La revue scientifique Surveillance and Society vient de publier un numéro spécial sur les défis méthodologiques et éthiques des recherches portant sur la surveillance, telle qu'elle se déploie dans la vie quotidienne (vidéosurveillance, sécurité privée, internet...).
Un article en particulier, rédigé par Kevin Haggerty et Amber Gazso, a retenu mon attention. Il traite des biais statistiques importants dont souffrent les sondages réalisés sur le degré d'acceptation publique des technologies de surveillance. Ces sondages produisent en effet très fréquemment des résultats où plus de 70% des personnes interrogées se disent favorables à l'implantation de nouvelles technologies de contrôle social, ce qui laisse entendre que les promoteurs de ces technologies ne font que répondre à un besoin diffus de sécurité exprimé par la population. Pourtant, les instituts de sondage impliqués omettent souvent de préciser les taux de non-réponse très élevés associés à ces questionnaires, qui augmentent encore lorsque les sondés sont informés du thème des questions qui vont leur être soumises. Les auteurs citent ici des taux de participation de 10% et moins (pour obtenir 1000 réponses, il faut contacter plus de 10.000 personnes), ce qui du point de vue statistique s'avère extrêmement problématique.
Une des conclusions de cet article remet donc en question la validité de ces sondages, sur lesquels s'appuient parfois les gouvernants et les entreprises privées pour justifier le déploiement de technologies de plus en plus intrusives, et par extension du degré réel d'acceptation de ces technologies au sein de la population, incluant les segments de celle-ci qui n'ont rien à cacher ou à se reprocher.
28 février 2006
25 février 2006
La NSA fait son shopping
Un article paru aujourd'hui dans le New York Times lève une partie du voile qui recouvre les relations incestueuses entre la National Security Agency et les entreprises américaines de télécommunication et du secteur des nouvelles technologies.
On y évoque la base de données Daytona, qui contient des informations sur l'ensemble des appels passés au cours des dernières années sur le réseau de l'entreprise AT&T (équivalent de France Télécom en France ou de Bell au Canada), dont j'ai déjà parlé ici il y a quelques jours. La mise à jour des informations se fait de manière quasiment instantanée, à la fin de chaque appel passé grâce à cet opérateur. On apprend en outre dans cet article que 70.000 demandes d'accès aux informations détenues dans cette base de données sont faites chaque mois par des services de renseignement, de police et des enquêteurs privés à AT&T. Ce volume laisse entendre que la surveillance des appels est devenue une pratique routinière aux USA, et on peut imaginer que les compagnies téléphoniques de la plupart des autres pays occidentaux ont établi des liens similaires avec les services de sécurité locaux.
Le même article révèle la nature de deux brevets obtenus par la NSA au cours des dernières années: l'un permet de localiser géographiquement le point d'origine d'un message envoyé par internet en calculant le temps que celui-ci a mis pour parcourir la distance entre le point d'émission et de réception. L'autre concerne la transcription automatique de conversations téléphoniques, qui permettrait d'automatiser le traitement et l'analyse préliminaire de millions de conversations interceptées par les systèmes d'écoute. Cette technologie a été développée en partenariat avec le secteur privé. La société Virage commercialise ainsi un produit de transcription et de traduction automatique dont le taux d'efficacité dans des conditions optimales est supérieur à 90%.
Ces exemples illustrent à quel point la surveillance moderne ne se limite plus à certains groupes soupçonnés d'activités illégales, mais qu'elle cible désormais l'ensemble des activités liées à l'usage des moyens de communication modernes. L'efficacité de celle-ci et les stratégies de contre-surveillance mises en oeuvre restent toutefois largement méconnues.
On y évoque la base de données Daytona, qui contient des informations sur l'ensemble des appels passés au cours des dernières années sur le réseau de l'entreprise AT&T (équivalent de France Télécom en France ou de Bell au Canada), dont j'ai déjà parlé ici il y a quelques jours. La mise à jour des informations se fait de manière quasiment instantanée, à la fin de chaque appel passé grâce à cet opérateur. On apprend en outre dans cet article que 70.000 demandes d'accès aux informations détenues dans cette base de données sont faites chaque mois par des services de renseignement, de police et des enquêteurs privés à AT&T. Ce volume laisse entendre que la surveillance des appels est devenue une pratique routinière aux USA, et on peut imaginer que les compagnies téléphoniques de la plupart des autres pays occidentaux ont établi des liens similaires avec les services de sécurité locaux.
