Grippe aviaire et sécurité des entreprises

L'épidémie annoncée de grippe aviaire, dont la mutation dans une forme transmissible à l'humain semble de plus en plus probable, exige des entreprises qu'elles se préparent à faire face à l'infection d'un nombre important de leurs employés, et qu'elles prennent des mesures préventives qu'on désigne dans le jargon de la sécurité privée sous le terme de "continuité des affaires". Cependant, celles-ci semblent encore mal préparées: un rapport de la Chambre de commerce de Londres estime qu'une entreprise sur cinq serait incapable de survivre à une épidémie de plus de 12 semaines.

Dans un article très complet publié sur le site CSO, qui s'adresse à un public de professionnels de la sécurité, on analyse les risques à prendre en compte et les mesures à mettre en oeuvre pour se préparer à une telle éventualité. Il est d'abord fort probable qu'un nombre important d'employés ne pourra plus se rendre sur leur lieux de travail, soit qu'ils soient trop malades pour travailler, soit qu'ils doivent prendre soin de membres de leurs familles qui seront infectés et ne pourront être soignés dans le système de santé en raison d'une surcharge de celui-ci, soit pour réduire les risques d'infection. Des procédures visant à généraliser le télé-travail devront être élaborées en renforçant notamment les capacités des systèmes de communication qui feront face à une pression considérable. Les entreprises devront néanmoins identifier leurs employés "essentiels", et répartir ceux-ci en équipes redondantes qui travaillent sur des lieux séparés, afin d'éviter les risques de contamination croisée. Les facteurs de contamination possibles doivent également être pris en compte: les systèmes de chauffage et de climatisation doivent être nettoyés, les points de restauration decront être fermés et remplacés par des repas et des aliments sous-vide, et les centres d'appels et leurs batteries de téléphones désinfectés à intervalles réguliers.

Les entreprises doivent également tenir leurs employés informés de leurs préparatifs afin de répondre à leurs inquiétudes légitimes, et communiquer régulièrement avec leurs investisseurs sur ce sujet. Elles doivent notamment expliquer à ces derniers comment elles comptent assurer la continuité de leurs opérations avec des effectifs réduits. Les entreprises multinationales pourront certainement transférer leur charge de travail d'un de leur site à un autre, mais encore faut-il que les processus utilisés dans chaque pays soient suffisamment semblables pour permettre ces répartitions de charge. L'un des obstacles principaux à la mise en oeuvre de ces mesures de bon sens est l'approche réactive et fragmentée adoptée en ce domaine, au gré de chaque nouvelle crise (SRAS, Grippe aviaire), plutôt que l'approche raisonnée et constante de préparation à toute nouvelle crise, que la mise en réseau des moyens de communication et de transport ne manquera pas de précipiter à intervalles réguliers.

L'europe entre dans la course aux technologies de surveillance

Les deux organisations non gouvernementales Statewatch et Transnational Institute viennent de rendre public un rapport intitulé Arming big brother: the EU's security research programme. Elles y dénoncent la diversification des industries de l'armement dans les technologies duales, qui sont utilisées dans la lutte contre le terrorisme, la protection des frontières et des missions de sécurité intérieure. Selon les auteurs de ce rapport, cette diversification se ferait grâce à des investissements importants consentis par l'Union Européenne, sans toutefois qu'un débat démocratique soit engagé sur l'opportunité de tels efforts. Les montants évoqués se monteraient à 1 milliard d'euros, si les souhaits du complexe militaro-sécuritaire sont exaucés. Le rapport détaille également le système peu transparent qui fait des principales entreprises de défense susceptibles de bénéficier des contrats de recherche accordés les conseillères de l'Union Européenne sur les domaines à développer en priorité. Outre les problèmes de bonne gouvernance qu'il pose, ce conflit d'intérêts manifeste ne peut que laisser pensif sur la valeur scientifique des projets qui seront financés.

