dans l'identification automatisée de formes et de contextes visuels. En élaborant un système de vision informatique couplable à un cerveau (C3 vision), le professeur Sadja espère rendre les humains capables de traiter 10 fois plus d'images qu'ils ne pourraient le faire sans assistance. Le magazine Wired a mis en lignes quelques photos permettant de mieux comprendre le fonctionnement de ce système. Les services de renseignement et de police, ainsi que les entreprises de sécurité privée pourraient lui trouver une grande utilité pour analyser des quantités importantes d'images de surveillance déversées sur leurs écrans par des milliers de caméras filmant en permanence.

Deux exemples d'échecs dans la lutte contre le terrorisme

Deux articles illustrent les nombreux ratés que connait la lutte contre la terrorisme menée par le gouvernement américain, malgré les discours optimistes de l'administration Bush:

Le premier dresse un profil de l'entreprise SAIC, qui est l'un des principaux fournisseurs de service aux agences de renseignements et au Pentagone. Elle fait travailler 43.000 employés, dont la moitié disposent d'une côte de sécurité, et son chiffre d'affaire pour l'année 2003 était estimé à 4.7 milliards de dollars. Sa désorganisation (et celle de ses clients) est en partie responsable du fiasco de deux programmes majeurs informatiques du FBI (Virtual Case File) et de la NSA (Trailblazer), qui ont dû être abandonnés aprés des centaines de millions de dollars d'investissements. L'article évoque d'ailleurs une proposition de loi exigeant que les agences de renseignement spécifient chaque année les tâches sous-traitées au secteur privé et les ressources déployées par les fournisseurs privés pour atteindre les objectifs fixés.

Le deuxième article, publié par le New York Times aujourd'hui révèle les conclusions d'un rapport de l'Inspecteur général du Department of Homeland Security, portant sur la base de données des sites potentiellement exposés à des attaques terroristes. Outre le fait que certains états peu peuplés aient repertorié dans cette base de donnée jusqu'à deux fois plus de sites sensibles que des cibles géographiques naturelles comme New York ou la capitale fédérale, le rapport se pose la question de la pertinence de certaines "infrastructures" incluses dans la liste: on y retrouve notamment des marchés aux puces, des foires agricoles, des maisons de retraites, des stands de crème glacée ou même une fabrique de pop-corn en Indiana. Le propriétaire de cette dernière, un Amish, est bien en peine d'expliquer pourquoi son entreprise se trouve répertoriée dans cette base de données, si ce n'est que son produit est lui aussi susceptible d'exploser!

Brèves de clavier

50.000 passeports canadiens dans la nature
Le Journal de Montreal a obtenu des informations de la Gendarmerie Royale du Canada décrivant les inquiétudes de celle-ci quant à 50.000 passeports volés ou perdus au cours des 4 dernières années, dont une part importante se retrouverait sur le marché noir. Les passeports canadiens seraient en effet idéaux pour les faussaires et les terroristes, puisque leur détenteur attire en général peu l'attention des douaniers à l'étranger. Les listes de passeports perdus ou volés ne sont par ailleurs pas communiquées aux douaniers canadiens.

Les 16 ans de l'Electronic Frontier Foundation
L'EFF, qui défend aux États Unis les droits des internautes contre les abus du gouvernement et des grandes entreprises, fête aujourd'hui ses 16 ans d'existence. Le Globe and Mail nous propose un retour en arrière sur l'histoire de cette association et ses succès, ainsi que ses combats futurs.

Les gangs de rue sur Internet
Toujours dans le Globe and Mail, un article sur la présence en ligne des gangs de rue étatsuniens (les célèbres Bloods et Crips) qui n'hésitent pas à afficher sur leurs sites personnels (Myspace et autres) des photos de leurs exploits illégaux, de leurs membres armés jusqu'aux dents, ou encore des défis lancés aux gangs ennemis. Cependant, cette présence en ligne serait une manne pour les services de police qui s'en servent comme d'une source supplémentaire de renseignements.

