La Sécurisphère

Nouveau blogue

2007-10-24T22:58:00.001-02:30

La Sécurisphère cède sa place au blogue sur la cybercriminalité et le vol d'identité, qui sera intégré au site de la Chaire de recherche en sécurité, identité et technologie. Ce nouveau blogue explorera les formes de crimes associés à l'usage déviant de l'Internet et des nouvelles technologies, et en particulier le vol d'identité, ainsi que leurs conséquences sociales, organisationnelles et légales. Il essaiera de décrypter les informations teintées de motivations mercantiles qui sont fréquemment diffusées par des cabinets de consultants ou des entreprises de sécurité informatique.

Les contenus de la Sécurisphère ne seront plus mis à jour, mais resteront disponibles en ligne.

Surveillance omniprésente

2007-09-26T15:12:00.000-02:30

Quelques brèves qui nous laissent entrevoir le futur peu rassurant de la surveillance:

Le Pentagone va tester l'utilisation de ses drones pour surveiller les zones maritimes où la piraterie représente un problème pour le commerce international, et notamment dans le Détroit de Malacca;
Pendant ce temps, l'agence de recherche du ministère de la défense US (la DARPA) vient d'accorder des subventions à plusieurs laboratoires pour concevoir de mini-caméras de surveillance pouvant être dispersées dans un environnement urbain en utilisant des armes à feu qui les tireraient comme des projectiles normaux. Le concept est de disperser et de mettre en réseaux plusieurs centaines de caméras peu onéreuses plutôt que de s'appuyer sur des caméras de surveillance fixes manquant de flexibilité;
Enfin, l'Université d'Arizona est en train de développer un logiciel qui permettrait d'identifier un internaute à partir de son style d'écriture, et de suivre à la trace l'ensemble de ses contributions faites sur Internet, aussi nombreux soient les pseudonymes qu'il (ou elle) utilise. L'objectif avoué est de détecter des terroristes à partir de leurs contributions sur les sites Internet jihadistes, mais on peut évidemment entrevoir toute une série d'applications bien plus larges.

Doit-on empêcher la recherche de mots "dangereux" sur Internet?

2007-09-10T23:12:00.000-02:30

C'est en tout cas la solution que semble proposer le Commissaire européen à la justice et à la sécurité dans un entretien accordé à l'agence Reuters. Celui-ci a en effet déclaré:

"J'ai la ferme intention d'entreprendre une étude avec le secteur privé (...) sur les moyens technologiques d'empêcher des gens d'utiliser et de chercher des mots dangereux comme 'bombe', 'tuer', 'génocide' ou 'terrorisme"

Ça risque peut-être de rendre le travail des historiens des divers génocides qui ont ensanglanté l'histoire de l'humanité plus difficile, de même que celui des divers organismes chargés de diffuser des informations scientifiques sur le phénomène terroriste. L'intention est louable, mais la proposition de mise en oeuvre sent pas mal la censure à peine déguisée. Il est évident que l'on retrouve sur Internet bien des informations qui peuvent être utilisées de façon nuisible, mais n'est-ce pas le propre de tout savoir d'être intrinsèquement ambigu, et par conséquent difficilement contrôlable par des machines ou des logiciels, au risque de perdre énormément du contexte dans lequel il est produit? Les mots clés qui arrivent en tête du classement des termes de recherche utilisés par les internautes qui consultent ce blog sont dans l'ordre:

1) crochetage (de serrure)
2) clonage de carte de crédit
3) clonage de carte de débit

Pourtant, il s'agit d'un blog sur la sécurité sous ses divers aspects, et non d'une académie du crime. Dans le monde idéal envisagé par Monsieur Frattini, il serait certainement interdit.

DCS 3000 et Red Hook

2007-09-01T10:57:00.000-02:30

Ces noms de code désignent les systèmes de surveillance téléphonique mis en place par le FBI au cours des dix dernières années, au coût de 10 millions de dollars. Dans un article très documenté, le site Wired explique dans le détail les capacités d'interception des communications en temps réel utilisées par le FBI. Ce tour de force (faire la lumière sur un tel programme) est possible grâce aux lois américaines sur l'accès à l'information, qui ont permis à des associations de protection des droits individuels et de la vie privée d'obtenir des documents de travail émanant des services du FBI chargés de développer ces outils de surveillance.

Ces systèmes d'écoute sont capables d'intercepter des communications téléphoniques filaires, mobiles, ainsi que les messages texte (SMS). Pour pouvoir être activé en temps réel, un tel outil nécessite d'accéder directement aux standards téléphoniques des grandes compagnies de télécommunication américaines, en vertu de la loi CALEA (votée sous l'administration Clinton). Les conversations peuvent être relayées à n'importe quel bureau du FBI ou directement sur le terrain aux équipes de surveillance physique, et la localisation des téléphones cellulaires servant à passer les appels est également disponible immédiatement.

Parmi les documents mis en ligne, l'un d'eux fait mention de déplacements à Ottawa pour faire la démonstration du système aux alliés canadiens (p. 33), et révèle l'existence d'un groupe de travail nord-américain (NAWG) dont le logo comprend le blason du Service Canadien du Renseignement de Sécurité (p. 111). Il se pourrait donc que le Canada soit équipé de la même technologie.

Des boîtes noires dans les voitures de police belges

2007-08-27T19:20:00.000-02:30

Une dépêche parue dans Le Vif nous apprend que les voitures de police belges seront progressivement équipées d'une boîte noire appelée "Fleetlogger" (en bon français!). Cet outil permettra d'identifier les chauffeurs de chaque véhicule à l'aide d'un badge personnalisé, et de récupérer les paramètres de conduite en cas d'accident ou de poursuite automobile non justifiée. Les données enregistrées comprennent notamment la vitesse du véhicule, les freinages, l'utilisation des signaux visuels (girophares ou lumières bleues) et sonores (sirènes), ou encore les distances parcourues.

S'il est utilisé à son plein potentiel par les gestionnaires policiers et les responsables des affaires internes, un tel outil pourrait constituer un puissant moyen de contrôle des pratiques policières de poursuites rapides, qui sont à l'origine de nombreux accidents et mettent souvent inutilement en danger la vie des personnes poursuivies, des policiers et des autres usagers de la route. Qui plus est, cette technologie pose un dilemme éthique intéressant aux défenseurs des libertés individuelles qui s'opposent systématiquement à toute forme de surveillance: des exceptions doivent-elles être faites lorsque le sujet de la surveillance est un représentant de l'État et que cette surveillance est en mesure d'éviter ou de dévoiler des abus qui sans elle, seraient passés inaperçus?

Pas de responsabilité civile des entreprises lors du vol de données personnelles

2007-08-27T10:37:00.000-02:30

Un jugement d'une cour d'appel fédérale US vient de statuer que les clients d'une banque de l'Indiana dont les données personnelles avaient été obtenues frauduleusement par un pirate informatique (sans toutefois donner lieu à une fraude) ne pouvaient exiger une compensation financière de l'institution financière. Consolidant des décisions déjà prononcées dans quatre autres états américains, la cour a en effet estimé que le simple risque d'être à l'avenir victime d'un vol d'identité ne constitue pas un préjudice en soi, et que les victimes n'avaient encore éprouvé aucune perte économique mesurable. Cette décision ne risque pas d'inciter les entreprises à mieux protéger leurs données contre les actes malveillants, ni de contribuer à l'amélioration de la confiance des usagers dans les organisations qui détiennent leurs informations personnelles.

Des capteurs qui aident les machines à contrôler les humains

2007-08-07T21:43:00.000-02:30

Le constructeur d'automobiles Nissan vient de rendre public l'état des recherches qu'il mène sur des voitures 'intelligentes', qui seraient capables d'identifier l'état d'ébriété des conducteurs, interdisant aux plus imbibés de prendre le volant. Contrairement aux alcootests couplés aux démarreurs qui sont déjà en vigueur dans certains états américains pour les personnes condamnées pour ivresse au volant, les capteurs développés par Nissan s'intègrent parfaitement dans l'architecture de l'automobile: des leviers de vitesse capables d'analyser la teneur en alcool de la transpiration présente sur la paume de la main du chauffeur, des filtres à air placés à hauteur de tête afin de détecter des vapeurs d'alcool en suspension dans l'habitacle, ou encore des caméras qui analysent la fréquence des battements de paupière et l'inclinaison de la tête du conducteur pour évaluer son degré d'éveil constituent les solutions expérimentées par Nissan pour lutter contre le fléau de l'alcool au volant.

Comme c'est très souvent le cas dans ce genre d'innovation, la question des contre-mesures déployées par les conducteurs ennivrés n'est pas abordée. Le simple fait de porter une paire de gants suffirait par exemple à contourner le système d'analyse de la transpiration implanté sur le pommeau du levier de vitesse, et on imagine mal une loi qui interdirait aux conducteurs le port des gants.

Ce qui me semble cependant très significatif dans cette annonce, c'est que des laboratoires de recherche sont en train de travailler sur de nouvelle génération de capteurs conçus pour se fondre de manière presque invisible dans les objets qui nous entourent, afin de mieux mesurer des états physiques ou psychologiques associés à des risques, et par extension contrôler nos comportements afin de réduire ces risques. Là où la décision était auparavant prise par des êtres humains et leurs capacités de jugement, des machines peuvent maintenant être programmées pour autoriser ou interdire l'accès à des lieux, des biens ou des services selon des normes juridiques ou des critères de risque préalablement définis. L'architecture technique de notre quotidien semble ainsi s'orienter vers l'intégration de mécanismes de contrôle et de contrainte omniprésents qui seront bien plus intrusifs que les technologies de surveillance passive qui nous sont familières.

Des robots armés en Irak

2007-08-02T21:59:00.002-02:30

L'armée américaine vient de franchir un pas supplémentaire dans la militarisation des robots, puisque quelques exemplaires du robot SWORDS équipés d'armes à feu automatiques seront bientôt expédiés en Irak pour y être testés dans un environnement de combat urbain. Cette annonce, faite sur le site de Wired, laisse entendre que les problèmes de sécurité auraient été résolus, notamment en cas de perte de contrôle du robot. À quand des robots tortionnaires dont les états d'âme ne constitueront pas une préoccupation pour leur hiérarchie?