Parmi les initiatives de recherche ayant déjà reçu des fonds de démarrage, et qui nous permettent d'entrevoir les technologies de surveillance faisant l'objet des investissements de recherche les plus conséquents, on peut mentionner:

* Le projet PROBANT de l'entreprise française Satimo qui développera les techniques de visualisation et de traçage des individus à l'intérieur des bâtiments;
* Le projet ISCAPS de la société SAGEM, qui portera sur la surveillance intégrée des foules et des espaces publics;
* Le projet BSUAV de Dassault, qui étudiera les possibilités d'utilisation des drones pour la surveillance aérienne des frontières;
* Le projet TRIPS de l'entreprise italienne Finmeccanica, qui mettra en oeuvre des technologies de détection de menaces terroristes sur les lignes de chemin de fer ou de métro;

Aucune recherche sur les dimensions sociales, légales et éthiques des nouvelles technologies de surveillance et de sécurité qui feront leur apparition en Europe au cours des prochaines années n'est toutefois mentionnée.

Sésame! Donne-moi le solde de mon compte!

La société Voicevault vient de vendre à une banque irlandaise son système d'authentification de l'identité par reconnaissance vocale. Il s'agit ici d'une nouvelle déclinaison de la biométrie dont le potentiel est immense: en effet, l'omniprésence des appareils téléphoniques fixes et mobiles permet de transformer ces derniers en autant de "capteurs" déjà installés et dont l'utilisation ne demande pas un apprentissage très fastidieux. Par ailleurs, l'utilisation de la reconnaissance vocale comme moyen d'authentification permet aux institutions financières et aux entreprises qui souhaitent sécuriser leurs activités en ligne de disposer d'un second moyen de vérification, qui vient considérablement renforcer le mécanisme traditionnel que constituent les mots de passe. Enfin, contrairement à ces derniers, aucun effort de mémoire n'est requis pour se souvenir de son nom et le prononcer quand nous y sommes invités par une voix qui est elle souvent celle d'un robot...
Un certain nombre d'obstacles inhérents à ce type de technologie ont été surmontés, selon les informations fournies par l'entreprise. Les congestions nasales entraînées par des rhumes ou les allergies ne semblent pas affecter les taux de reconnaissance, et le système demande à ses utilisateurs de répéter des phrases choisies de manière aléatoire, ce qui limite les possibilités de fraude par utilisation d'enregistrements faits à l'insu du client. De plus, le système est doté d'un algorithme d'apprentissage qui lui permet de s'adapter au vieillissement naturel de la voix. Quand aux personnes souffrant de bégaiement ou d'un défaut de prononciation, ils devront certainement se doter de patience pour accéder à leurs comptes.

Statistiques sur le vol d'identité

Le ministère de la justice américain vient de rendre public un rapport sur l'ampleur des vols d'identité au cours de l'année 2004. Contrairement aux statistiques produites par les études subventionnées par l'industrie informatique ou bancaire, qui auront tendance à sous-estimer ou à sur-estimer cette menace, selon que l'on cherche à rassurer les utilisateurs sur la fiabilité des services en ligne, ou au contraire les sensibiliser à l'achat de logiciels de protection, ce rapport utilise une méthodologie éprouvée en criminologie qui est le sondage de victimisation.

Plutôt que de se baser sur les statistiques policières, qui reflètent moins l'ampleur réelle d'un phénomène criminel que le niveau d'activité de la police face à ce dernier, le sondage de victimisation demande à un échantillon représentatif de la population de répondre à un certain nombre de questions concernant les actes criminels dont il a été victime au cours des douze derniers mois, y compris ceux n'ayant pas fait l'objet d'une déclaration à la police. Ces outils sont jugés plus objectifs, même s'ils ne nous permettent de connaître l'ampleur réelle que des crimes les plus fréquents.