Les ordinateurs du FBI piratés

Des accusations contre un ancien consultant informatique du FBI qui a réussi à pirater les bases de données les plus sensibles de l'organisation ont été rendues publiques aujourd'hui à Washington. Le consultant, frustré par la pesanteur bureaucratique du FBI avait décidé de s'infiltrer dans le système de l'organisation afin d'accélérer certaines procédures techniques. Après s'être procuré deux logiciels téléchargeables sur n'importe quel site consacré au piratage informatique, Joseph Colon a pu obtenir les mots de passe de nombreux utilisateurs haut placés dans la hiérarchie et décrypter ces derniers pour accéder aux fichiers les plus sensibles du FBI. Il a notamment pu consulter la base de données du programme des témoins protégés, qui offre une nouvelle identité aux délateurs et aux personnes collaborant avec le FBI dont la vie est potntiellement en danger. Il a également accédé aux informations concernant les enquêtes en cours dans le domaine du contre-espionnage. Un porte-parole du FBI a déclaré qu'une fois les brêches constatées, plusieurs milliers d'heures de travail ont été investies afin de sécuriser l'ensemble du réseau.

Cet incident vient parfaitement illustrer à quel point des organisations de sécurité et de renseignement ayant investi plusieurs centaines de millions dans leur équipement informatique ne sont elles-même pas à l'abri d'attaques informatiques, celles-ci n'ayant pas besoin d'adopter une méhodologie trés sophistiquée. C'est à la fois inquiétant, en ce qui concerne la compétence des institutions chargées d'assurer notre sécurité, mais aussi rassurant quand aux dysfonctionnements de la machine de surveillance maximale que certains nous promettent.

Profil d'un voleur d'identité

Le New York Times a publié dans son édition d'hier le profil détaillé d'un voleur d'identité basé sur un long interview avec celui-ci (derrière les barreaux). À tout juste 21 ans, Shiva Brent Sharma a déjà été arrêté 3 fois, et a accumulé plus de 150.000$ en gains illégaux amassés grâce à des cartes de crédit contrefaites et des transferts de fonds illicites (à partir de codes d'accès obtenus par phishing). Issu d'une famille de la classe moyenne et ayant fréquenté les écoles publiques les plus sélectives, Sharma affirme être incapable de résister à la facilité avec laquelle quelques heures de "travail" derrière son ordinateur et sur les sites d'échange d'identités volées lui permettent de se procurer des dizaines de milliers de dollars. Il établit d'ailleurs un parallèle avec une addiction à l'argent facile. Cet article décrit son glissement de simple observateur sur les sites en question à celui d'habitué puis de participant aux échanges qui s'y mènent. La nature pédagogique de ces sites, où l'on peut apprendre à son propre rythme comment se procurer les informations personnelles requises et comment monter sa propre filière de vol d'identité, est également parfaitement décrite. En somme, on est loin d'être en présence d'un criminel endurci appartenant à une groupe structuré issu du crime organisé, mais d'un individu incapable de résister aux opportunité d'argent rapide et facile qui se sont présentées à lui.

Surveillance au Canada: l'indifférence

Dans un éditorial corrosif du Toronto Star, Thomas Walkom s'interroge sur les différences d'attitudes de la presse et de l'opinion publique canadienne vis-à-vis de la surveillance accrue de la population mis en eouvre par les services de renseignement depuis le 11 septembre 2001: alors que chaque révélation d'un nouveau programme mené par la CIA ou la NSA au États-Unis est traité comme une atteinte potentielle aux droits fondamentaux et reçoit un traitement en profondeur de la part des journalistes (qui bien souvent en révèlent l'existence), de ce côté-ci de la frontière, les inquiétudes manifestées par les organes de contrôle des services de sécurité restent lettre morte.

