28 juin 2006

Rétention des données Internet au Canada

Les deux grand quotidiens canadiens La Presse et le Globe and Mail viennent de révéler que le gouvernement Harper se préparerait à introduire à l'automne une nouvelle version d'un projet de loi portant sur la modernisation des techniques d'enquête. Les dispositions de ce projet de loi obligeraient notamment les fournisseurs d'accès à Internet à conserver pour plusieurs mois, voire plusieurs années, les données de connexion de leurs abonnés ou de leurs usagers afin de faciliter des enquêtes ultérieures contre la pornographie enfantine ou le terrorisme. Outre la question du coût de telles pratiques, qui serait certainement partagé entre les abonnés et les organisations policières (les abonnés pour le stockage des données, et les services de police pour leur extraction), on peut se poser la question des pratiques déjà en cours dans ce domaine.

Si l'on en croit les récents scandales ayant éclaté ces derniers jours aux États-Unis autour de la mise à la disposition des services de renseignement de données personnelles par les compagnies de téléphone (AT&T) et les institutions financières (SWIFT) sur une base volontaire, les organisations policières n'attendent pas toujours qu'une loi soit votée pour accéder aux données du secteur privé à l'insu des clients. Les entreprises privées résistent en général rarement aux pressions plus ou moins subtiles des services de sécurité, soit pour des raisons patriotiques ou d'aide à la justice, soit en espérant instaurer des liens de confiance pouvant s'avérer utiles dans un futur proche. La question est alors de savoir dans quelle mesure les FAI canadiens collaborent déjà avec les organisations policières, quelles données sont transmises, dans quel cadre juridique (de nombreuses procédures régulières reposant sur un mandat en bonne et due forme servent toujours de base à ces coopérations), et pour quels résultats? Espérons que les débats qui entoureront le vote de la loi et la perspicacité des journalistes canadiens permettront d'apporter un éclairage local à des questionnements qui restent encore largement cantonnés à la situation étatsunienne.

24 juin 2006

La meilleure arme pour protéger votre vie privée? la discrétion.

Les annonces successives des programmes de datamining des services de renseignement américains (et n'en doutons pas les équivalents mis en oeuvre par leurs homologues canadiens et européens) nous font parfois oublier que la défense de notre vie privée passe d'abord par le contrôle des informations que nous mettons nous-même en ligne. Un article du New Scientist du début du mois de juin mentionne les recherches financées par la NSA sur l'exploitation des informations contenues dans les blogs personnels ou les pages créées sur les sites de réseaux sociaux comme MySpace, Xanga ou Facebook. Ces services qui comptent plus de 100 millions de membres dans le monde permettent aux auteurs de blogs de reconstituer en ligne des groupes d'amis virtuels ou réels en fonction des intérêts ou de leur situation géographique. Beaucoup de ces pages tendent à livrer des informations très personnelles sur ceux qui les mettent en ligne et sur leurs amis. Des colonies de vacances ont d'ailleurs interdit cet été à leurs jeunes participants d'utiliser leur page personnelle sur ces sites pour mettre en ligne des photos ou des commentaires sur les gentils animateurs ou d'autres "colons" devant les risques d'abus potentiels et de diffamation (dans un pays où les procès sont élevés au rang de sport national).

L'article du New Scientist évoque le potentiel de ces pages personnelles pour compléter les données acquises par les services de renseignement sur un même individu auprès des institutions financières, des compagnies de télécommunication ou des compagnies aériennes. Les informations volontairement rendues publiques par les internautes seraient alors utilisées pour identifier ceux qui auraient des projets terroristes ou criminels, ainsi que leurs cercles d'amis plus ou moins proches. Les profils des terroristes qui ont commis les attentats dans le métro de Londres ou ceux des 17 suspects arrêtés à Toronto au début du mois de juin, des jeunes nés et éduqués en Occident, et ayant glané beaucoup d'informations sur Internet, laisse penser que cette approche n'est pas aussi futile qu'on pourrait l'imaginer de prime abord.