Le rapport sur le vol d'identité fait ainsi apparaître que:
* Près de 3% des foyers ont été victimes d'un tel crime aux États Unis au cours des 6 mois ayant précédé le sondage, soit 3,6 millions de foyers. Le phénomène le plus répandu était l'usage non autorisé d'une carte de crédit existante (1,5%), suivi de l'usage non autorisé d'autres comptes bancaires (0,8%) et de l'utilisation frauduleuse de données personnelles afin d'obtenir des cartes de crédit, des services financiers ou de commettre d'autres crimes (0,5%).
* Les foyers les plus touchés étaient ceux dont le chef de famille était âgé de 18 à 24 ans (4,6% des foyers dans cette tranche d'âge ont été victimisés), et ceux dont le revenu dépassait 75.000$ par an (5,2% des foyers dans cette catégorie ont été victimisés).
* 94% des victimes n'ont connu qu'une seule occurrence de vol d'identité au cours des six derniers mois.
* 30% des victimes ont réalisé qu'elles avaient été exposées à un vol d'identité en consultant leurs relevés bancaires (fonds manquant ou paiements non autorisés), alors que 22,8% ont été contactées par une agence de crédit.
* Les conséquences secondaires de ces vols d'identité incluent des problèmes avec des agences de recouvrement de dettes (34% des victimes), des problèmes bancaires (30,5%) ainsi que des déconnexion de services téléphoniques ou d'autres services essentiels (11,5%). Pour une minorité des victimes, des conséquences plus graves telles que des mises en cause dans des enquêtes criminelles (4,4%) ou des assignations dans des procédures civiles (4,6%) sont signalées.
* Une fois le problème identifié, un tiers des victimes a réglé les problèmes causés par le vol en une journée ou moins, mais 20% des victimes doivent consacrer plus d'un mois à cette tâche.
* La valeur estimée des pertes engendrées par le vol d'identité à partir des chiffres déclarés par les victimes se monte à 3,2 milliards de dollars américains pour l'année 2004.

Pour l'instant, les organisations policières semblent peu actives dans le domaine de la lutte contre cette nouvelle forme de criminalité, laissant les institutions financières et les victimes absorber les coûts qu'elle génère. Des entreprises privées offrent d'ailleurs déjà des assurances spécifiques ou des services de protection contre cette forme de fraude. On imagine cependant mal que devant l'augmentation de celle-ci, l'opinion publique ne se lasse de l'impunité de ceux qui les commettent.

Les terroristes protègent leur vie privée

L'institut SITE vient de mettre en ligne la traduction d'un document circulant sur les sites internet de groupes terroristes affiliés à Al Qaeda mettant en garde leurs membres sur les risques liés à l'interception de leurs communications électroniques et sur les précautions à prendre afin de maintenir la confidentialité de leurs messages. Ce guide recommande l'utilisation systématique d'un serveur proxy (qui ajoute un degré de sécurité supplémentaire aux connexions à internet), met en garde contre la barre d'outils de Google (un petit programme installé sur l'ordinateur de l'utilisateur qui permettrait d'accéder aux informations stockées dans celui-ci à distance), conseille d'utiliser des logiciels de détection et de désinstallation de programmes espions (les spywares), d'éviter d'utiliser les fournisseurs d'adresses de courriel basés en Arabie Saoudite qui sont exposés à un contrôle beaucoup plus drastique que leurs homologues occidentaux, etc...

Dans un article connexe publié aujourd'hui dans le Washington Post, un expert de l'antiterrorisme américain affilié à la Rand Corporation explique comment les groupes terroristes et les services de renseignement se livrent à un jeu du chat et de la souris électronique permanent: en effet, lorsqu'il est apparu aux membres d'Al Qaeda que leurs courriers électroniques faisaient l'objet d'interceptions de la part de la NSA, ils ont modifié leurs stratégies et ont partagé les mots de passe permettant d'accéder aux comptes de courriels facilement créés sur Yahoo, Hotmail ou GMail. Les messages n'étaient ainsi plus échangés d'une adresse à une autre, mais rédigés comme brouillons, puis consultés par les personnes à qui ils étaient destinés sans jamais être expédiés.