Ce documentaire de la chaine Discovery montre le robot SWORDS en action.

Quand des robots-insectes nous surveilleront

2007-07-20T10:57:00.000-02:30

Robert Wood, chercheur à l'Université d'Harvard vient de faire décoller la première "mouche" robotique. Ce robot-insecte pèse 60 milligrammes et l'envergure de ses ailes ne dépasse pas 3 centimètres. L'agence de recherche du ministère de la défense américain (DARPA), qui finance ce projet, espère que dans quelques années, de tels robots difficiles à détecter en raison de leur miniaturisation pourront être équipés de caméras de surveillance et de capteurs chimiques, à l'instar des essaims de robots du film Minority Report. Contrairement à ce que laisse penser la photo de gauche, le robot ne bénéficie pas encore d'une alimentation électrique autonome et il est dirigé au moyen d'un fil à la patte qui limite considérablement son autonomie. Cependant, d'après le chercheur, le seul fait d'avoir maîtrisé la technique de vol constitue en soi une réussite scientifique.

Quelques informations en rafale

2007-07-05T20:19:00.001-02:30

Un article du Monde sur une nouvelle technique de comptabilisation et de suivi des foules par le biais des téléphones mobiles. Le lien vers le site du MIT qui présente le projet expérimenté à Rome et les cartes produites à l'aide de cette technologie.

Le rapport de RadioFreeEurope sur l'utilisation que les insurgés iraquiens et Al Qaeda font d'internet, avec notamment des statistiques de consultation des sites, des études de cas et une analyse des contenus diffusés par les sites sunnites.

Un article du Monde sur l'adoption d'une loi par le parlement russe qui permettrait aux grandes entreprises de se doter de services de sécurité privé ayant des prérogatives semblables aux services de sécurité.

Des robots équipés de tasers

2007-07-01T23:52:00.000-02:30

L'entreprise iRobot vient d'annoncer la mise en place d'un partenariat stratégique avec la société Taser, spécialisée dans la production d'armes à létalité réduite. Cette entente devrait se concrétiser par l'intégration d'une arme à impulsion électrique au PackBot Explorer, un robot de reconnaissance équipé de senseurs audio et vidéo déjà utilisé par l'armée américaine en Irak et en Afghanistan. Cette annonce marque un pas de plus dans l'utilisation des robots comme instruments coercitifs pour des missions de maintien de l'ordre ou de police. On est bien entendu loin de Robocop, mais de plus en plus d'initiatives visent à introduire les robots dans des missions de sécurité intérieure, qu'il s'agisse de surveillance des espaces publics et des infrastructures essentielles, de sauvetages lors de catastrophes naturelles ou d'interventions pour désamorcer des engins explosifs. Les implications de cette robotisation restent cependant encore difficiles à prévoir, aussi bien en ce qui concerne les dilemmes éthiques reliés à l'utilisation de tels équipements comme outils de contrainte physique que sur la perception du public à l'égard de ces nouvelles technologies de maintien de l'ordre et sur les institutions qui en feront usage.

Dénonciation par SMS

2007-06-24T20:34:00.000-02:30

La police sud-africaine vient de lancer un programme de dénonciation anonyme d'activités criminelles par SMS. En une semaine, ce programme aurait permis l'arrestation de 10 suspects et le lancement de 300 enquêtes. Plus de 1.600 dénonciations auraient été reçues pendant cette première semaine, ce qui laisse assez songeur sur le ratio de dénonciations abusives ou calomnieuses -- ou tout simplement inutilisables.

Dénonciation en ligne

2007-06-22T12:23:00.001-02:30

La police française lancera bientôt une plateforme de dénonciation en ligne des contenus illicites.

Les 10 principales menaces à la sécurité informatique, selon McAfee

2007-06-21T13:42:00.000-02:30

Dans un rare exercice rétrospectif, les laboratoires de McAfee reviennent sur leur blog sur les prévisions faites il y a un an concernant les 10 principales menaces à la sécurité informatique. La boule de cristal semblait un peu embuée sur certains thèmes, mais ça prend pas mal d'humilité pour l'avouer.

Blague-berry

2007-06-20T23:31:00.000-02:30

On fait grand cas ces jours-ci des révélations du Monde concernant les craintes du gouvernement français que les communications échangées par le biais des Blackberrys soient interceptées par les espions américains de la NSA. Outre que ce type de mise en garde exploite de manière assez grossière un anti-américanisme primaire, les problèmes de sécurité entourant l'utilisation de ce nouveau symbole de statut social n'ont rien d'un scoop. Les services de renseignement hollandais avaient déjà mis en garde leurs députés nationaux contre les risques d'utiliser un tel outil pour les communications les plus sensibles. Au Canada, dès 2002, le Centre de la Sécurité des Télécommunications avait émis un avis similaire. Mais le danger semble moins venir de la NSA que d'une architecture de sécurité assez facile à percer, comme l'a révélé il y a quelques mois la société de sécurité informatique Symantec, qui avait elle même repris certains éléments d'une communication publique faite sur le même sujet lors d'un colloque de pirates informatiques. En résumé, pour une petite centaine de dollars et un peu d'ingénierie sociale, une personne déterminée pourrait mettre à mal les défenses du Blackberry dans une entreprise ou un ministère, ce qui représente certainement une menace bien plus préoccupante que le spectre de la NSA brandi à tout va.

Le fabricant d'armes à impulsions électriques Taser poursuit un de ses opposants

2007-06-13T09:44:00.000-02:30

Le candidat trotskiste à la présidence de la république française Olivier Besancenot est poursuivi par l'entreprise Taser pour avoir déclaré dans une entrevue télévisée que les armes à létalité réduite qu'elle produit ont causé la mort de plus de 150 personnes. Ces chiffres sont tirés d'un rapport d'Amnesty International déjà cité ici. Cette agressivité juridique contraste avec la posture défensive dans laquelle la société se trouve aux USA, où elle s'est défendue avec succès dans 45 poursuites pénales. L'enjeu est bien ici de taille, puisque toute admission publique ou juridique de la dangerosité de ce qui reste avant tout une arme compromettrait la survie de l'entreprise, qui occupe une position hégémonique sur un marché extrêmement juteux.

5 techniques d'authentification de l'identité en ligne

2007-06-08T15:29:00.000-02:30

Ces nouvelles techniques abandonnent les traditionnels mots de passe, et les remplacent par des "pensées de passe" (voir la démonstration de la solution de Cogneto), l'analyse dynamique de l'utilisation du clavier, la capacité cognitive de reconnaître des visages, la biométrie ou l'analyse de la voix.

Nouveau record battu par un système de cryptographie quantique

2007-06-08T10:02:00.000-02:30

http://www.technologyreview.com/Infotech/18838/

La privatisation du renseignement américain

2007-06-07T21:47:00.000-02:30

Le Blog Secrecy News, de la Fédération des Scientifiques Américains, rapporte des chiffres assez étonnants sur la croissance des fournisseurs de services privés au monde du renseignement US:

Alors que les fournisseurs autorisés de la NSA étaient 140 en 2001, leur nombre s'élevait à 6.000 en 2007 selon une responsable de l'agence (dont la présentation powerpoint est téléchargeable ici);
Selon un article publié dans Salon, le pourcentage des budgets du renseignement US alloués à des entreprises du secteur privé serait d'environ 70%, soit 34 milliards de dollars annuellement.

Ces chiffres faramineux ne nous disent rien de la performance de ces espions privés, ni de l'impact de cette sous-traitance massive sur les processus de prise de décision politique.

Quelques changements sur ce blog

2007-06-07T09:48:00.000-02:30

Comme vous l'avez peut-être remarqué ces derniers jours, la fréquence d'actualisation de ce blog a considérablement diminué. En effet, j'assume depuis le 1er juin et pour un an le poste de Directeur par intérim du Centre International de Criminologie Comparée. Ces nouvelles tâches viennent se rajouter à un emploi du temps assez chargé et j'ai donc décidé de limiter mes billets pour l'année à venir à des liens vers des articles que je trouve intéressant, sans trop développer de commentaires.

Le premier concerne le débat autour du nouveau service Streetview offert par Google, qui porte atteinte selon certains à la vie privée des passants photographiés à leur insu dans des lieux ou en train de commettre des actes compromettants:
L'article de la Presse - Technaute

Les entreprises peuvent-elles vraiment protéger nos informations personnelles?

2007-05-26T11:26:00.000-02:30

Un récent sondage du Ponemon Institute, une entreprise de consultants spécialisée dans les questions de protection de la vie privée, laisse penser que non.

Le sondage, mené aux USA auprès de 700 gestionnaires de sécurité informatique (selon un méthodologie critiquable comme souvent dans ce type d'études) nous donne quelques résultats qui laissent songeur: bien que 85% des répondants aient déclaré avoir été victimes d'incidents ayant menacé l'intégrité des données personnelles de clients ou d'employés de l'entreprise par le passé, moins de la moitié avaient planifié et mis en oeuvre un plan d'action afin d'éviter que ce type d'incident ne se reproduise. L'explication la plus fréquemment avancée était que les entreprises ne croient pas que la compromission des données personnelles dont elles sont les détentrices se traduira par une perte de revenus ou de clientèle.

Il apparaîtrait que cette "pensée magique" relève d'un aveuglement délibéré, puisque les résultats du sondage montrent que:

74% des victimes organisationnelles d'une perte ou d'un vol de données déclaraient avoir perdu des clients;
59% s'exposaient à des poursuites devant des tribunaux;
33% risquaient de recevoir des amendes de la part de diverses autorités règlementaires;
et 32% avaient vu la valeur de leurs actions baisser à la suite de la divulgation (obligatoire aux USA) de tels incidents.

Ce sondage s'attaque également au mythe des pirates informatiques qui collaboreraient avec le crime organisé pour s'emparer massivement de données personnelles. En effet, presque la moitié des incidents résultaient de la perte ou du vol d'équipements informatiques comme des ordinateurs portables, des téléphones cellulaires professionnels (type BlackBerry ou Treo), des clés USB, etc. La seconde source de vulnérabilité concerne les employés négligents, les employés temporaires et les sous-traitants.