Cependant, dans une société où les traces électroniques que nous laissons derrière nous deviennent virtuellement éternelles et accessibles à tous, une certaine réserve dans les informations que nous choisirons de divulguer publiquement sera l'un des meilleurs moyens de protéger une vie privée en miettes.

23 juin 2006

Le secret bancaire écorné par la lutte anti-terroriste

Continuant ses révélations sur les programmes secrets de datamining mis en oeuvre à la suite des attentats du 11 septembre, le New York Times détaille aujourd'hui dans ses colonnes comment la CIA et le département du Trésor américains ont accès depuis 2001 aux transactions bancaires internationales de milliers d'individus (citoyens américains et autres) transitant par le système SWIFT. Cette coopérative bancaire qui est constituée de plus de 3.000 institutions financières situées dans 200 pays permet aux individus et aux entreprises de transférer de l'argent d'un compte à un autre. SWIFT traite en moyenne 11 millions de transactions financières quotidiennes.

Le long article du NYT explique comment l'idée d'exploiter cette base de données gigantesque a été suggérée au gouvernement américain par des membres de la communauté bancaire, qui avaient perdu un nombre élevé de leurs collègues dans les attentats. Après avoir écarté l'idée que la CIA pirate les ordinateurs de SWIFT, un accord secret fut conclu avec la coopérative, qui laissa libre accès à ses informations. Lors des premiers mois, toutes les informations contenues furent analysées, comme par exemple l'ensemble des transactions en provenance de l'Arabie Saoudite, d'où provenait la majorité des terroristes. Devant les risques d'abus et le besoin de mieux cibler les recherches, des procédures plus rigoureuses d'audit furent ensuite mises en place. À l'heure actuelle, un représentant de SWIFT assiste à toutes les recherches, et une entreprises d'audit vérifie à posteriori le bien fondé des informations consultées. L'article ne rapporte qu'une vingtaine de cas dans lesquels ces données auraient permis d'identifier des cellules terroristes ou des attaques en préparation.

Bien sûr, le cadre légal dans lequel se déroule ce programme est sujet à des interprétations contradictoires: le gouvernement américain, qui n'utilise pas de mandats de perquisition ou d'interception, est tout à fait conscient qu'il respecte la lettre d'une loi contradictoire sans véritablement se conformer à son esprit. La coopérative SWIFT, basée en Belgique, devra certainement s'expliquer à ses clients de l'accord donné à un gouvernement de consulter certaines données sensibles, et d'une éventuelle entorse au devoir de confidentialité. Quand aux terroristes, ils éviteront dorénavant les transferts bancaires traditionnels. L'article mentionne par ailleurs d'autres programmes de recueil de renseignements financiers clandestins, visant notamment les distributeurs de billets et les virements de la société Western Union.

21 juin 2006

Prévention de la criminalité par courriel

La police de la ville de Boston vient de se doter d'un système d'alerte des citoyens par courriel (email en bon français) afin de solliciter leur aide dans l'identification et la localisation de délinquants. Cet outil, déjà utilisé par plus de 300 communautés aux États Unis, s'appuie sur la technologie du site Citizen Observer pour disséminer par courriel auprès de citoyens abonnés des informations spécifiques sur des crimes venant d'être commis dans leur voisinage. Dans le cas d'un vol de véhicule, la couleur, le modèle et le numéro d'immatriculation seront ainsi rendus public, afin que les "observateurs citoyens" puissent garder un oeil ouvert et alerter la police s'ils viennent à croiser sa route. Il s'agit donc d'une plateforme de communication bi-directionnelle permettant à la police d'accroître considérablement ses sources d'information.

De l'aveu même de ses utilisateurs, les succés restent cependant rares, et les appels générés créent plus de travail pour la police qu'un traitement traditionnel ne le ferait: un policier de la ville de Cincinnati interrogé par Technology Review doit ainsi admettre que pour 300 alertes lancées au cours des dernières années, seulement une douzaine ont permis l'arrestation de suspects, mais que chaque alerte génère environ une centaine d'appels de la population. En terme de sentiment de sécurité, qui constitue la dimension subjective de la criminalité, les avantages de ce système sont également difficiles à évaluer. Le sentiment de se réapproprier les activités de prévention et de lutte contre la criminalité peut sans nul doute rassurer certains citoyens, mais d'autres seront négativement affectés par le rappel constant de la dangerosité de leur voisinage que les courriels en provenance de la police éveilleront.