Comme on le voit, les terroristes gardent quelques longueurs d'avance sur les parlementaires chargés de voter les lois encadrant les activités des services de sécurité.

La NSA: entre mythe et réalité

Si un service de renseignement personnifie le Big Brother d'Orwell, c'est bien la National Security Agency, qui est chargée aux États Unis de procéder à la collecte d'informations utiles à la protection de la sécurité nationale par des moyens technologiques. Des films (Ennemi d'État ou Les experts) ont même utilisé ses ressources supposément illimitées comme ressort dramatique. Le scandale des écoutes illégales pratiquées avec l'autorisation du Président Bush sans mandat légal, et les récentes révélations d'un ancien employé d'AT&T, la principale compagnie de télécommunications américaine, sur l'accès à son infrastructure que cette dernière offre à la NSA défient également la chronique dans la presse américaine.

Un article extrêmement bien renseigné de James Bamford (qui a publié les deux ouvrages les plus détaillés sur le sujet) dans l'Atlantic Monthly du mois d'avril (accessible en ligne sur abonnement seulement) nous offre quelques précisions sur l'étendue réelle de ses activités et sur l'efficacité des mécanismes de contrôle démocratique auxquels elle est soumise:

* On estime que la NSA emploie plus de 38.000 personnes dans le monde (soit le double de la CIA).
* La NSA intercepte plusieurs dizaines de millions de communications chaque heure.
* Ces interceptions, loin d'être clandestines, sont réalisées avec la pleine coopération des entreprises américaines de télécommunication qui gèrent la majeure partie du trafic mondial de données.
* Entre mai 1979 et la fin 2004, le tribunal secret chargé d'accorder des mandats d'écoute à la NSA a donné satisfaction à cette dernière 18.742 fois, sur un total de 18.746 demandes, soit un taux de refus de 0,02%.
* Les noms des personnes mises sous surveillance par la NSA sont transmis au FBI, à la CIA, au Department of Homeland Security ainsi qu'à des services de renseignement étrangers, mais aucune procédure n'existe pour retirer les noms de cette liste lorsque la surveillance s'est révélée infructueuse.

Vols de clés USB et protection des données

Un article publié aujourd'hui dans le Los Angeles Times illustre à merveille les risques que font peser les clés USB en matière de protection des données confidentielles pour les entreprises ou les services publics. Ces outils très pratiques de stockage et de transfert des fichiers informatiques sont devenus omniprésents, en raison de leur prix extrêmement abordable et de leur taille réduite, qui occupe rarement plus d'espace qu'un paquet de chewing-gum. Certaines d'entre elles disposent d'une capacité de 2 Go (Giga-octets), suffisamment pour y enregistrer des milliers de documents, incluant des vidéos et des photos. Mais tous ces avantages constituent également de sérieux inconvénients du point de vue de la protection de l'intégrité des données, comme l'illustre à merveille la trouvaille sur journaliste du LAT sur le marché de Bagram.

À quelques centaines de mètres de l'une des plus importantes bases militaires américaines en Afghanistan, celui-ci a en effet pu se procurer des clés USB dérobées à l'intérieur de la base qui contenaient des informations hautement confidentielles comme une liste de militants Talibans à capturer ou à éliminer, une liste de politiciens afghans corrompus à écarter de leurs responsabilités actuelles, des données personnelles sur plusieurs centaines de soldats permettant de commettre des vols d'identité, ou encore des présentations Powerpoint portant sur l'efficacité des opérations militaires américaines et la duplicité des services de sécurité pakistanais... Selon le journaliste, ces clés auraient été volées par les employés afghans chargés du ménage des installations militaires américaines, mais d'autres auraient été délibérément vendues par des soldats américains dans le but d'améliorer leur solde.