Par exemple, dans son rapport annuel, la Commissaire à la protection de la vie privée a tancé l'Agence des services frontaliers pour la manière cavalière dont certaines informations personnelles étaient communiquées à leurs homologues états-uniens. Cette semaine, l'ancien juge de la Cour suprême et Commissaire du Centre de la Sécurité des Télécommunications Antonio Lamer, vient également dans son dernier rapport annuel soulever un certain nombre d'inquiétudes quand à la manière dont les demandes de mises sur écoutes impliquant des citoyens ou des résidents canadiens sont rédigées (en des termes très généraux), impliquant que le CST pourrait violer l'esprit de la loi qui autorise ses activités et empiéter sur les libertés des Canadiens (pour un exposé plus détaillé sur les activités du CST, voir le blog Lux ex Umbra). Enfin, les informations sur les transactions financières canadiennes suspectes dépassant 10.000$ sont routinièrement échangées avec des services de renseignement étrangers, sans que la presse paraisse s'en émouvoir.

Loin de partager l'analyse de Walkom, qui attribue à la pesanteur bureaucratique canadienne et à la meilleure gestion de la divulgation de telles informations par le gouvernement, c'est plutôt le manque d'intérêt de la presse canadienne pour les longues et coûteuses enquêtes d'investigation qui me semble être en grande partie à l'origine de cette apathie. Une telle attitude est d'ailleurs observable également en France où la presse semble souvent relayer les informations qui lui sont transmises par des officines plus ou moins bien intentionnées, plutôt que de se lancer en quête d'informations inédites. L'affaire Clearstream me semble en cela symptomatique d'un journalisme de confort ou de connivence qui s'oppose à un journalisme de "sources" encore bien vivant dans certains grands journaux états-uniens.

Les canadiens et leur vie privée

La firme EKOS vient de réaliser un sondage auprès d'un millier de canadiens pour le compte du Commissariat à la Protection de la Vie Privée du Canada, destiné à mesurer les attitudes des canadiens vis-à-vis de certaines questions d'actualité:

• 71% des canadiens ont l'impression que la protection de leurs renseignements personnels s'est dégradée au cours des 10 dernières années;
• 34% des canadiens estiment que les entreprises ne prennent pas au sérieux leur responsabilité à l'égard de la protection des renseignements personnels des consommateurs, et cette perception négative est de 20% dans le cas du gouvernement canadien;
• De plus, un tiers des canadiens pense que le gouvernement ne comprend pas bien la façon dont les entreprises utilisent leurs données personnelles;
• Malgré ce scepticisme, la proportion des personnes qui disent ne pas connaître les lois canadiennes concernant la protection de la vie privée et des renseignements personnels est en augmentation par rapport à l'an dernier, de 52% à 56% cette année;
• Seulement 8% connaissent les organismes fédéraux chargés de les assister dans la protection de leur vie privée;
• Pourtant, 17% des canadiens disent faire de très grands efforts pour protéger leurs renseignements personnels et 53% de grands efforts;
• 58% se disent très préoccupés par les incidences du USA Patriot Act sur leurs renseignements personnels, et notamment le transfert à leur insu vers des entreprises ou des organismes gouvernementaux américains;
• Le pourcentage des personnes qui disent avoir une connaissance suffisante de la façon dont les nouvelles technologies peuvent affecter leur vie privée n'a pas évolué depuis l'an 2000, et se situe à 50%;
• Seulement 30% disaient être familiers avec les dispositifs d'identification par radiofréquence (RFID).

Ces données parfois contradictoires et ambigues montrent bien à quel point les citoyens canadiens se sentent désemparés et mal informés face à la complexification du problème de la protection de la vie privée et à la fragmentation de leur identité personnelle. L'avant-dernier chiffre de la liste précédente est particulièrement intéressant: malgré les affaires et les scandales médiatisés au cours des dernières années concernant le vol d'identité et les risques liés aux nouvelles technologies, le niveau de préparation des canadiens face aux menaces qui pèsent sur leur vie privée ne semble pas s'être amélioré. On peut donc légitimement se poser la question de la nature des mesures de protection et des efforts consentis par les canadiens pour protéger leur vie privée, en suspectant qu'une grande partie de ces efforts est mal dirigée.