19 juin 2006

Lutter contre les vols d'ordinateurs portables

La publication du MIT Technology Review nous offre aujourd'hui un panorama assez complet des technologies disponibles afin de localiser des ordinateurs portables volés et protéger les informations confidentielles qu'ils contiennent des regards trop curieux:

  • La première catégorie d'outils comprend les logiciels de localisation qui établissent de manière automatique une communication entre l'ordinateur portable volé et les serveurs d'une entreprise selon une fréquence pouvant varier d'une fois par jour à toutes les 15 minutes. Cette connection peut s'effectuer d'autant plus facilement que la prolifération des points d'accès Wi-Fi facilite considérablement la chose. Les paramètres de connection permettent souvent de localiser la machine et d'envoyer la police la récupérer. Cependant, si une telle solution se généralise, les organisations policières seront bientôt amenées à facturer leur déplacement, en supplément de l'abonnement. La société canadienne Absolute Software offre un tel service.
  • La société Cyber Angel met en oeuvre un logiciel de cryptage qui protège une partie du disque dur désigné de l'ordinateur si celui-ci est mis en marche sans que le bon mot de passe ne soit utilisé. L'ordinateur reste fonctionnel, mais les informations sensibles qu'il contient sont inaccessibles au voleur.
  • La dernière solution, et aussi la plus drastique, est une pilule empoisonnée: le logiciel détruira alors toutes les informations sensibles lorsqu'un ordinateur volé sera signalé. la société Beachhead Solutions propose cette option aux entreprises et aux services publics qui ne souhaitent éviter à tous prix que des informations sensibles tombent entre les mains de la concurrence ou de pays hostiles.
Avec la multiplication des téléphones-assistants personnels qui peuvent stocker des quantités importantes de documents, on assistera à n'en pas douter à une extension de ces solutions à des équipements informatiques de plus en plus miniaturisés.

Le Japon sous-traite certaines fonctions policières au secteur privé

La police japonaise vient de se lancer dans un programme de sous-traitance des constats d'infraction aux règles de stationnement, afin de désengorger les artères des grandes villes et de remplir les caisses de l'État. Un article du Monde nous apprend qu'à Tokyo, 264 commissariats ont confié cette tâche ingrate à 74 entreprises privées. La police Tokyoite avait en effet bien du mal à verbaliser les mauvais chauffeurs, puisqu'on estime qu'elle n'émettait de contraventions qu'à 0.1% des infracteurs potentiels. Les agences de sécurité privée, qui sont rémunérées au rendement, sauront certainement améliorer ce piètre résultat. Si comme le souligne le journaliste du Monde, ce zèle répressif aura certainement un résultat immédiat sur la fluidité du traffic automobile, l'image de la police risque de s'en trouver quelque peu ternie: en effet, le pouvoir discrétionnaire des policiers leur permet de cultiver de bonnes relations avec la population, et de susciter une meilleure collaboration lorsque cela est nécessaire. D'autre part, en sous-traitant à des entreprises privées cette tâche peu valorisée parmi les policiers en uniforme, la police se prive de renseignements criminels intéressants: en effet, une étude criminologique anglaise a démontré qu'une proportion importante de voitures mal stationnées (en particulier sur les emplacements réservés aux handicappés) étaient conduites par des personnes recherchées par la police pour des affaires plus graves. Cette tendance à la sous-traitance n'est pas réservée au Japon, puisque des municipalités anglaises, australiennes et canadiennes y ont également recours.