Comme le rappelle Buce Schneier dans Wired, la miniaturisation des équipements informatiques et de télécommunication (Blackberry, clés USB, IPods, ordinateurs ultra-portables...) va constituer un véritable casse-tête pour les responsables de la sécurité des grandes organisations chargés de protéger le capital intellectuel ou informationnel de ces dernières... et une manne pour les entreprises qui opèrent dans le champ parfois trouble de l'intelligence économique.

Les drones recrutés par la police

Le Bureau du Sheriff de Los Angeles se lance dans l'expérimentation d'un drone pour des missions de sauvetage et de poursuite à pied en milieu urbain. Ce véhicule aérien sans équipage pèse un peu moins de deux kilos et vole à une altitude de 80 mètres, ce qui le rend pratiquement invisible et inaudible. Il est équipé d'un système de positionnement par satellite (GPS) et de caméras vidéo numériques qui relaient leurs images au sol par le biais d'un émetteur sans fil à des opérateurs qui peuvent le piloter à distance.

Il coûte 30.000 US$, ce qui représente une nette économie par comparaison avec un hélicoptère, dont le coût d'achat avoisine les 2 millions de dollars, et dont chaque heure de vol peut entraîner des frais dépassant les 2.000 US$. Par ailleurs, il peut être utilisé dans des situations dangereuses sans que la vie de policiers soit menacée. L'armée américaine étudie également l'utilisation de drones en milieu urbain, mais les nombreux obstacles qui parsèment l'environnement architectural rendent celle-ci beaucoup plus complexe que sur un champ de bataille traditionnel. Par ailleurs, les drones policiers devront certainement partager l'espace aérien avec des aéronefs civils, et être par conséquent dôtés de systèmes de sécurité beaucoup plus sophistiqués que ceux existant.

La multibiométrie

La biométrie est en train de devenir la nouvelle référence en matière de vérification de l'identité personnelle, en établissant cette dernière à partir des caractéristiques physiques d'un individu plutôt que des papiers (carte d'identité, passeport) qu'il a en sa possession. Pourtant, malgré les affirmations des frabriquants d'équipements biométriques, la fiabilité des solutions existantes est loin être suffisamment robuste pour justifier un déploiement généralisé.

Les empreintes digitales sont en effet faciles à reproduire, soit naturellement en sectionnant les doigts des personnes dont on cherche à usurper l'identité, soit en reproduisant les empreintes à l'aide d'un doigt artificiel fabriqué à l'aide de gélatine et de silicone (voir à cet effet la communication de Tsutomo Matsumoto, chercheur à l'Université de Yokohama). La reconnaissance faciale en deux dimensions (largeur et hauteur du visage) souffre d'imprécision en cas d'éclairage défaillant, et peut difficilement différencier les postiches (lunettes, fausses moustaches, perruques...) des attributs naturels d'un visage.

Le chercheur de l'Université du Michigan Anil K. Jain propose dans ce contexte de généraliser le concept de multibiométrie, qui s'appuie sur une combinaison de plusieurs méthodes afin d'augmenter le taux d'identification formel et de réduire à moins de 1% le taux d'erreur.
Jain utilise principalement trois sources d'informations: la biométrie "douce" qui travaille à partir de critères ne permettant pas d'établir l'identité d'une personne, mais de préciser celle-ci en cas de doute. On fait allusion ici à des caractéristiques telles que la taille, le poids, le genre, la couleur des yeux ou des cheveux. En deuxième lieu, on procède à une reconnaissance faciale en 3 dimensions en ajoutant la profondeur, qui rend toute tentative de déguisement plus facilement décelable. Enfin, on ne se limite pas aux empreintes digitales, mais on combine celles-ci avec une analyse des dimensions de la main (la communication complète et technique d'Anil Jain peut être téléchargée ici). D'autres applications pourraient également inclure la reconnaissance vocale.