Rétention des données Internet au Canada

Les deux grand quotidiens canadiens La Presse et le Globe and Mail viennent de révéler que le gouvernement Harper se préparerait à introduire à l'automne une nouvelle version d'un projet de loi portant sur la modernisation des techniques d'enquête. Les dispositions de ce projet de loi obligeraient notamment les fournisseurs d'accès à Internet à conserver pour plusieurs mois, voire plusieurs années, les données de connexion de leurs abonnés ou de leurs usagers afin de faciliter des enquêtes ultérieures contre la pornographie enfantine ou le terrorisme. Outre la question du coût de telles pratiques, qui serait certainement partagé entre les abonnés et les organisations policières (les abonnés pour le stockage des données, et les services de police pour leur extraction), on peut se poser la question des pratiques déjà en cours dans ce domaine.

Si l'on en croit les récents scandales ayant éclaté ces derniers jours aux États-Unis autour de la mise à la disposition des services de renseignement de données personnelles par les compagnies de téléphone (AT&T) et les institutions financières (SWIFT) sur une base volontaire, les organisations policières n'attendent pas toujours qu'une loi soit votée pour accéder aux données du secteur privé à l'insu des clients. Les entreprises privées résistent en général rarement aux pressions plus ou moins subtiles des services de sécurité, soit pour des raisons patriotiques ou d'aide à la justice, soit en espérant instaurer des liens de confiance pouvant s'avérer utiles dans un futur proche. La question est alors de savoir dans quelle mesure les FAI canadiens collaborent déjà avec les organisations policières, quelles données sont transmises, dans quel cadre juridique (de nombreuses procédures régulières reposant sur un mandat en bonne et due forme servent toujours de base à ces coopérations), et pour quels résultats? Espérons que les débats qui entoureront le vote de la loi et la perspicacité des journalistes canadiens permettront d'apporter un éclairage local à des questionnements qui restent encore largement cantonnés à la situation étatsunienne.

La meilleure arme pour protéger votre vie privée? la discrétion.

Les annonces successives des programmes de datamining des services de renseignement américains (et n'en doutons pas les équivalents mis en oeuvre par leurs homologues canadiens et européens) nous font parfois oublier que la défense de notre vie privée passe d'abord par le contrôle des informations que nous mettons nous-même en ligne. Un article du New Scientist du début du mois de juin mentionne les recherches financées par la NSA sur l'exploitation des informations contenues dans les blogs personnels ou les pages créées sur les sites de réseaux sociaux comme MySpace, Xanga ou Facebook. Ces services qui comptent plus de 100 millions de membres dans le monde permettent aux auteurs de blogs de reconstituer en ligne des groupes d'amis virtuels ou réels en fonction des intérêts ou de leur situation géographique. Beaucoup de ces pages tendent à livrer des informations très personnelles sur ceux qui les mettent en ligne et sur leurs amis. Des colonies de vacances ont d'ailleurs interdit cet été à leurs jeunes participants d'utiliser leur page personnelle sur ces sites pour mettre en ligne des photos ou des commentaires sur les gentils animateurs ou d'autres "colons" devant les risques d'abus potentiels et de diffamation (dans un pays où les procès sont élevés au rang de sport national).

L'article du New Scientist évoque le potentiel de ces pages personnelles pour compléter les données acquises par les services de renseignement sur un même individu auprès des institutions financières, des compagnies de télécommunication ou des compagnies aériennes. Les informations volontairement rendues publiques par les internautes seraient alors utilisées pour identifier ceux qui auraient des projets terroristes ou criminels, ainsi que leurs cercles d'amis plus ou moins proches. Les profils des terroristes qui ont commis les attentats dans le métro de Londres ou ceux des 17 suspects arrêtés à Toronto au début du mois de juin, des jeunes nés et éduqués en Occident, et ayant glané beaucoup d'informations sur Internet, laisse penser que cette approche n'est pas aussi futile qu'on pourrait l'imaginer de prime abord.

Cependant, dans une société où les traces électroniques que nous laissons derrière nous deviennent virtuellement éternelles et accessibles à tous, une certaine réserve dans les informations que nous choisirons de divulguer publiquement sera l'un des meilleurs moyens de protéger une vie privée en miettes.