Le même article révèle la nature de deux brevets obtenus par la NSA au cours des dernières années: l'un permet de localiser géographiquement le point d'origine d'un message envoyé par internet en calculant le temps que celui-ci a mis pour parcourir la distance entre le point d'émission et de réception. L'autre concerne la transcription automatique de conversations téléphoniques, qui permettrait d'automatiser le traitement et l'analyse préliminaire de millions de conversations interceptées par les systèmes d'écoute. Cette technologie a été développée en partenariat avec le secteur privé. La société Virage commercialise ainsi un produit de transcription et de traduction automatique dont le taux d'efficacité dans des conditions optimales est supérieur à 90%.
Ces exemples illustrent à quel point la surveillance moderne ne se limite plus à certains groupes soupçonnés d'activités illégales, mais qu'elle cible désormais l'ensemble des activités liées à l'usage des moyens de communication modernes. L'efficacité de celle-ci et les stratégies de contre-surveillance mises en oeuvre restent toutefois largement méconnues.
21 février 2006
Les employés à puce
Après la carte à puce... les employés à puce! La société CityWatcher, spécialisée dans la vidéosurveillance vient d'exiger de ses employés qu'ils se fassent implanter une puce RFID sous-cutanée afin de contrôler leur accès aux locaux où sont hébergés les serveurs informatiques de l'entreprise. Le refus de se laisser implanter la puce fabriquée par Verichip n'entraînera pas le licenciement de l'employé, mais celui-ci se verra refuser l'accès à certaines zones de l'entreprise, ce qui limitera singulièrement sa capacité à s'acquitter de ses tâches quotidiennes.Outre les atteintes à l'intégrité physique des individus que cette politique implique, les bénéfices en matière de sécurité sont loin d'être évidents. En effet, on peut apprendre sur le site Internet de Jonathan Westhues comment cloner une puce Verichip sans difficulté apparente. Il suffirait ainsi de copier le signal émis et de transférer les données sur une nouvelle puce vierge pour disposer d'un accès similaire à celui de l'original.
Terroristes sur Internet
Dans une étude empirique récente sur l'utilisation d'Internet par les groupes terroristes, Gabriel Weimann, professeur de communication à l'Université de Haifa en Israel, a recensé 4.800 sites affiliés à des organisations qualifiées de terroristes selon les critères du Département d'État américain.
Dans un entretien au MIT Technology Review, le professeur Weimann évoque une croissance extrêmement rapide, puisqu'il recensait seulement 12 sites il y a 8 ans. Les trois phases d'accélération à la présence des mouvements terroristes sur Internet ont été les attaques du 11 septembre 2002, puis les invasions de l'Afghanistan et de l'Irak.
Ces sites, souvent hébergés sur des serveurs américains, ont tendance à se démultiplier afin d'ajuster leur message et leur rhétorique à des publics spécifiques (le narrowcasting) : le Hamas et le Hezbollah disposent ainsi de sites destinés aux enfants sur lesquels ceux-ci trouvent des jeux vidéo guerriers, et Al Qaida a pour sa part créé des sites réservés aux femmes.
Dans un entretien au MIT Technology Review, le professeur Weimann évoque une croissance extrêmement rapide, puisqu'il recensait seulement 12 sites il y a 8 ans. Les trois phases d'accélération à la présence des mouvements terroristes sur Internet ont été les attaques du 11 septembre 2002, puis les invasions de l'Afghanistan et de l'Irak.
Ces sites, souvent hébergés sur des serveurs américains, ont tendance à se démultiplier afin d'ajuster leur message et leur rhétorique à des publics spécifiques (le narrowcasting) : le Hamas et le Hezbollah disposent ainsi de sites destinés aux enfants sur lesquels ceux-ci trouvent des jeux vidéo guerriers, et Al Qaida a pour sa part créé des sites réservés aux femmes.
20 février 2006
Le "home cinéma" le plus cher du monde
Dans un article du New York Times de ce week end, les conditions de la prise de décision désastreuse qui a retardé l'intervention du gouvernement américain lors de l'ouragan Katrina sont passées en revue.On apprend notamment que le centre ultra-moderne de gestion des opérations du Department of Homeland Security, équipé d'écrans géants dernier cri et d'accés directs aux bases de données les plus diverses a coûté 56 millions de dollars au contribuable américain. L'ensemble des organisations chargées d'assurer la sécurité des États-Unis y sont présentes afin d'évaluer en temps réel les menaces qui se profilent à l'horizon et de coordonner les réponses.
Cette solution technologique au problème de la gestion de l'information, censée éviter que des attaques de l'ampleur de celles du 11 septembre 2002 ne se reproduisent, doit affronter la rude concurrence de la télévision comme source d'information. En effet, dans son témoignage devant le Sénat sur la gestion de Katrina, le Général Broderick (directeur du centre) a précisé que la raison pour laquelle il n'avait pas jugé bon d'avertir sa hiérarchie du désastre en train de se jouer à la Nouvelle-Orléans le soir du 29 août 2005 était qu'un reportage télévisé diffusé depuis le Vieux Carré montrait des habitants en train de chanter, danser et boire de la bière. Malgré les avertissements répétés provenant des fonctionnaires de la FEMA, des Gardes Côtes, et du Corps des Ingénieurs de l'Armée présents sur place, ce sont ces images de fête, projetées en boucle sur les écrans géants du centre, qui semblent avoir convaincu (contre toute rationalité) les décideurs que le pire serait évité.