La négligence et l'insouciance des organisations (entreprises et services publics) semble donc à l'heure actuelle une menace bien plus réelle qu'une conspiration mondiale de pirates informatiques alliés aux parrains du crime organisé traditionnel.

Les billets de train du Petit Poucet japonais

2007-05-23T10:41:00.001-02:30

Le journal La Presse rapporte qu'une compagnie japonaise de chemins de fer de Tokyo vient de lancer un service de localisation des enfants par l'intermédiaire de leur carte de transport. Les parents qui le souhaitent peuvent se prévaloir de ce service gratuit pour être avertis par email des déplacements de leur progéniture dans les transports en commun: lors de chaque passage près d'une borne d'accès aux trains (à l'entrée ou à la sortie des gares par exemple), les cartes sans contact des petits abonnés alimentent une base de données qui peut ensuite être paramétrée pour envoyer des alertes personnalisées. Des messages électroniques peuvent ainsi être directement envoyés par téléphone mobile aux parents lorsque l'enfant vient d'entrer dans la gare de départ, est arrivé à sa gare de destination, ou encore est descendu dans une gare qui ne devrait pas se trouver sur son trajet quotidien.

Selon un sondage réalisé lors de la phase d'expérimentation auprès de 2000 cobayes, le taux de satisfaction des parents est très élevé, avec plus de 98% des répondants se disant davantage rassurés par un tel système. Pourtant, la société japonaise ne semble pas réellement exposée à une vague de criminalité incontrôlée, bien au contraire. Par ailleurs, la nature anxiogène de ce nouveau service, qui génère chez ceux qui l'utilisent de nouvelles attentes concernant le contrôle des allées et venues de leur progéniture et une insécurité accrue lors de tout dysfonctionnement reste complètement occultée.

Un nouveau diplôme universitaire en technologies de la sécurité

2007-05-08T21:46:00.000-02:30

L'Université de Portsmouth, au Royaume-Uni, vient de lancer ce qui doit certainement être le premier diplôme en technologies de la sécurité. Cette formation de niveau Baccalauréat (ou Licence en France) a été conçu par le département d'ingénierie électronique et informatique. Il a pour ambition de former des spécialistes de la sécurité qui iront travailler dans les services de police et de renseignement, dans les entreprises d'informatique et chez les grands opérateurs de télécommunication.

Les cours proposés incluent: l'identification biométrique, les systèmes de détection, les systèmes de surveillance intelligents, la sécurité informatique et des moyens de communication, la cryptographie, la détection des intrusions, le contrôle d'accès électronique, les immeubles intelligents, les procédures de sécurité et la sécurité de l'information. Par contre, aucun cours d'éthique ou de droit ne semble être prévu pour sensibiliser les étudiants à l'indispensable équilibre entre sécurité et respect des libertés individuelles.

Des caméras de surveillance qui respectent la vie privée

2007-05-03T15:16:00.000-02:30

Deux chercheurs de l'Université Berkeley, en Californie, sont en train de développer un prototype de caméra de surveillance intelligente qui respecterait la vie privée des personnes filmées. Le principe est de superposer numériquement une tâche blanche sur les visages des individus qui circulent dans le champ de vision, afin qu'il soit impossible de les identifier. La technologie, qui en est à son stade initial, nécessite que les individus portent un gilet réflecteur jaune qui peut être facilement identifié par l'ordinateur, ce qui facilitera considérablement le travail de ce dernier. L'objectif final est que les machines rendent systématiquement flous les visages de tous les passants, et que la possibilité de lever ce voile d'anonymisation soit réservée à la police ou aux tribunaux dans certaines circonstances rigoureusement définie (acte de vandalisme par exemple).

D'autres centres de recherche US travaillent sur des technologies identiques, comme le Laboratoire multimédia d'analyse de l'information de l'Université du Kentucky, qui développe des solutions alternatives où les informations d'identification sont séparées du flux des images enregistrées.

Ces initiatives nous rappellent que la technologie offre de nombreuses possibilités, aussi bien dans le domaine de la surveillance que dans celui de la protection de la vie privée, et qu'il revient aux politiques de l'encadrer et de la façonner autant que de prendre acte de ses avancées, au risque de nous déposséder de nos prérogatives de gouvernance.

L'histoire des armes à létalité réduite

2007-04-24T23:01:00.000-02:30

Le Projet de recherche sur les armes non létales de l'Université de Bradford, au Royaume Uni, vient de publier la deuxième partie d'une histoire détaillée de cette nouvelle catégorie d'armes. Ce document (disponible en anglais seulement) couvre la période des années 1990, qui fut particulièrement fertile en innovations et en expérimentations en contexte réel par l'armée et le département de la justice américains lors du siège de Waco ou en Somalie. On y apprend notamment des détails assez méconnus sur le développement du taser et des autres armes électriques, des armes à rayonnement millimétriques qui provoquent des sensations intolérables de brûlures, ainsi que sur des armes malodorantes et des gels immobilisants qui n'ont pas produit les résultats escomptés. Par ailleurs, une partie est consacrée au cadre légal international qui règlemente le déploiement et l'utilisation de ces armes.

Comment cloner une carte de crédit: la vidéo

2007-04-13T10:45:00.000-02:30

Le site de vidéo LiveLeak a mis en ligne un documentaire anglais montrant de façon très claire comment les fraudeurs à la carte de crédit ou de débit réussissent à cloner les cartes de leurs victimes sans que ces dernières s'en aperçoivent. Ce document illustre à quel point la technologie des cartes à piste magnétique est obsolète dans un monde où n'importe qui peut se procurer sur internet l'équipement nécessaire pour transformer une carte d'accès ou de fidélisation en sésame de la caverne d'Ali Baba.

Documentaire en anglais

Montréal: capitale de la protection de la vie privée en 2007

2007-04-06T10:13:00.000-02:30

Sans trompettes ni fanfare, Montréal deviendra en 2007 la capitale mondiale de la protection de la vie privée, avec la tenue de deux conférences internationales de référence sur le sujet. La première, intitulée "Computers, freedom and privacy", aura lieu du 1er au 4 mai au Hilton Bonaventure. Elle donnera lieu à des présentations plénières par des conférenciers prestigieux comme Bruce Schneier, et des interventions par des représentants d'agences canadiennes et américaines d'application de la loi qui viendront disserter sur les tensions entre sécurité nationale et respect de la vie privée dans l'environnement post-11 septembre. La seconde conférence, placée sous le haut patronage de la Commissaire à la Protection de la Vie Privée du Canada se tiendra du 25 au 28 septembre 2007 à l'hôtel Sheraton. Elle a pour titre "Terra Incognita: les horizons de la protection de la vie privée", et elle rassemblera les commissaires et agences de protection de la vie privée du monde entier.

On doit bien entendu se réjouir d'une telle prolifération des forums de discussion sur cette question d'actualité, mais on peut néanmoins se questionner sur l'émergence d'une véritable "industrie" de la protection de la vie privée, qui se réunit à intervalles réguliers dans des hôtels de luxe, et sur l'accès que peuvent avoir des militants aux moyens modestes à de tels forums. En effet, les frais d'inscription des deux événements s'élèvent respectivement à 725 US$ et 1295 C$ (les étudiants bénéficient de rabais conséquents), ce qui les place au-delà des moyens de nombreuses personnes et associations intéressées.

Pour ceux qui sont dans l'obligation de faire rimer vie privée avec frugalité, le Département d'informatique et de recherche opérationnelle de l'Université de Montréal organise le 5 mai, en collaboration avec les HEC Montréal, un atelier (en anglais) gratuit sur la vie privée en commerce électronique.

Nous sommes tous des CSI

2007-04-02T12:32:00.000-02:30

Le New York Times se fait l'écho d'une pratique de plus en plus répandue aux USA parmi les passionnés de généalogie, qui consiste à réaliser des tests d'ADN sur de parfaits inconnus afin d'établir des liens parenté. Cette pratique est rendue possible par la baisse des coûts de tels tests, qui sont actuellement vendus sur le marché pour une centaine de dollars. La recherche de parents perdus de vue serait facilitée par de telles pratiques, qui établissent avec certitude l'appartenance ou non à une lignée commune. Les exemples cités dans cet article font état de prélèvements consensuels, mais également de pratiques plus douteuses dignes de mauvais films d'espionnage, où des échantillons d'ADN sont prélevés à l'insu de leurs propriétaires dans les restaurants qu'ils fréquentent ou dans leurs poubelles.

En effet, nombreux sont ceux qui refusent de livrer à de parfaits inconnus les clés de leur identité biologique, soit qu'ils refusent de déterrer certains secrets de familles soigneusement occultés depuis des années, soit qu'ils craignent des usages ultérieurs incontrôlables. Cette démocratisation incontrôlée des analyses d'ADN devrait nous préoccuper, tant du point de vue de leur utilisation inéluctable par des compagnies d'assurance ou même certaines agences gouvernementales que des abus et des fraudes dont elles feront l'objet de la part des particuliers.

Internet, nouvel outil d'humiliation pour les mauvais payeurs

2007-03-21T12:35:00.000-02:30

Après les agresseurs sexuels, dont le nom, l'adresse et la photo sont mis en ligne aux USA sur des registres publics accessibles à l'ensemble de la population qui dispose d'une connexion à internet, la province de l'Ontario, au Canada, étend cette stratégie aux mauvais payeurs de pensions alimentaires, qui disparaissent sans laisser d'adresse. Cette technique d'humiliation publique a pour objectif avoué d'aider les autorités à retrouver la trace des personnes introuvables. Elle utilise la puissance de diffusion de l'internet et sa dimension participative pour pallier au manque de ressources des administrations concernées. Il y a cependant là un risque bien réel de réintroduire des pratiques de justice privée (ou wikijustice dans sa version 2.0) qui ont été à juste raison abandonnées dans les sociétés modernes avancées il y a plus d'un siècle.