17 juin 2006

Poursuites judiciaires contre un fabricant d'équipement de vidéosurveillance

La pratique de certains parents américains, qui placent des caméras vidéo cachées à leur domicile afin de surveiller les baby-sitters pendant leur absence sera bientôt testée devant un tribunal à la suite d'une plainte déposée par une "nanny" espionnée à son insu. Les parents inquiets se servent de ce stratagème afin de détecter de possibles abus de violence à l'égard de leur progéniture, et des caméras miniaturisées sont d'habitude placées dans des magnétoscopes ou des ours en peluche. En octobre 2003, une gardienne d'enfant fut accusée publiquement d'avoir brutalement secoué un enfant de cinq mois placé sous sa responsabilité, et les images furent diffusées par de nombreux médias télévisés aux États Unis. À la suite de ces accusations, elle passa plus de deux ans en prison en détention préventive. Récemment, les procureurs chargés de monter le dossier d'accusation contre elle ont laissé tomber toutes les charges, réalisant que les images étaient filmées à intervalles de plusieurs secondes et non en continu, ce qui accentuait l'impression de violence. Par ailleurs, des examens médicaux avaient démontré l'absence de blessures de l'enfant. La babysitter injustement accusée vient de porter plainte contre la société Tyco Fire & Security, une multinationale de 90.000 employés au chiffre d'affaire annuel de 11.5 milliards de dollars, qui sera certainement beaucoup plus solvable en cas de victoire que la famille l'ayant faussement accusée. La résistance contre les technologies de surveillance est un sujet encore trop peu étudié, malgré l'organisation de plus en plus systématique des défenseurs des libertés individuelles et leur travail de sensibilisation dirigé vers la population.

16 juin 2006

Datamining et sécurité: une perte de temps?

Le Washington Post fait le point dans son édition d'hier sur les initiatives de datamining en lien avec la lutte antiterroriste aux États Unis, et sur les résultats peu probants qui en découlent. La pratique du datamining, importée du monde du marketing direct, permet aux agences de renseignement et de sécurité d'accéder à des données personnelles qu'elles mêmes n'ont pas le droit de collecter. Ces données permettraient d'identifier des individus dont le parcours individuel ou les habitudes de consommation laissent penser qu'ils pourraient être suspects d'intentions malveillantes.

En 2005, le gouvernement américain a dépensé au moins 30 millions de dollars après de compagnies privées pour avoir accès à des données personnelles, et 91% de ces dépenses découlaient de mission de police ou de sécurité nationale. Quelques exemples peuvent aider à mieux comprendre l'usage qui est fait de cette technique: le ministère de l'éducation compare les listes d'étudiants avec celles du FBI afin de localiser certaines personnes recherchées, le ministère de la défense utilise des données publiques afin d'identifier des terroristes et des citoyens US connectés à de suspectés terroristes sur le sol américain, la Navy utilise des données de transport des marchandises maritimes pour détecter de potentielles cargaisons contenant des armes de destruction massive à destination des États Unis...

Si ce type d'outil informatique peut se permettre d'envoyer quelques milliers de dépliants publicitaires à des clients peu intéressés par les produits vantés sans causer des dommages irréparables à qui que ce soit, la situation est bien différente en matière de lutte contre le terrorisme. L'expérience menée par le ministère des transports qui visait à mettre en place un logiciel capable de prédire la dangerosité potentielle des passagers aériens à partir de données de sources variées (CAPPSII) et qui a coûté plus de 200 millions de dollars en frais de développement a d'ailleurs du être abandonnée en raison du trop grand nombre d'erreurs générées par le système, qui devenait contre-productif, distrayant les opérateurs qui ne pouvaient plus discerner les individus réellement dangereux. Pour quelle raison alors les services de sécurité américains s'obstinent-ils à utiliser de tels outils?

La réponse réside peut-être en partie dans la fausse impression de profusion des pistes potentielles qu'ils procurent, en l'absence d'autres formes de renseignements plus riches comme le renseignement humain (les informateurs), abandonné depuis de nombreuses années par les services américains au profit du tout technologique. Le laxisme des lois américaines sur la protection des données privées et l'agressivité des vendeurs de bases de données commerciales expliquent aussi en partie cette séduction exercée par le datamining. Le contrôle plus strict exercé dans de nombreux autres pays occidentaux fonctionnerait alors comme une sorte d'antidote à une pensée magique qui voudrait que l'on puisse localiser des terroristes, non plus en lisant dans le marc de café mais dans des océans de factures de cartes de crédit.