Dans ce cas, on peut dire que la technologie a englué les hommes dans un amas d'informations, dont la plus frappante (mais certainement pas la plus pertinente) s'est imposée et a pris en otage le processus de prise de décision.
Contrôler l'identité en ligne
La conférence RSA 2006 qui vient de se tenir en Californie a permis d'entrevoir quelques unes des innovations développées afin de lutter contre le vol d'identité et la fraude en ligne. La principale difficulté liée aux transactions financières virtuelles est de valider l'identité des usagers, dans un environnement dématérialisé. Aux États-Unis, les banques opérant à l'échelle nationale devront à partir de cette année mettre en oeuvre un mécanisme additionnel de vérification de l'identité de leurs clients à celui que représente le mot de passe secret.
Un article de Wired fait le point sur les diverses solutions à l'étude (http://www.wired.com/news/technology/1,70234-0.html):
- La société de courtage boursier E-trade offre à ses meilleurs clients des porte-clés équipés de piles qui génèrent des clés de cryptage uniques à chaque opération(https://us.etrade.com/e/t/jumppage/viewjumppage?PageName=secureid_enter). Afin d'éviter une multiplication des équipements de taille réduite faciles à égarer, des entreprises proposent également des logiciels qui peuvent être installés sur des assistants digitaux ou desBlackberry.
- Le système PassMark combine un mot de passe avec l'examen des propriétés physiques de l'équipement à partir duquel l'usager se connecte. Dans le cas où l'usager d'une banque cherche à accéder à ses comptes à partir d'un autre ordinateur que celui qu'il utilise habituellement, un certain nombre de questions lui seront posées afin de vérifier son identité (http://www.passmarksecurity.com/solutions/).
- Biopassword s'appuie sur l'analyse dy rythme de frappe au clavier, unique à chaque usager. Le système s'ajuste chaque fois qu'un nouveau mot de passe est choisi, mais le logiciel ne peut détecter les changements de vitesse de frappe attribuables à des états tels que l'ébriété (http://www.biopassword.com/bp2/welcome.asp).
D'autres systèmes invisibles de validation permettant aux banques de détecter des transactions frauduleuses ou suspectes viendront également compléter cette panoplie.
Un article de Wired fait le point sur les diverses solutions à l'étude (http://www.wired.com/news/technology/1,70234-0.html):
- La société de courtage boursier E-trade offre à ses meilleurs clients des porte-clés équipés de piles qui génèrent des clés de cryptage uniques à chaque opération(https://us.etrade.com/e/t/jumppage/viewjumppage?PageName=secureid_enter). Afin d'éviter une multiplication des équipements de taille réduite faciles à égarer, des entreprises proposent également des logiciels qui peuvent être installés sur des assistants digitaux ou desBlackberry.
- Le système PassMark combine un mot de passe avec l'examen des propriétés physiques de l'équipement à partir duquel l'usager se connecte. Dans le cas où l'usager d'une banque cherche à accéder à ses comptes à partir d'un autre ordinateur que celui qu'il utilise habituellement, un certain nombre de questions lui seront posées afin de vérifier son identité (http://www.passmarksecurity.com/solutions/).
- Biopassword s'appuie sur l'analyse dy rythme de frappe au clavier, unique à chaque usager. Le système s'ajuste chaque fois qu'un nouveau mot de passe est choisi, mais le logiciel ne peut détecter les changements de vitesse de frappe attribuables à des états tels que l'ébriété (http://www.biopassword.com/bp2/welcome.asp).
D'autres systèmes invisibles de validation permettant aux banques de détecter des transactions frauduleuses ou suspectes viendront également compléter cette panoplie.
13 février 2006
Listes d'appels à vendre
La polémique enfle autour des sites internet qui proposent de vendre les listes d'appels passés sur des téléphones portables. Pour la modique somme d'environ 100$, ils se proposent de fournir à leurs clients l'historique des appels passés par la personne de leur choix (un partenaire infidèle, un concurrent encombrant...). Ils commercialisent également toute une palette d'informations personnelles en théorie protégées.
Ces sites (www.completeskiptrace.com; www.celltolls.com; www.peoplesearchamerica.com par exemple) obtiennent des informations confidentielles en se faisant passer pour la personne sur laquelle ils sont chargés d'enquêter, un agent d'assurance, un policier ou un membre de sa famille. Les employés des centres d'appels des compagnies de téléphonie mobile sont formés afin d'offrir un service efficace et rapide à leurs clients et de les aider à résoudre leurs problèmes, ce qui créée une vulnérabilité facilement exploitable pour les escrocs.