En effet, qui empêchera qu'une dérive amène éventuellement les institutions bancaires à diffuser sur internet les noms de leurs mauvais payeurs, ou les particuliers à diffuser les images d'invidus en train de commettre des actes de vandalisme plus ou moins graves qui auront été enregistrées par des caméras de vidéosurveillance privées? Toutes les occasions que créent les outils collaboratifs en ligne doivent-elles être exploitées, ou une réflexion éthique un peu plus poussée sur les implications d'internet pour les valeurs de justice doit-elle être entreprise? Il semble pour l'instant que la vitesse de développement des outils technologiques laisse les outils juridiques dans la poussière.

Les puces RFID et la sécurité

2007-03-19T12:15:00.000-02:30

Le site InternetActu fait le point sur les questions éthiques et de sécurité entourant les puces RFID (ou à radiofréquence), qui sont présentées par certains comme la panacée en matière d'identification. Le débat autour de l'implantation de puces sous-cutanées est notamment présenté sous l'angle de la fusion de plus en plus poussée entre l'humain et la machine. On se demande également -- avec raison -- qui sera le propriétaire des implants: le porteur ou l'organisation qui analysera les données recueillies?

La conclusion du billet ouvre des perspectives intéressantes sur l'opposition entre les objectifs pratiques de certaines technologies (qui sont de nous faciliter la vie), et leurs déclinaisons en produits de sécurité, qui ont souvent bien du mal à surmonter les nombreuses failles résultant de processus de conceptions accélérés. Cette mise en garde contre la tentation d'utiliser toute nouvelle technologie pour atteindre une sécurité totale parfaitement utopique vaut cependant également à rebours pour les concepteurs de technologies courantes: ces derniers ont en effet souvent bien du mal à anticiper les risques que font peser sur les usagers leur quête de solutions simplifiant la vie quotidienne.

La course au rendement de la police française

2007-03-17T10:36:00.000-02:30

Un article du Monde illustre les dérives qui peuvent parfois résulter de la mise en oeuvre mal contrôlée de réformes dans les organisations policières. Pressés d'améliorer leur productivité, certains gestionnaires locaux imposent à leurs équipes une politique d'objectifs quantitatifs qui fixe des cibles précises de baisse de la délinquance et d'augmentation de l'activité policière (arrestations, procès-verbaux, contrôles d'alcoolémie, tec.). Si on discerne bien la volonté louable de rationaliser le travail policier et de le rendre plus efficient, on peut quand même s'interroger sur les moyens choisis.

En effet, tous les efforts semblent focalisés sur la production de statistiques, alors que les processus par lesquels on y parvient semblent beaucoup moins valorisés. Or, l'exemple américain Compstat, qui a essaimé dans le monde entier et inspiré cette quanto-phrénie n'a jamais eu pour prétention d'imposer aux policiers des réductions drastiques de la criminalité prédéfinies de manière plus ou moins arbitraire. Il s'agissait avant tout d'utiliser l'outil statistique pour identifier les "points chauds" (hotspots) de la délinquance, ainsi que de rendre plus transparente la productivité policière et mettre en lumière des bonnes pratiques qui pourraient ensuite être généralisées à l'ensemble de l'organisation pour éliminer ces "points chauds". L'objectif était principalement d'identifier les bons et les mauvais gestionnaires, c'est à dire ceux qui sont capables (ou incapables) d'inventer et de mettre en oeuvre de nouvelles stratégies et façons de travailler. Dans la conception new yorkaise, un bon gestionnaire est aussi celui qui inspire ses subordonnés par son charisme et son leadership, qui obtient l'adhésion de ceux-ci en leur offrant un cadre de travail stimulant et en renouvelant leur fierté de faire leur métier. L'article de W Chan Kim et de R Mauborgne intitulé "Tipping point leadership" et publié en 2003 dans le Harvard Business Review (accès réservé aux abonnés) illustre parfaitement cette philosophie.

Cette dimension semble s'être perdue dans sa traversée de l'Atlantique, et l'exemple décrit dans l'article de Piotr Smolar semble plutôt décrire un mode de management par la peur, où la crainte de ne pas atteindre les objectifs fixés génère de fortes tensions et des niveaux élevés de stress parmi les agents. L'article suggère quand même qu'il s'agit là d'un cas extrême, puisqu'il semble désavoué par la haute hiérarchie policière:

Sollicité par Le Monde, le directeur central de la sécurité publique (DCSP), Philippe Laureau, a qualifié cette démarche d'"erreur, ne s'inscrivant ni dans l'esprit ni dans le fonctionnement" demandés par la DCSP. Ces objectifs auraient été fixés par le préfet, selon le directeur central. "Il n'y a jamais eu d'instructions de notre part pour établir des quotas, ce serait ridicule, dit-il. Notre seul objectif est l'efficacité des services."

Le photocopieur pourrait bien avaler votre identité

2007-03-16T19:34:00.000-02:30

Le Boston Globe reprend une dépêche de l’Associated Press selon laquelle les photocopieurs récents équipés de disques durs pourraient être la cible des voleurs d’identité s’ils ne sont pas adéquatement protégés par des logiciels de cryptage des données. En effet, les machines fabriquées au cours des cinq dernières années scannent les documents avant de les reproduire. Elles sont fréquemment utilisées dans des entreprises ou dans des lieux publics (bibliothèques, commerces de quartier…) pour réaliser des copies de papiers d’identité, de déclarations d’impôts, etc. Leur accès n’est en général pas contrôlé, et les informations personnelles contenues dans les disques durs pourraient donc aisément se retrouver entre de mauvaises mains. Selon un sondage réalisé par l’un des principaux fabricants de photocopieurs, 55% des américains prévoient de conserver une photocopie de leur déclaration d’impôts.

Le troisième oeil se penche sur votre coeur...

2007-03-14T21:27:00.000-02:30

L'entreprise 3rd Eye vient de dévoiler une technologie de surveillance dénommée SATS (Security Alert Tracking System) qui combine un système de vidéosurveillance traditionnel à des senseurs médicaux de suivi du rythme cardiaque. Concrètement, une entreprise qui se dote de cette technologie équipe ses employés de bracelets -- ressemblant à des montres -- qui transmettent à une centrale de surveillance des données sur les battements de coeur, dont l'augmentation est associée à un stress plus élevé. Cela permet à l'employeur de détecter les fluctuations anormales, qui peuvent être associées soit à un événement mettant en danger la vie de l'employé (hold-up pour les caissiers de banque), soit à un comportement malhonnête de la part dudit employé, dont on pense qu'il sera inquiet de se faire surprendre la main dans le sac (croupier de casino qui fraude son employeur). Dans un cas comme dans l'autre, l'alerte déclenche immédiatement la mise en marche d'une caméra de surveillance qui dirige son objectif sur le travailleur en question afin de déterminer la source à l'origine du stress. Les arguments de protection de la santé des personnes ainsi surveillées ont cependant du mal à dissimuler la nature profondément intrusive de cette technologie, qui semble par ailleurs mal adaptée aux hypochondriaques, phobiques et autres anxieux de nature.

Happy slapping au Québec

2007-03-06T12:45:00.000-03:30

Le Devoir explore aujourd'hui l'arrivée au Québec du "happy slapping", cette pratique qui consiste à filmer à l'aide d'un téléphone cellulaire équipé d'une caméra vidéo l'agression physique d'une victime choisie au hasard. Une version québécoise en cours dans les écoles secondaires consisterait à faire sortir de ses gonds un professeur et à filmer la scène afin de l'humilier publiquement et de le décrédibiliser. Si le nombre d'incidents ne semble pas avoir atteint les sommets que l'on connaît en Angleterre ou en France, il semble préoccuper les autorités canadiennes.

YouTube et les gangs de rue

2007-03-06T10:14:00.000-03:30

Le quotidien La Presse propose aujourd'hui une série d'articles sur le phénomène YouTube, dans une prespective criminologique. Le premier aborde la question des clips vidéos qui mettent en scène des adolescents québécois et qui glorifient les valeurs et les pratiques des gangs de rue. Reproduisant le modèle américain de la guerre entre gangs rivaux des Bloods et des Crips, ces vidéos témoignent du pouvoir de séduction que les gangs exercent sur certains jeunes. Des gangs se servent d'ailleurs des outils qu'offre internet pour intensifier leurs efforts de recrutement, ou pour provoquer des groupes ennemis.

Un troisième article (pour lequel j'ai été interviewé) se penche sur l'utilisation que peuvent faire les services de police de YouTube pour identifier des délinquants. Même si quelques vidéos ont été mises en ligne et on permis de retrouver des criminels, il me semble fort peu probable qu'on assiste dans un avenir proche au lancement d'un CrimeTube, pour reprendre l'expression de Wade Deisman, criminologue à l'Université d'Ottawa. Par contre, la facilité d'usage de l'outil et l'ubiquité des caméras vidéo, y compris dans les téléphones portables, risque fort de mener à des campagnes de dénonciation et de dénigrement qui s'apparentent à une justice privée éradiquée depuis longtemps. Pierre Trudel, professeur de droit à l'Université de Montréal, souligne dans le même article la question de la protection de la vie privée des individus dont l'image se retrouve sur internet.

L'identité en stéréo

2007-03-05T10:41:00.000-03:30

Selon un article du Monde, un laboratoire de recherche anglais a reçu une subvention conséquente pour perfectionner un système de photographie en 3D rendant toute identification ultérieure beaucoup plus précise:

"Imaginez une personne passant à travers une porte. En quelques fractions de secondes, six flashes successifs, si rapides que l'oeil nu n'en perçoit qu'un seul, prennent six images de son visage. Un logiciel les combine ensuite pour reconstituer son image virtuelle, explique Maria Petrou, l'un des trois responsables du projet. Peu importe si la personne est en mouvement, la machine obtiendra un portrait net de la même manière qu'un radar peut saisir la plaque d'immatriculation d'une voiture roulant à toute vitesse."

Cette technique devrait augmenter considérablement la précision des systèmes d'identification installés dans des environnements contrôlés comme des points d'accès à des entreprises ou des administrations, mais être beaucoup moins performante dans les espaces publics.