13 juin 2006

Traces virtuelles éternelles

Les changements d'habitudes liés à la place de plus en plus importante que l'Internet prend dans chaque facette de notre vie quotidienne produisent des effets non anticipés relatifs aux traces que chacune de nos transactions en ligne produisent. Contrairement aux interactions personnelles ou aux documents-papier éphémères, les traces électroniques que nous laissons sur Internet ont une durée de vie éternelle, et peuvent souvent venir nous hanter lorsque le contexte dans lesquelles nous les avons disséminées s'est radicalement modifié. Un article du International Herald Tribune cite ainsi quelques exemples de criminels ou de fraudeurs ayant été identifiés par leur victime à l'aide de photos prises par eux-mêmes et mises en lignes sur Internet ou acessibles sur les serveurs de fournisseurs de services de télécommunication mobile. Un article du New York Times signalait de la même façon il y a quelques jours la lente prise de conscience par les détenteurs de blogs et de pages personnelles sur les sites de réseautage social (comme Facebook) que certaines des photos et des informations qu'ils y publient peuvent constituer un obstacle pour une future recherche d'emploi. En effet, de nombreux jeunes adultes transposent sur internet à l'intention de leur cercle d'amis des comportements et des propos pouvant ne pas être jugés comme appropriés dans le cadre d'un emploi salarié. Cherchant à contrôler chaque aspect de leur image, les entreprises ne verront pas nécessairement d'un oeil très favorable des individus qui s'affichent ouvertement en train de boire des quantités excessives d'alcool, de consommer des produits stupéfiants ou de comptabiliser leurs exploits sexuels.

Ces nouvelles attitudes vis-à-vis de notre double virtuel et des précautions à prendre afin de protéger notre vie privée viennent renforcer le besoin d'adapter notre compréhension de l'identité personnelle, de sa fragmentation et de la transparence plus ou moins consentie qui y est associée dans les sociétés contemporaines.

10 juin 2006

Le côté ludique de la surveillance


La société Spygear (attention, site internet très gourmand en bande passante), spécialisée dans les jouets ayant pour thème le monde de l'espionnage et du renseignement, vient de mettre sur le marché une voiture radio-commandée équipée d'une caméra vidéo à infra-rouge. La voiture espion sera disponible à la période de Noël et sera vendue aux USA pour environ 120$. Ce type de jouet vient compléter une offre très complète de micro cachés, de lasers détecteurs de mouvements et autres gadgets destinés aux enfants désirant émuler leurs aînés de la CIA ou de la NSA.

S'il serait un peu excessif de voir dans le développement de tels jouets le signe d'une érosion des libertés individuelles et une certaine désensibilisation de la société nord-américaine vis-à-vis de la surveillance routinière qui empiète sur la vie privée des citoyens, on peut néanmoins se questionner sur la présentation ludique qui est faite ici d'une activité de contrôle de son prochain. Les petits américains n'ont d'ailleurs pas le monopole de cette tendance, puisque les petits français peuvent se familiariser à la Cité des Sciences et de l'Industrie de la Villette avec les subtilités de la biométrie, dans une exposition généreusement financée par Sagem Morpho, le plus grand fabricant mondial du domaine qui équipe la grande majorité des services de police.

Cette exposition, que j'ai visitée il y a quelques semaines, propose aux visiteurs d'enregistrer leurs propres caractéristiques biométriques (qui seront effacées en fin de journée), et de découvrir l'histoire de cette science de l'identification par les traits physiques de chaque individu. Plusieurs kiosques leurs permettent enfin de tester les dernières techniques disponibles en ce domaine, tout en s'amusant. La partie concernant l'éthique est bien moins attractive, puisque le degré d'interactivité y est réduit à sa plus simple expression, qui est celle de lire des capsules sur les projets d'utilisation de la biométrie acceptés et refusés par la CNIL (Commission Nationale Informatique et Libertés). Là aussi, on ne peut qu'être frappé par la douce acclimatation qui est proposée aux plus jeunes d'un monde où le fait de se soumettre à des contrôles de plus en plus intrusifs devient un jeu dont les conséquences négatives sont soigneusement occultées.