Les sociétés de téléphonie mobile sont en première ligne et devront certainement renforcer dans les prochains mois les moyens d'authentifier l'identité de leurs clients.
Ces sites (www.completeskiptrace.com; www.celltolls.com; www.peoplesearchamerica.com par exemple) obtiennent des informations confidentielles en se faisant passer pour la personne sur laquelle ils sont chargés d'enquêter, un agent d'assurance, un policier ou un membre de sa famille. Les employés des centres d'appels des compagnies de téléphonie mobile sont formés afin d'offrir un service efficace et rapide à leurs clients et de les aider à résoudre leurs problèmes, ce qui créée une vulnérabilité facilement exploitable pour les escrocs.
Les sociétés de téléphonie mobile sont en première ligne et devront certainement renforcer dans les prochains mois les moyens d'authentifier l'identité de leurs clients.
01 février 2006
Les compagnies de télécommunications et la surveillance de masse
La poursuite intentée par l'Électronic Frontier Foundation contre AT&T, une des principales compagnies de téléphone étasunienne, révèle au grand public l'étendue de la collaboration qui lie entre elles les entreprises de télécommunication et les services de renseignement. Dans ce recours collectif déposé devant un tribunal fédéral de San Francisco, on apprend que la société aurait mis à la disposition de la NSA sa base de données principale et un outil permettant de l'exploiter. La base de données, dénommée Hawkeye, contiendrait des informations sur chaque appel national passé aux USA depuis 2001. La seconde, Daytona, est un outil d'analyse des liens qui permet d'explorer en profondeur les données de Hawkeye.
Devant la résistance qu'oppose l'administration américaine, la stratégie des associations de protection des libertés fondamentales s'est déplacée sur le terrain de l'opinion publique. Les millions d'américains qui utilisent AT&T pour leurs appels longue distance ou pour se connecter à Internet seront peut-être enclins à questionner leur fournisseur de service sur sa politique de confidentialité des données. Outre la mauvaise publicité pour AT&T, les dommages et intérêts réclamés à la société se montent à plusieurs milliards de dollars. De quoi faire réfléchir les investisseurs.
L'article en anglais dans Wired News:
http://www.wired.com/news/technology/0,70126-0.html?tw=wn_index_6
Devant la résistance qu'oppose l'administration américaine, la stratégie des associations de protection des libertés fondamentales s'est déplacée sur le terrain de l'opinion publique. Les millions d'américains qui utilisent AT&T pour leurs appels longue distance ou pour se connecter à Internet seront peut-être enclins à questionner leur fournisseur de service sur sa politique de confidentialité des données. Outre la mauvaise publicité pour AT&T, les dommages et intérêts réclamés à la société se montent à plusieurs milliards de dollars. De quoi faire réfléchir les investisseurs.
L'article en anglais dans Wired News:
http://www.wired.com/news/technology/0,70126-0.html?tw=wn_index_6
La privatisation des frontières
Le Department of Homeland Security lance le programme SBI (Secure Border Initiative) et fait appel à l'industrie privée de la sécurité pour "imaginer" et "proposer" des méthodes plus efficaces de protéger l'intégrité des frontières étasuniennes, et plus particulièrement celle avec le Mexique.
Cette initiative répond aux échecs passés et se déploiera sous l'égide du secteur privé. Un appel d'offre sera lancé dans quelques mois pour sélectionner le maitre d'oeuvre de ce projet. Le DHS laisse l'initiative au secteur privé d'identifier des domaines dans lesquels il pourrait se substituer aux services publics, et il envisage par exemple de sous-traiter le transport et les procédures d'expulsion des immigrants illégaux arrêtés. On prévoit également d'intensifier le recours aux technologies de surveillance comme les senseurs ou les satellites d'observation.
Voir l'article de Govexec.com:
http://www.govexec.com/story_page.cfm?articleid=33260&dcn=e_hsw
Cette initiative répond aux échecs passés et se déploiera sous l'égide du secteur privé. Un appel d'offre sera lancé dans quelques mois pour sélectionner le maitre d'oeuvre de ce projet. Le DHS laisse l'initiative au secteur privé d'identifier des domaines dans lesquels il pourrait se substituer aux services publics, et il envisage par exemple de sous-traiter le transport et les procédures d'expulsion des immigrants illégaux arrêtés. On prévoit également d'intensifier le recours aux technologies de surveillance comme les senseurs ou les satellites d'observation.
Voir l'article de Govexec.com:
http://www.govexec.com/story_page.cfm?articleid=33260&dcn=e_hsw
S'abonner à :
Messages (Atom)