Des robot-cops à Barcelone

2007-03-03T11:33:00.000-03:30

Un consortium d'universités dirigé par l'Institut Polytechnique de Catalogne a reçu une subvention de recherche de l'Union Européenne afin de développer un projet intitulé URUS, qui vise à concevoir un réseau de robots fonctionnant dans les espaces publics des zones urbaines. Ce réseau de robots sera principalement destiné à interagir avec la population afin de lui offrir un certains nombres de services, mais des tâches de surveillance lui seront également confiées. L'expérimentation sera menée dans une zone piétonnière du centre-ville de Barcelone, où des robots utiliseront des données pré-programmées pour identifier des situations anormales comme des éléments de mobilier urbain vandalisés ou des activités humaines suspectes. Les robots qui auront détecté un événement suspect pourront communiquer leur position et transmettre une alarme. Ces robots inaugureront ainsi une nouvelle forme de vidéosurveillance mobile.

Par contre, on peut imaginer sans difficultés que les robots seront eux-mêmes la cible d'actes de vandalisme de la part de délinquants ou de défenseurs de la vie privée qui souhaitent échapper à cette surveillance omniprésente.

L'identité numérique

2007-03-01T21:19:00.000-03:30

Vous trouverez ici l'enregistrement de l'émission de radio Citoyen Numérique dans laquelle j'ai fait une intervention la semaine dernière sur le thème de l'identité numérique et des questions de sécurité et de respect de la vie privée qui en découlent. J'ai pris la parole dans la seconde demi-heure de l'émission, après le morceau de punk québécois! Merci à Michel Dumais pour cette émission fort stimulante.

La Sécurisphère en anglais

2007-03-01T12:34:00.000-03:30

À partir d'aujourd'hui, une version anglaise de La sécurisphère est en ligne à l'adresse suivante:

www.thesecurisphere.blogspot.com

Vous êtes plus de 10.000 a avoir consulté la version française, et je me suis dit qu'il y avait certainement un intérêt pour ce type de réflexions auprès du vaste public des internautes, dont la grande majorité parle et lit l'anglais.

Je rédigerai moi-même les billets dans les deux langues, ce qui ralentira encore certainement un peu la fréquence des nouveautés, qui avait déjà souffert ces derniers mois de mes nombreux autres engagements d'écriture.

Une carte mondiale des incidents terroristes

2007-02-27T23:14:00.000-03:30

Le site Globalincidentmap.com met en ligne une carte actualisée des incidents terroristes ou suspicieux réalisée à l'aide de Google maps, sur laquelle sont automatiquement localisés des événements provenant de flux rsss. Cette pratique, connue sous le nom de mashup (ou application composite), consiste à combiner le contenu provenant de plusieurs applications. D'après le blog Danger Room, cette technologie serait également utilisée par les services de renseignement américains et les entreprises privées spécialisées dans la gestion du risque, mais il n'en reste pas moins que la mise à disposition de tous d'un tel outil et les faibles ressources nécessaires à le faire fonctionner nous rappellent à quel point les réseaux technologiques sont en train de bousculer l'économie de l'information et de la sécurité.

Des machines à rayons X pour fouiller les personnes

2007-02-24T11:09:00.000-03:30

L'Administration de sécurité du transport aérien US teste à l'aéroport de Phoenix un nouvel appareil à rayons X qui permet d'obtenir une image du corps humain et des objets dissimulés sous les habits des passagers contrôlés.

Cette technologie, développée par la société American Science and Engineering permettrait de détecter des explosifs liquides. Elle est aussi dotée d'un algorithme de protection de la vie privée qui atténue les détails du corps des personnes concernées et transmet seulement à l'opérateur de la machine le contour de la silhouette et les objets suspects identifiés (voir photo). Ce détail est susceptible de rendre plus acceptable cette technologie pour de nombreux passagers puritains ou peu désireux de voir leurs formes inspectées en détail par des agents de sécurité. Ces derniers procèderons d'ailleurs à l'inspection dans un réduit fermé aux regards étrangers. Si cette technologie est adoptée, chaque appareil coûtera 11.000 $. Une précédente technologie d'analyse des particules présentes dans l'air, pourtant prometteuse, a cependant été abandonnée en raison de sa fiabilité réduite et de son coût élevé.

Les avis des chercheurs en santé interrogés par le New York Times sur cette technologie sont partagés: alors que pour certains elle est sans dangers, d'autres évoquent néanmoins des préoccupations concernant l'exposition aux rayonnements, notamment pour les femmes enceintes et les jeunes enfants.

Le palmarès des destinations les plus dangereuses

2007-02-14T14:34:00.000-03:30

Le magazine Forbes dresse la liste des destinations les plus dangereuses pour l'année 2007, après avoir consulté deux entreprises spécialisées dans la gestion des risques: iJet et Control Risks. Selon ces deux sociétés, c'est la République Démocratique du Congo qui arrive en tête du classement. Les autres pays concernés sont:

la Somalie;
l'Iraq;
l'Afhganistan;
la Côte d'Ivoire;
le Pakistan;
le Burundi;
le Liberia;
Haïti;
le Sri Lanka;
le Tchad;
le Liban
le Soudan

L'essor des compagnies militaires privées et des agences de sécurité privée haut de gamme résultent de la présence de plus en plus fréquente des grandes entreprises occidentales dans ces pays instables, notamment en raison des cours élevés des matières premières.

Le FBI perd ou se fait voler 160 ordinateurs portables

2007-02-13T16:30:00.000-03:30

Le FBI a perdu ou s’est fait voler 160 ordinateurs portables sur la période de 44 mois qui s’est terminée le 30 septembre 2005, selon un rapport de l’Inspecteur général du département de la justice. Dix de ces ordinateurs contenaient des informations classifiées sur des opérations de contre-terrorisme ou de contre-espionnage, ainsi que des données personnelles sur des employés du Bureau. Pour 51 ordinateurs supplémentaires, le FBI ne pouvait confirmer avec certitude si ces derniers contenaient des informations sensibles. Ces chiffres préoccupants représentent néanmoins une amélioration par rapport au précédent audit mené en 2002, où 300 ordinateurs portables et 300 armes à feu avaient été déclarées perdus ou volés sur une période de 28 mois. Le FBI possède plus de 50.000 armes à feu et 20.000 ordinateurs portables.

Des chaussures que l'on peut suivre à la trace

2007-02-10T13:09:00.000-03:30

Plusieurs journaux et sites internet ont rapporté la mise sur le marché par l'inventeur Isaac Daniel d'une chaussure équipée d'un émetteur GPS. Cette invention est destinée aux parents inquiets désireux de savoir où se trouve leur enfant en tous temps, aux enfants dont les parents souffrent d'Alzheimer, ou aux vedettes et dirigeants d'entreprise qui craignent de se faire enlever. L'abonnement à ce service devrait coûter une vingtaine de dollars US.

Cependant, avec un tel battage publicitaire fait autour de ce produit, il serait bien surprenant que des adolescents en quête d'intimité ou des kidnappeurs potentiels n'adaptent pas leurs pratiques pour déjouer cette surveillance bien peu subtile.

Bases de données sur les passagers aériens

2007-02-07T10:22:00.000-03:30

Hélène Buzzetti nous propose dans Le Devoir d'aujourd'hui un article sur la base de données des passagers aériens mise en place par le gouvernement canadien en octobre 2002, aussi connue sous le nom de DPV/IP. Aprés avoir demandé à consulter les dossiers de cinq personnes ayant effectué 17 voyages depuis 2002, la journaliste a relevé que les informations étaient incomplètes ou introuvables pour six d'entre eux (soit le tiers des déplacements).

Ce manque de fiabilité est attribué par le porte-parole de l'agence responsable aux négligences des compagnies aériennes, qui sont chargées de transmettre les informations sur leurs passagers, ainsi qu'aux règles plus strictes en vigueur dans l'Union Européenne, dont proviennent un grand nombre de vols à destination du Canada.

Selon les déductions de la journaliste, basées sur les statistiques des entrées par avion au Canada communiquées par StatCan, cette base de données devrait contenir une centaine de millions de dossiers.

La surveillance au service des personnes âgées

2007-02-06T10:14:00.000-03:30

Deux articles publiés ces derniers jours dans Le Monde et le New York Times nous informent sur de nouveaux services de surveillance des personnes âgées vivant seules. La technologie française Stéréo'z de la société AphyCare consiste en un bracelet qui donne l'alerte à une centrale d'appel lors de chutes ou de pertes de connaissance. Il enregistre également les données vitales du porteur. Aux USA, les technologies QuietCare et iCare répondent au même besoin, en mettant l'accent sur le suivi que les enfants peuvent exercer sur leurs parents âgés, même lorsqu'ils résident loin les uns des autres.

Le système QuiteCare s'appuie sur des technologies de surveillance et d'alarme traditionnelles comme des détecteurs de mouvements et de caméras de vidéosurveillance afin d'identifier des comportements anormaux comme le fait de ne pas avoir ouvert le réfrigérateur ou l'armoire à pharmacie pendant la journée, de passer trop de temps dans la salle de bain ou de se lever plus tard que d'habitude. Ces indicateurs peuvent constituer des signes précurseurs d'un problème de santé, et des alarmes sont alors automatiquement lancées afin de lever tout doute. Ces informations sont directement relayées sur des sites internet protégés que peuvent consulter les enfants adultes des abonnés. Dans le cas de la technologie iCare, un appareil de la taille d'un téléavertisseur (voir photo) est utilisé pour poser chaque jour un certain nombre de questions à son détenteur. On lui demande notamment d'évaluer sa santé et son humeur, et en cas de réponses inquiétantes, des équipes médicales assurent un suivi téléphonique ou une intervention sur site.

Les accès aux données recueillies par de tels systèmes et le consentement éclairé des personnes âgées qui sont placées sous leur surveillance posent évidemment des questions éthiques. Mais on peut également se demander si ces systèmes ne viennent pas compenser la perte d'une sociabilité de voisinage qui constituait un système de veille informel, et les arrangements familiaux multi-générationnels de prise en charge. Dans ce contexte précis, la surveillance est le symptôme de changements sociaux assez radicaux qui n'ont que bien peu à voir avec l'expansion d'un État sécuritaire.