03 juin 2006

Votre patron lit probablement vos emails

Le site Wired rapporte aujourd'hui les résultats d'un sondage mené auprès de 406 entreprises américaines et britanniques de plus de 1000 employés, qui nous apprend que 38% d'entre elles font lire ou analyser les courriels expédiés par leur personnel. Dans les entreprises de plus de 20.000 employés, ce pourcentage monte à 44%. Cette politique de surveillance des courriels ne fait bien sûr pas l'objet d'une grande publicité auprès des employés concernés. La même étude fait ressortir qu'un tiers des entreprises américaines sondées ont licencié au moins un employé pour des raisons liées à des violations de leur politique d'usage du courrier électronique. Par ailleurs, ce durcissement des attitudes vis-à-vis de cet outil de la part des entreprises semble attribuable au fait que le contenu de 20% des courriels envoyés pose des problèmes d'ordre légal, financier ou régulatoire.

02 juin 2006

La foire internationale de la surveillance

Un journaliste de Wired.news a réussi à infiltrer une conférence professionnelle de fabricants et d'acheteurs d'équipements de surveillance électronique. La ISS World conference, qui se tenait à Washington du 22 au 24 mai 2006 réunissait des agences de renseignement, des opérateurs de télécommunication et des entreprises de technologie du monde entier afin de discuter de l'état des législations nationales en matière d'interceptions légales et de signer des contrats portant sur des logiciels ou des outils de nouvelle génération.

Thomas Greene, dans son article, évoque avec beaucoup d'humour les efforts faits pour empêcher les journalistes d'assister à la conférence, et les stratégies qu'il a du mettre en oeuvre pour contourner cette interdiction. Après avoir tenté une approche frontale, il a du se rabattre sur le bar de l'hôtel où se tenait la conférence, et où l'alcool aidant, les soi-disants secrets étaient partagés avec beaucoup plus de détails. Outre la faible préoccupation des vendeurs pour l'utilisation qui peut être faite de leur matériel dans les pays autoritaires, une discussion rapportée avec un policier néerlandais illustre à merveille la futilité de préserver un secret excessif sur ce genre de pratiques: en effet, son évaluation de la situation néerlandaise plaçait ce pays deux ou trois ans en avance sur la situation en vigueur aux USA quant aux avancées technologiques, malgré une législation soumettant les services de police et de renseignement à des contrôles beaucoup plus rigoureux. En clair, des systèmes d'imputabilité démocratique appliqués à la lettre ne constituent en rien une barrière au développement de technologies de surveillance avancées et à leur utilisation légale, contrairement à l'argument développé par l'administration Bush Jr.

L'auteur de cet article, qui a finalement pu se procurer le contenu des présentations qui étaient interdites de distribution à la presse a évalué qu'il n'y avait rien là qui ne soit déjà connu des technologues avertis. Il avance même l'hypothèse que ce parfum de secret était avant tout un argument commercial destiné à convaincre les participants potentiels à cette conférence de débourser les 6500$ de frais d'inscriptions demandés.

Pendant ce temps, la contre-surveillance fait aussi des progrès, mais de manière beaucoup plus ouverte: Phil Zimmermann, l'inventeur du logiciel de cryptage PGP, vient de lancer le logiciel de cryptage des conversations téléphoniques en ligne (voix sur réseau IP) Zfone. Ce logiciel rend impossible toute interception de conversation utilisant Internet comme support, en cryptant les données directement chez l'émetteur et le récepteur de la communication, ce qui permet de court-circuiter les serveurs informatiques, qui ont en général l'obligation de conférer un accés aux services de sécurité qui en font la demande. Les dirigeants de la NSA vont certainement s'arracher les cheveux.