Le secret bancaire écorné par la lutte anti-terroriste

Continuant ses révélations sur les programmes secrets de datamining mis en oeuvre à la suite des attentats du 11 septembre, le New York Times détaille aujourd'hui dans ses colonnes comment la CIA et le département du Trésor américains ont accès depuis 2001 aux transactions bancaires internationales de milliers d'individus (citoyens américains et autres) transitant par le système SWIFT. Cette coopérative bancaire qui est constituée de plus de 3.000 institutions financières situées dans 200 pays permet aux individus et aux entreprises de transférer de l'argent d'un compte à un autre. SWIFT traite en moyenne 11 millions de transactions financières quotidiennes.

Le long article du NYT explique comment l'idée d'exploiter cette base de données gigantesque a été suggérée au gouvernement américain par des membres de la communauté bancaire, qui avaient perdu un nombre élevé de leurs collègues dans les attentats. Après avoir écarté l'idée que la CIA pirate les ordinateurs de SWIFT, un accord secret fut conclu avec la coopérative, qui laissa libre accès à ses informations. Lors des premiers mois, toutes les informations contenues furent analysées, comme par exemple l'ensemble des transactions en provenance de l'Arabie Saoudite, d'où provenait la majorité des terroristes. Devant les risques d'abus et le besoin de mieux cibler les recherches, des procédures plus rigoureuses d'audit furent ensuite mises en place. À l'heure actuelle, un représentant de SWIFT assiste à toutes les recherches, et une entreprises d'audit vérifie à posteriori le bien fondé des informations consultées. L'article ne rapporte qu'une vingtaine de cas dans lesquels ces données auraient permis d'identifier des cellules terroristes ou des attaques en préparation.

Bien sûr, le cadre légal dans lequel se déroule ce programme est sujet à des interprétations contradictoires: le gouvernement américain, qui n'utilise pas de mandats de perquisition ou d'interception, est tout à fait conscient qu'il respecte la lettre d'une loi contradictoire sans véritablement se conformer à son esprit. La coopérative SWIFT, basée en Belgique, devra certainement s'expliquer à ses clients de l'accord donné à un gouvernement de consulter certaines données sensibles, et d'une éventuelle entorse au devoir de confidentialité. Quand aux terroristes, ils éviteront dorénavant les transferts bancaires traditionnels. L'article mentionne par ailleurs d'autres programmes de recueil de renseignements financiers clandestins, visant notamment les distributeurs de billets et les virements de la société Western Union.

Prévention de la criminalité par courriel

La police de la ville de Boston vient de se doter d'un système d'alerte des citoyens par courriel (email en bon français) afin de solliciter leur aide dans l'identification et la localisation de délinquants. Cet outil, déjà utilisé par plus de 300 communautés aux États Unis, s'appuie sur la technologie du site Citizen Observer pour disséminer par courriel auprès de citoyens abonnés des informations spécifiques sur des crimes venant d'être commis dans leur voisinage. Dans le cas d'un vol de véhicule, la couleur, le modèle et le numéro d'immatriculation seront ainsi rendus public, afin que les "observateurs citoyens" puissent garder un oeil ouvert et alerter la police s'ils viennent à croiser sa route. Il s'agit donc d'une plateforme de communication bi-directionnelle permettant à la police d'accroître considérablement ses sources d'information.

De l'aveu même de ses utilisateurs, les succés restent cependant rares, et les appels générés créent plus de travail pour la police qu'un traitement traditionnel ne le ferait: un policier de la ville de Cincinnati interrogé par Technology Review doit ainsi admettre que pour 300 alertes lancées au cours des dernières années, seulement une douzaine ont permis l'arrestation de suspects, mais que chaque alerte génère environ une centaine d'appels de la population. En terme de sentiment de sécurité, qui constitue la dimension subjective de la criminalité, les avantages de ce système sont également difficiles à évaluer. Le sentiment de se réapproprier les activités de prévention et de lutte contre la criminalité peut sans nul doute rassurer certains citoyens, mais d'autres seront négativement affectés par le rappel constant de la dangerosité de leur voisinage que les courriels en provenance de la police éveilleront.