Les petites soeurs de Big Brother

2007-01-31T19:18:00.000-03:30

Un documentaire de l'émission Temps Présent de la Télévision Suisse Romande sur l'utilisation des caméras de surveillance et d'autres technologies de contrôle en Suisse et au Royaume Uni.

(Merci Manon!)

La NSA a du mal à boucler ses fins de mois

2007-01-24T11:06:00.000-03:30

Le Baltimore Sun nous apprend que la National Security Agency (NSA) verra son budget stagner par rapport à celui de l'an dernier, pour la première fois depuis le 11 septembre 2001. Outre un système de gestion financier opaque qui rend toute évaluation de la pertinence des dépenses engagées difficile, sinon impossible, l'article mentionne un ralentissement considérable des recrutements, la suspension de certains programmes d'innovation, et une crise énergétique qui limite sa capacité à installer de nouveaux systèmes de calcul ultra-puissants. Certains super-ordinateurs sont utilisés en alternance et la température des bâtiments a été abaissée afin d'économiser les megawatts-heure: la consommation actuelle de la NSA est de 65 à 75 megawatts-heure, alors que ses besoins devraient augmenter de 10 à 15 megawatts-heure d'ici la fin de l'année. La compagnie d'électricité locale est incapable de fournir plus de puissance sans pénaliser ses autres clients, et les coûts et les délais de construction d'une centrale électrique n'ont pas été planifiés par la NSA. Ces problèmes d'économie d'énergie devraient laisser un répit de quelques mois aux ennemis de l'État.

La liste des passagers aériens "suspects" clouée au sol

2007-01-24T09:46:00.000-03:30

L'Administration américaine de la sécurité du transport aérien (TSA) vient de rendre public son objectif de mettre à jour sa liste des passagers suspects interdits de vol. Cette "no-fly list" a été critiquée à de nombreuses reprises (y compris dans ce blog), notamment en raison de l'imprécision des critères d'inscription et de l'absence de procédures de correction pour les personnes figurant par erreur sur celle-ci. L'administrateur de la TSA a révélé le 17 janvier aux sénateurs américains que la liste ferait bientôt l'objet d'un toilettage majeur qui devrait diviser par deux le nombre de noms qu'elle comptient. Cette cure amaigrissante devrait rendre les voyages aériens plus faciles pour de nombreuses personnes, et elle devrait également faire réfléchir les fonctionnaires de Transport Canada, qui travaillent à la mise en place d'une liste identique connue sous le nom de "Programme de protection des passagers" et risquent de se retrouver avec un outil aussi mal conçu que leurs homologues états-uniens.

L'inspecteur gadget de la police de Los Angeles

2007-01-22T21:41:00.000-03:30

Le magazine Popular Science nous fait visiter le laboratoire de développement des nouvelles technologies de la police de Los Angeles (le Sheriff, et non pas le LAPD). Outre les habituelles armes à létalité réduite, on y découvre des "canons" permettant de projeter des sons à de très grandes distances (pratique en cas de manifestation), des drones urbains, ou des armes à rayonnement qui peuvent immobiliser un véhicule (fini les poursuites à la télévision). Ce laboratoire est en contact régulier avec plus de 200 entreprises, ce qui nous donne une idée de la taille que représente ce marché. L'article nous offre également quelques exemples de technologies mal conçues, au coût prohibitif, ou tout simplement pas assez fiables.

La responsabilité des propriétaires d'ordinateurs

2007-01-13T20:10:00.000-03:30

Un éditorial du New York Times d'avant-hier soulève une question de plus en plus pertinente: la puissance croissante des ordinateurs personnels et la connectivité de nos sociétés modernes ne doivent-elles pas nous amener à repenser les responsabilités de ceux qui par leurs négligences facilitent la commission de crimes informatiques? En effet, la plupart du temps, les pirates et autres fraudeurs exploitent des vulnérabilités connues qui perdurent en raison de la mise sur le marché de matériels et de logiciels mal protégés, et du manque d'empressement des usagers à installer les correctifs (les patchs) à ces failles lorsque ces dernières sont rendues publiques. Par ailleurs, peu d'utilisateurs disposent de logiciels anti-virus et coupe-feu à jour, et de nombreux routeurs wifi restent très mal protégés contre les intrusions. Cette procrastination généralisée a cependant pour conséquence de causer des préjudices importants au niveau collectif, puisqu'elle facilite l'organisation de fraudes informatiques à très grande échelle, à l'instar des réseaux d'ordinateurs "zombie" découverts ces dernières années, qui peuvent compter plusieurs centaines de milliers de machines. Ces botnets sont utilisés pour expédier des millions de spams ou pour compromettre les codes d'accès à de nombreux services financiers et en ligne.

Le problème découle en grande partie du fait que les ordinateurs sont actuellement considérés comme de simples équipements de réception d'informations, au même titre que les télévisions, ou comme des appareils permettant de faire des copies illégales, comme ce fut le cas des magnétoscopes en leur temps. Ne devrait-on pas plutôt les assimiler à des automobiles, dont l'utilisation a été réglementée de façon de plus en plus restrictive, à mesure que les préjudices potentiels que pouvait causer cette nouvelle technologie en cas de mauvais usage sont devenus de plus en plus manifestes? À mesure que les réseaux informatiques occupent une place centrale dans nos sociétés modernes, doit-on réglementer de manière plus importante le respect de certaines règles de sécurité informatique élémentaires, et faire sortir les usagers de l'âge de l'innocence dans lequel ils baignent actuellement?

Le guichet de police virtuel testé en Belgique

2007-01-09T15:44:00.000-03:30

La police belge est en train d'expérimenter dans quatre zones de police un guichet de police virtuel permettant aux citoyens de signaler par l'intermédiaire d'un site internet de petits délits comme le vol de vélos, le vol à l'étalage, la dégradation de véhicules et les graffitis. Ces incidents qui font souvent l'objet d'une sous-déclaration du fait de leur faible gravité et de la lourdeur bureaucratique qu'implique une visite au poste de police verront certainement leurs statistiques augmenter considérablement dans un premier temps. La facilité de déclaration devrait cependant simultanément libérer de nombreux policiers de ces tâches administratives.

Un segment du journal télévisé belge mis en ligne sur YouTube en explique le fonctionnement.

Les nouveaux pouvoirs de la sécurité privée aux USA

2007-01-06T15:45:00.000-03:30

On peut lire dans le Washington Post du 2 janvier 2006 un article intéressant sur la tendance de certains états et municipalités états-uniens à concéder à des entreprises de sécurité privée les mêmes pouvoirs d'arrestation que ceux auparavant réservés à la police. On assiste ainsi à l'émergence de ce que le criminologue George Rigakos définit comme une para-police. Contrairement aux agences de sécurité traditionnelles, les entreprises de para-police opèrent dans les espaces publics et n'hésitent pas à entreprendre des enquêtes criminelles parfois complexes. Dans le contexte post 11 septembre, les services de police considèrent de manière plus ouverte que par le passé l'assistance que peuvent leur apporter ces agents, mais la défense de l'intérêt collectif et l'équité dans l'accès aux services restent des questions qui préoccupent les défenseurs des libertés individuelles. D'autre part, les mécanismes de surveillance restent beaucoup plus limités pour la sécurité privée que pour la police publique. Pourtant, si le secteur privé souhaite se voir attribuer plus de pouvoirs légaux, il devra consentir à ce que ses responsabilités soient aussi beaucoup plus étroitement contrôlées.

Les centres de fusion du renseignement

2007-01-02T23:47:00.000-03:30

Un article du Washington Post du 31 décembre 2006 dresse un profil de la trentaine de centres de fusion du renseignement qui ont été créés aux États-Unis depuis 2001. Ces structures sont destinées à faciliter le partage du renseignement criminel et de sécurité entre les autorités fédérales et locales. Dans un contexte institutionnel fortement décentralisé, ces centres permettent une meilleure coordination des intervenants dans la lutte antiterroriste. Certains d'entre eux regroupent en un même lieu plus de vingt organisations différentes. Si l'intention est louable et que les participants semblent satisfaits du fonctionnement de ces structures, l'article soulève deux problèmes majeurs: le premier concerne la dilution des responsabilités dans la lutte antiterroriste, qui implique de manière croissante de petites organisations policières de quelques dizaines ou centaines d'agents mal équipées pour faire face à ces nouvelles fonctions. Le respect de la vie privée dans un contexte de partage intensif des renseignements pose également un problème de taille. Ces centres sont cependant appelés à se multiplier dans la mesure où la "police axée sur le renseignement" est en train de remplacer la police de proximité comme stratégie policière dominante en Amérique du Nord et dans le reste du monde.

Le e-policing désenclave les campagnes indiennes

2006-12-26T21:44:00.000-03:30

Le site de la BBC nous apprend comment la police de l'état du Maharashtra, en Inde, utilise l'internet pour améliorer l'accès des résidents des zones les plus isolées à ses services . Vingt-deux kiosques de vidéoconférence ont été installés dans des villages reculés, ce qui évite aux habitants qui souhaitent déposer une plainte ou communiquer avec un policier d'avoir à se déplacer et perdre ainsi plusieurs journées de travail. Ce système, encore au stade expérimental, aurait permis à un informateur de communiquer des indices sur des trafiquants de drogue, et serait également utilisé par de nombreuses femmes pour dénoncer des cas de violences conjugales. Il permet aussi de signaler le comportement abusif de certains policiers locaux directement à leur hiérarchie. Si de l'avis de certains, le e-policing est loin de représenter la panacée (particulièrement dans les cas de violence domestiques), la facilité avec laquelle les usagers l'ont adopté laisse présager que la fracture numérique n'est peut-être pas aussi profonde qu'on le conçoit. On imagine par contre mal l'intérêt qu'auraient les organisations policières présentes en milieu urbain, déjà submergées par les appels téléphoniques, à ouvrir une nouvelle fenêtre de communication virtuelle avec un public insatiable en matière de sécurité.