Mickey se met au GPS

L'entreprise Disney lancera dans quelques jours aux États-Unis un service de téléphone portable destiné aux enfants et aux adolescents. Les parents auront le loisir de fixer une limite aux appels passés par leurs chérubins en définissant des plages horaires pendant lesquelles tout appel sera impossible (pendant les heures d'école par exemple) ou en établissant une limite mensuelle de dépenses qui ne pourra être dépassée qu'après l'approbation d'un parent. Une autre fonctionnalité offerte aux parents désireux de contrôler les allées et venues de leur progéniture: la localisation par satellite, à l'aide d'un GPS inséré dans le téléphone qui permettra de situer en temps réel sur une carte accessible sur Internet la position des enfants équipés d'un tel mouchard. Conseillons peut-être à Minnie d'offrir un tel objet à Mickey afin de s'assurer de la fidélité de ce dernier!

La recherche sur les armes électromagnétiques

Le blog Defense Tech a publié il y a quelques semaines une note faisant le point sur les recherches de l'armée américaine portant sur les armes moins létales, c'est-à-dire des armes qui en théorie ne mettent pas en danger la vie de ceux contre qui elles sont dirigées. Ces armes sont principalement développées afin d'être utilisées dans des environnements urbains où il est difficile de différencier les combattants des civils. On évoque également leur usage dans les opérations de maintien de l'ordre et le marché pour ces équipements concerne aussi bien les forces armées que les services de police.

Deux technologies semblent actuellement intéresser la Marine américaine: les armes qui émettent des micro-ondes et les lasers. Ces deux armes produisent des rayonnements pouvant être dirigés vers des individus chez qui elles vont provoquer de vives sensations de douleur, assimilées par le cerveau à des brûlures. Les rayons n'endommagent pas l'épiderme à proprement parler, mais activent les terminaisons nerveuses chargées de transmettre au cerveau des informations telles que la chaleur, la pression, le froid... Les chercheurs affirment même que des sensations visuelles, orlfactives ou sonores désagréables pourraient être stimulées par l'intermédiaire de ces rayonnements, dans le but de désorienter ou de paralyser la personne visée.

Ce type de recherches pose évidemment de nombreux problèmes éthiques: Tout d'abord, les recherches préliminaires restent muettes sur les séquelles à long terme pouvant résulter d'une exposition à ces armes. Si des séquelles physiques semblent peu probables, les dommages potentiels permanents causés au système nerveux et les traumatismes psychologiques qu'ils pourraient entraîner sont méconnus. Certains chercheurs dont les travaux sur la douleur sont utilisés pour développer ces armes s'élèvent également contre la dénaturation de ceux-ci. Enfin, de telles armes constitueraient un outil de torture idéal, ne laissant aucune trace sur le corps mais pouvant entraîner une souffrance insupportable.

Les dangers des espaces de bureaux ouverts

Dans un rapport récemment rendu public par le MI5, équivalent anglais de la DST française, du SCRS canadien ou du FBI américain, les espaces de bureaux ouverts (ou open space en bon français) sont signalés comme particulièrement vulnérables en cas d'attaque à la bombe. Ces espaces de travail sont privilégiés par les entreprises en raison des meilleures conditions de communication qu'ils favorisent entre les employés, de la coopération et de l'esprit d'équipe qu'ils aident à créer.

Toutefois, le MI5 souligne que l'absence de cloisons accroit les risques de blessures associées au souffle et aux fragments générés par des explosions, en supprimant des obstacles protecteurs. Par ailleurs, les aires ouvertes font disparaître les couloirs que l'on retrouve dans des bâtiments plus traditionnels, et qui servent en cas d'urgence d'itinéraire d'évacuation naturel ou d'abri temporaire. Voilà donc un argument de taille pour obtenir ce bureau que vous convoitez tant!

Ce rapport, distribué aux entreprises anglaises, a pour objectif d'aider celles-ci à évaluer leurs risques, à élaborer leur stratégie de continuité des affaires et le plan pratique qui l'accompagne.