Lutter contre les vols d'ordinateurs portables

La publication du MIT Technology Review nous offre aujourd'hui un panorama assez complet des technologies disponibles afin de localiser des ordinateurs portables volés et protéger les informations confidentielles qu'ils contiennent des regards trop curieux:

• La première catégorie d'outils comprend les logiciels de localisation qui établissent de manière automatique une communication entre l'ordinateur portable volé et les serveurs d'une entreprise selon une fréquence pouvant varier d'une fois par jour à toutes les 15 minutes. Cette connection peut s'effectuer d'autant plus facilement que la prolifération des points d'accès Wi-Fi facilite considérablement la chose. Les paramètres de connection permettent souvent de localiser la machine et d'envoyer la police la récupérer. Cependant, si une telle solution se généralise, les organisations policières seront bientôt amenées à facturer leur déplacement, en supplément de l'abonnement. La société canadienne Absolute Software offre un tel service.
• La société Cyber Angel met en oeuvre un logiciel de cryptage qui protège une partie du disque dur désigné de l'ordinateur si celui-ci est mis en marche sans que le bon mot de passe ne soit utilisé. L'ordinateur reste fonctionnel, mais les informations sensibles qu'il contient sont inaccessibles au voleur.
• La dernière solution, et aussi la plus drastique, est une pilule empoisonnée: le logiciel détruira alors toutes les informations sensibles lorsqu'un ordinateur volé sera signalé. la société Beachhead Solutions propose cette option aux entreprises et aux services publics qui ne souhaitent éviter à tous prix que des informations sensibles tombent entre les mains de la concurrence ou de pays hostiles.

Avec la multiplication des téléphones-assistants personnels qui peuvent stocker des quantités importantes de documents, on assistera à n'en pas douter à une extension de ces solutions à des équipements informatiques de plus en plus miniaturisés.

Le Japon sous-traite certaines fonctions policières au secteur privé

La police japonaise vient de se lancer dans un programme de sous-traitance des constats d'infraction aux règles de stationnement, afin de désengorger les artères des grandes villes et de remplir les caisses de l'État. Un article du Monde nous apprend qu'à Tokyo, 264 commissariats ont confié cette tâche ingrate à 74 entreprises privées. La police Tokyoite avait en effet bien du mal à verbaliser les mauvais chauffeurs, puisqu'on estime qu'elle n'émettait de contraventions qu'à 0.1% des infracteurs potentiels. Les agences de sécurité privée, qui sont rémunérées au rendement, sauront certainement améliorer ce piètre résultat. Si comme le souligne le journaliste du Monde, ce zèle répressif aura certainement un résultat immédiat sur la fluidité du traffic automobile, l'image de la police risque de s'en trouver quelque peu ternie: en effet, le pouvoir discrétionnaire des policiers leur permet de cultiver de bonnes relations avec la population, et de susciter une meilleure collaboration lorsque cela est nécessaire. D'autre part, en sous-traitant à des entreprises privées cette tâche peu valorisée parmi les policiers en uniforme, la police se prive de renseignements criminels intéressants: en effet, une étude criminologique anglaise a démontré qu'une proportion importante de voitures mal stationnées (en particulier sur les emplacements réservés aux handicappés) étaient conduites par des personnes recherchées par la police pour des affaires plus graves. Cette tendance à la sous-traitance n'est pas réservée au Japon, puisque des municipalités anglaises, australiennes et canadiennes y ont également recours.