Quand McAfee pirate la criminologie

2006-12-24T20:36:00.000-03:30

L'entreprise McAfee, spécialisée dans les logiciels antivirus et autres solutions de sécurité informatique vient de rendre public son deuxième rapport sur la "criminologie virtuelle". Le thème principal de ce rapport destiné à devenir une publication annuelle concerne le rajeunissement des délinquants informatiques, qui seraient recrutés de plus en plus jeune dans les rangs du crime organisé. Dans une dérive sensationaliste assez discutable, on évoque ainsi des enfants de 14 ans qui seraient recrutés selon des techniques assimilées à celles du KGB, et qui éprouveraient une addiction similaire à celle des drogués une fois initiés aux subtilités du piratage informatique.

Si ce rapport peut prétendre être une bonne source d'informations factuelles sur les incidents de l'année passée dans le domaine de la sécurité informatique, et qu'il propose un scénario plausible des menaces futures, l'usage de l'étiquette criminologique pour lui conférer une crédibilité semble abusif. En effet, on n'y trouve que très peu de statistiques fiables sur l'ampleur des phénomènes décrits, ce qui est toutefois préférable aux statistiques délirantes que l'on retrouve dans d'autres publications de l'industrie de la sécurité informatique. Par ailleurs, l'affirmation selon laquelle le crime organisé traditionnel investit massivement ses ressources dans la fraude informatique n'est pas étayée par des données empiriques très convaincantes, au-delà de quelques anecdotes glanées dans la presse. Enfin, les questions de prévention, et notamment la responsabilité des usagers des entreprises qui mettent sur le marché des produits et des services contenant des vulnérabilités importantes n'est pas abordée. Si des adolescents ordinaires sont capables de commettre sans grand effort des fraudes élaborées, peut-être les concepteurs négligents des équipements et des services qui rendent ces fraudes possible devraient-ils être en partie tenus pour responsables des préjudices subis?

La criminologie est une discipline dont l'ambition scientifique repose sur un socle théorique et méthologique bien plus consistant que l'approche adoptée dans ce rapport, qui n'est rien d'autre qu'une synthèse sélective de coupures de presse agrémentée d'inférences alarmistes. Peut-être l'an prochain le titre pourrait-il être modifié pour devenir le "virtual marketing report"?

Nouvelles en bref

2006-12-06T11:44:00.000-03:30

MySpace se lance à la chasse aux pédophiles
Le site internet de réseau social MySpace vient de conclure un accord avec la société Sentinel Tech Holding afin de construire une base de données lui permettant de détecter les prédateurs sexuels et de bloquer leur accès à ses services. Cette base de données privée viendra consolider au niveau national les registres publics d'agresseurs sexuels déjà accessibles en ligne dans de nombreux états américains. Elle contiendra environ 550.000 noms. Personne n'a encore précisé quelles seront les procédures de rectification offertes en cas d'erreur, ni la politique de mise à jour et d'effacement des données.

Un dossier spécial de Libération sur les dangers de l'Internet collaboratif
Les site Écrans, qui appartient la galaxie Libération vient de mettre en ligne une série d'articles et d'entretiens sur les risques que font peser les nouveaux sites collaboratifs sur la protection de la vie privée. Vous pourrez lire mes réponses aux questions de la journaliste Frédérique Roussel ici.

Le Pentagone vient de franchir une nouvelle étape dans le déploiement d'armes à létalité-réduite
Le site Wired vient d'obtenir des documents faisant état de la certification d'un nouveau système d'armes à létalité réduite en développement depuis une dizaine d'années par l'armée de l'air américaine. Ce système, à base d'ondes millimétriques, provoque une intense sensation de brûlure chez les personnes qui sont soumises à son rayonnement. Il a notamment été testé dans des situations de maintien de l'ordre pour disperser des manifestants, ainsi que dans des configurations de guérilla urbaine. D'après les journalistes, des systèmes embarqués à bord d'avions de combat son en développement. Cette arme n'aurait pas encore été déployée sur les champs de bataille.

Psiphon contre la censure sur Internet

2006-12-04T23:47:00.000-03:30

Un groupe de chercheurs du Centre Munk d'Études Internationales, basé à l'Université de Toronto vient de mettre à la disposition des utilisateurs d'Internet un logiciel permettant de naviguer en contrecarrant les systèmes de censure numérique. Plus de 40 pays dans le monde filtrent le contenu des pages Internet téléchargées par leurs citoyens, et 12 d'entre eux bloquent le contenu de sites jugés subversifs. Psiphon permet de contourner ces contrôles en utilisant des ordinateurs relais situés dans des pays démocratiques. Psiphon exploite la confiance qui lie les membres d'un réseau social et la nature mondialisée des liens personnels: un individu ayant libre accès à Internet installe le logiciel sur son ordinateur personnel, et transmet à des connaissances ou à des amis vivant dans un pays soumis à la censure un code d'accès et un mot de passe unique. Cela lui permet de se connecter de manière cryptée à l'ordinateur privé, et d'utiliser ce dernier comme une plateforme anonyme de navigation de sites interdits. Il s'agit en fait d'un système de proxy, dont la particularité est qu'il est plus difficile à bloquer que les sites répertoriés d'anonymisation comme TOR, puisque les adresses des ordinateurs sur lesquels Psiphon est installé ne sont connues que des utilisateurs.

Cependant, la question de la confiance s'avère dans la pratique une arme à double tranchant: en effet, il ne sera pas toujours évident pour des militants des droits de la personne d'identifier des personnes de confiance hors de leur pays si les déplacements leurs sont interdits. Ensuite, la question de la responsabilité concernant les contenus illégaux (pédo-pornographie, contenus incitant à la haine et à la violence...) téléchargés par les utilisateurs à l'aide de tierces machines n'est pas évoquée par les concepteurs. Enfin, les autorités de ces pays pourraient certainement utiliser des logiciels d'analyse de réseaux sociaux pour identifier des dissidents encore inconnus en surveillant les communications correspondant aux particularités d'usage de Psiphon. Il ne semble donc pas que Psiphon soit destiné aux militants sous intense surveillance policière, mais plutôt aux internautes "ordinaires" désireux de contourner les systèmes de censure automatisés de leur pays, ce qui n'est déjà pas si mal.

Détecteurs sonores d'agressions testés en Hollande

2006-11-23T16:01:00.000-03:30

La société Sound Intelligence est en train d'installer dans plusieurs villes hollandaises sa technologie de détection sonore des agressions. Des micros placés dans les espaces publics sont couplés à un logiciel capable de reconnaître les caractéristiques particulières des sons émis par des individus qui vivent des situations de stress et de peur intenses. Dès qu'un tel cri est détecté, en général associé à une agression ou une rixe en cours, une alerte est automatiquement lancée, qui peut se traduire par l'activation de caméras de vidéosurveillance dans la zone concernée, ou par l'envoi immédiat de policiers. Cette technologie, utilisée depuis le 15 novembre 2006 par la ville de Groningen, est présentée par ses promoteurs comme une garantie aux libertés individuelles, puisque les caméras de vidéosurveillance ne seront déclenchées qu'en cas de nécessité. Cette technologie, similaire en bien des points aux systèmes de détection des tirs d'armes à feu implantés aux États-Unis, semble bien marquer l'avènement de la surveillance sonore dans les espaces publics et privés.

PS: Une vidéo faisant la démonstration de la technologie est téléchargeable sur le site de l'entreprise.

Les 10 commandements de Kevin Mitnick

2006-11-17T11:39:00.000-03:30

Kevin Mitnick, le pirate informatique reconverti en consultant de sécurité nous livre sur le site Wired ses 10 commandements pour protéger notre ordinateur et nos données personnelles des prédateurs du web:

Faites des sauvegardes systématiques de vos données;
Choisissez des mots de passe complexes et modifiez toujours les mots de passe par défaut offerts par certains services;
Utilisez un antivirus reconnu et réglez ses paramètres afin qu'il se mette à jour quotidiennement;
Mettez votre système d'exploitation à jour aussi souvent que possible;
Évitez à tout prix les logiciels connus pour leurs multiples failles de sécurité comme Internet Explorer;
Utilisez des logiciels de cryptage lorsque vous envoyez un courriel sensible et pour protéger des informations confidentielles sur votre disque dur;
Installez un (ou plusieurs) logiciels gratuits de détection des logiciels mouchard (spyware) comme Spybot ou SpyCop;
Utilisez un logiciel pare-feu qui empêche d'autres ordinateurs de se connecter à votre machine et qui permette de gérer l'accès de vos logiciels à Internet;
Neutralisez certaines applications que vous n'utilisez pas, et en particulier celles qui permettent d'accéder à votre ordinateur;
Sécuriser votre réseau sans-fil (Wi-Fi) en activant la fonction WPA avec un mot de passe d'au moins 20 caractères, et ne vous connectez pas sur les réseaux qui ne disposent pas d'un niveau de sécurité équivalent (en déplacement pour affaires par exemple).

Ces conseils à la portée de tous nous rappellent que la négligence des utilisateurs est l'un des principaux avantages dont disposent les pirates informatiques et les fraudeurs.

La convergence de la sécurité physique et de la sécurité digitale

2006-11-14T21:43:00.000-03:30

IBM mettra sur le marché dans les prochains mois des solutions de sécurité dites "intégrées" qui combinent des systèmes de vidéosurveillance et de contrôle d'accès à des logiciels "intelligents" d'analyse des données. Ces logiciels s'appuient sur des algorithmes pour détecter des comportements suspects ou anormaux, comme des véhicules stationnés dans des zones interdites aux alentours des aéroports, des individus circulant à contresens dans les couloirs d'accès aux transports en commun ou ne s'arrêtant pas aux caisses enregistreuses d'un magasin après avoir pris un produit dans un rayon. Les algorithmes utilisés permettent de lancer des alertes dès qu'un comportement anormal est détecté, ou de mener des recherches sur des individus ou des véhicules spécifiques parmi des milliers ou des millions d'heures d'enregistrement avec une efficacité bien supérieure à celle d'opérateurs humains. Cette tendance à l'intégration des équipements qui enregistrent des informations sur les déplacements des individus et des véhicules avec des logiciels qui permettent une analyse beaucoup plus systématique de ces informations aboutit au renforcement de la traçabilité des personnes. En effet, il s'agit ici de convertir nos allées et venues dans le monde réel en des données numériques aisées à analyser et à conserver, afin de pouvoir les fusionner aux données recueillies lors de nos incursions dans le monde virtuel.