Poursuites judiciaires contre un fabricant d'équipement de vidéosurveillance

La pratique de certains parents américains, qui placent des caméras vidéo cachées à leur domicile afin de surveiller les baby-sitters pendant leur absence sera bientôt testée devant un tribunal à la suite d'une plainte déposée par une "nanny" espionnée à son insu. Les parents inquiets se servent de ce stratagème afin de détecter de possibles abus de violence à l'égard de leur progéniture, et des caméras miniaturisées sont d'habitude placées dans des magnétoscopes ou des ours en peluche. En octobre 2003, une gardienne d'enfant fut accusée publiquement d'avoir brutalement secoué un enfant de cinq mois placé sous sa responsabilité, et les images furent diffusées par de nombreux médias télévisés aux États Unis. À la suite de ces accusations, elle passa plus de deux ans en prison en détention préventive. Récemment, les procureurs chargés de monter le dossier d'accusation contre elle ont laissé tomber toutes les charges, réalisant que les images étaient filmées à intervalles de plusieurs secondes et non en continu, ce qui accentuait l'impression de violence. Par ailleurs, des examens médicaux avaient démontré l'absence de blessures de l'enfant. La babysitter injustement accusée vient de porter plainte contre la société Tyco Fire & Security, une multinationale de 90.000 employés au chiffre d'affaire annuel de 11.5 milliards de dollars, qui sera certainement beaucoup plus solvable en cas de victoire que la famille l'ayant faussement accusée. La résistance contre les technologies de surveillance est un sujet encore trop peu étudié, malgré l'organisation de plus en plus systématique des défenseurs des libertés individuelles et leur travail de sensibilisation dirigé vers la population.

Datamining et sécurité: une perte de temps?

Le Washington Post fait le point dans son édition d'hier sur les initiatives de datamining en lien avec la lutte antiterroriste aux États Unis, et sur les résultats peu probants qui en découlent. La pratique du datamining, importée du monde du marketing direct, permet aux agences de renseignement et de sécurité d'accéder à des données personnelles qu'elles mêmes n'ont pas le droit de collecter. Ces données permettraient d'identifier des individus dont le parcours individuel ou les habitudes de consommation laissent penser qu'ils pourraient être suspects d'intentions malveillantes.

En 2005, le gouvernement américain a dépensé au moins 30 millions de dollars après de compagnies privées pour avoir accès à des données personnelles, et 91% de ces dépenses découlaient de mission de police ou de sécurité nationale. Quelques exemples peuvent aider à mieux comprendre l'usage qui est fait de cette technique: le ministère de l'éducation compare les listes d'étudiants avec celles du FBI afin de localiser certaines personnes recherchées, le ministère de la défense utilise des données publiques afin d'identifier des terroristes et des citoyens US connectés à de suspectés terroristes sur le sol américain, la Navy utilise des données de transport des marchandises maritimes pour détecter de potentielles cargaisons contenant des armes de destruction massive à destination des États Unis...

Si ce type d'outil informatique peut se permettre d'envoyer quelques milliers de dépliants publicitaires à des clients peu intéressés par les produits vantés sans causer des dommages irréparables à qui que ce soit, la situation est bien différente en matière de lutte contre le terrorisme. L'expérience menée par le ministère des transports qui visait à mettre en place un logiciel capable de prédire la dangerosité potentielle des passagers aériens à partir de données de sources variées (CAPPSII) et qui a coûté plus de 200 millions de dollars en frais de développement a d'ailleurs du être abandonnée en raison du trop grand nombre d'erreurs générées par le système, qui devenait contre-productif, distrayant les opérateurs qui ne pouvaient plus discerner les individus réellement dangereux. Pour quelle raison alors les services de sécurité américains s'obstinent-ils à utiliser de tels outils?

La réponse réside peut-être en partie dans la fausse impression de profusion des pistes potentielles qu'ils procurent, en l'absence d'autres formes de renseignements plus riches comme le renseignement humain (les informateurs), abandonné depuis de nombreuses années par les services américains au profit du tout technologique. Le laxisme des lois américaines sur la protection des données privées et l'agressivité des vendeurs de bases de données commerciales expliquent aussi en partie cette séduction exercée par le datamining. Le contrôle plus strict exercé dans de nombreux autres pays occidentaux fonctionnerait alors comme une sorte d'antidote à une pensée magique qui voudrait que l'on puisse localiser des terroristes, non plus en lisant dans le marc de café mais dans des océans de factures de cartes de crédit.