L'état de la sécurité portuaire dans le monde

2006-11-13T23:39:00.000-03:30

Une équipe de chercheurs de l'Université du Texas vient de rendre public un rapport sur les initiatives américaines et internationales destinées à mieux contrôler le transport maritime et à éviter que des containers ne soient utilisés par des groupes terroristes comme vecteurs d'armes de destruction massive. Outre la description exhaustive des mesures mises en place et rendues obligatoires par les douanes américaines aux pays faisant commerce avec les États Unis, des études de cas portant sur les assemblages de sécurité dans sept ports, dont celui de Marseille, sont proposées. Celles-ci démontrent notamment les différentes priorités en matière de sécurité: alors que les responsables américains sont essentiellement préoccupés par une éventuelle attaque terroriste catastrophique, les directeurs de la sécurité des ports étudiés sont plutôt focalisés sur la contrebande, la fraude ou le trafic d'êtres humains. Les coûts prohibitifs de certains contrôles et leur impact sur le commerce international sont également abordés.

La surveillance par satellite des agresseurs sexuels

2006-11-11T20:17:00.000-03:30

Les récentes élections qui se sont tenues aux États Unis en début de semaine n'ont pas seulement permis la prise de contrôle par le parti Démocrate de la Chambre des représentants et du Sénat. De nombreux états tenaient également des élections locales et les électeurs de la Californie se prononçaient notamment sur une série de propositions législatives variées. La proposition 83 avait ainsi pour objectif de rendre obligatoire la surveillance par GPS des personnes condamnées pour agression sexuelle pour le reste de leur vie. Cette disposition a été adoptée avec 70% des suffrages exprimés. Même si certaines dispositions de cette nouvelle loi risquent d'être frappées d'inconstitutionnalité, son application continuera tant qu'un jugement ne sera pas prononcé par la Cour suprême. On estime qu'environ 20.000 personnes seraient concernées par cette mesure.

Cette surveillance par satellite ne sera pas en mesure d'empêcher la récidive, puisque les bracelets fixés aux chevilles des personnes concernées peuvent être aisément retirés. C'est plutôt une fonction de dissuasion qui est ici recherchée. La technologie GPS permettra notamment de créer des zones interdites d'accès aux anciens condamnés (comme les abords des écoles ou les parcs publics) à l'aide de barrières virtuelles. Des alarmes peuvent être programmées dès que le porteur passe un certain temps dans ces zones, plutôt que de la traverser en voiture par exemple. Un fabriquant de bracelets de localisation a même inséré une radio à son produit afin que les surveillants puissent directement s'adresser aux surveillés! Les coûts de fonctionnement s'élèvent à 8$ par jour et par personne surveillée. Des problèmes techniques subsistent encore, étant donné que le signal GPS reste bloqué à l'intérieur des bâtiments.

Mais la véritable question que pose l'adoption de cette loi est celle de l'imminence d'une société de surveillance maximale, dans laquelle les capacités techniques seront utilisées pour maintenir un contrôle permanent sur les allées et venues d'anciens condamnés, ou de toutes les personnes jugées vulnérables comme les personnes âgées, les enfants ou les individus souffrant de désordres mentaux. La délégation de ces pratiques à des entreprises pose également le problème de l'intégrité des données relatives aux déplacements privés des individus.

Le forage de données s'intensifie aux frontières US

2006-11-05T19:49:00.000-03:30

L'administration américaine des douanes vient d'annoncer dans le journal officiel du gouvernement fédéral son intention de mettre sur pied un nouveau programme de forage de données (ou datamining en bon français) baptisé "Automated Targeting System" ou ATS. Ce projet permettra de croiser de vastes quantités d'informations déjà en possession du gouvernement US, ainsi que celles fournies par les compagnies aériennes sur leurs passagers qui se rendent aux États-Unis. Ces informations pourront être conservées pendant 40 ans et seront partagées de manière extensive avec diverses agences gouvernementales américaines et étrangères. Des algorithmes seront utilisés afin d'attribuer à chaque passager entrant ou quittant les USA, ainsi qu'à toute cargaison traversant la frontière un "score de risque" qui déterminera l'intensité des contrôles qui seront appliqués.

Outre la très grande difficulté liée à la détermination du degré de risque d'un individu à partir d'informations souvent incomplètes ou erronées, aucun mécanisme d'accès aux informations détenues n'est prévu, ce qui rendra le passage à la frontière périlleux pour les homonymes de personnes recherchées ou les individus ayant fait l'objet d'une mauvaise évaluation.

En bref

2006-10-29T16:56:00.000-03:30

Un candidat au poste de directeur des écoles publiques de l'Oklahoma suggère que l'on recouvre les manuels scolaires d'une couche de kevlar, le matériau utilisé dans les gilets pare-balles, afin d'offrir aux élèves une meilleure protection en cas de fusillade dans leur école. Pourquoi ne pas carrément généraliser le port de l'uniforme, qui pourrait être fabriqué dans ce tissu miracle? (une vidéo de l'effet de tirs d'AK47 sur des manuels scolaires est visible sur le site en lien).

81% des entreprises américaines ont déclaré avoir perdu au moins un ordinateur portable au cours des 12 derniers mois, selon une étude réalisée par l'entreprise de consultant Vontu. 64% des 500 répondants ont affirmé que leur organisation n'avait aucune politique d'inventaire des données confidentielles sur support électronique, et 50% n'avaient pas la moindre idée d'ensemble concernant les politiques de stockage de l'information sensible (propriété intellectuelle, états financiers, contrats en négotiation...).

Christopher Soghoian nous explique dans son blog comment produire de fausses cartes d'embarquement afin de pénétrer dans les zones de sécurité des aéroports, et même dans les avions sous une fausse identité. Afin de faciliter la tâche des internautes et attirer l'attention sur cette brêche énorme du système de la sécurité aérienne, il avait même mis en ligne un site permettant de créer autant de cartes d'embarquement que nécessaire. Apparemment, le FBI n'a pas trouvé que c'était une bonne idée et a perquisitionné son domicile en lui demandant de fermer son site. La faille de sécurité elle reste toujours ouverte.

Un réseau de capteurs acoustiques à Washington

2006-10-23T23:47:00.000-02:30

La ville de Washington vient de se doter d'un réseau de capteurs acoustiques destinés à détecter et à localiser des coups de feu de manière instantanée. Cette technologie développée par l'entreprise Shotspotter utilise un réseau de capteurs de la taille de pots de peinture dissimulés sur le toit d'immeubles pour trianguler la position géographique de coups de feu. Ce système permettrait aux policiers d'arriver sur les lieux suffisamment rapidement pour augmenter leurs chances d'arrestation d'un suspect et les chances de survie des victimes, et tout particulièrement dans des quartiers sensibles où la routine de ce genre d'événement n'entraîne pas systématiquement d'alertes téléphoniques de la population à la police. Si d'autres villes ont déjà adopté cette technologie, le fait que cette expérimentation soit subventionnée par le FBI et qu'une évaluation positive permette d'envisager une généralisation à d'autres quartiers et d'autres villes risque de ne pas laisser les investisseurs insensibles. Le coût pour équiper une ville de la taille de Washington serait de plusieurs millions de dollars.

Une nouvelle forme de surveillance sonore, qui complèterait l'omniprésente surveillance visuelle des caméras vidéos, est-elle en train de voir le jour? Si les capacités actuelles de Shotspotter semblent incapables de reconnaître une voix dans la masse ou d'isoler une conversation distante, on doit bien avouer qu'une telle possibilité devient envisageable, et qu'il faudra peut-être bientôt faire attention aux paroles que l'on prononcera en public.

La panique morale de la cybercriminalité

2006-10-16T11:21:00.000-02:30

Le quotidien québécois La Presse publie aujourd'hui un article qui frise la mauvaise foi, et qui reflète la panique morale en train de s'établir autour du problème de la cybercriminalité. Le terme de panique morale a été pour la première fois utilisé en 1972 par un criminologue anglais, Stan Cohen, pour décrire:

"...une condition, épisode, personne ou groupe de personnes qui émerge en tant que menace aux intérêts et valeurs sociales (Cohen, 1972, 9). Ces menaces sont décrites de façon sensationnelle par les médias ainsi que d’autres agents de contrôle social, tels que les politiciens, la police ou les leaders religieux, avec l’intention d’établir des paramètres balisant les comportements acceptables (Welch, 2000)" (Neuilly et Zgoba 2005).

Dans l'article de La Presse, on apprend ainsi que la viabilité de la cyberéconomie canadienne serait menacée par la cybercriminalité galopante, et que cette préoccupation émane des plus hautes sphères du gouvernement, puisqu'elle s'appuie sur un document rédigé par des hauts fonctionnaires du ministère de l'industrie. Plusieurs chiffres alarmistes sont cités, dont celui d'un quart des états-uniens sur quatre qui serait chaque mois la victime d'une attaque destinée à voler son identité.. rien de moins! Chaque citoyen de notre voisin du Sud serait donc directement menacé pas moins de trois fois par an, de quoi en effet mettre l'économie dans tous ses émois. Une rapide consultation du site internet à partir duquel ce chiffre est tiré nous éclaire sur ce chiffre: les fonctionnaires fédéraux et le journaliste de La Presse entendent par "attaque visant à voler l'identité d'une personne" les courriels d'hammeçonnage que nous recevons par dizaines chaque semaine dans nos boîtes aux lettres électroniques.

La plupart des utilisateurs d'internet ne prêtent aucune attention à ces pourriels, et de nombreux fournisseurs d'accès les éliminent automatiquement avant même qu'ils atterrissent dans nos boîtes. Si ce type de pratique fait encore hélas toujours trop de victimes, des chiffres beaucoup plus réalistes réunis par le ministère de la justice des USA nous amènent à penser qu'environ 3,5% des foyers ont subi un préjudice financier sur une période de 6 mois en 2004 du fait d'un vol d'identité, et que la médiane des sommes perdues se situait aux alentours de 400$. Ces montants sont en général assurés ou remboursés par les institutions financières. Une augmentation a peut-être eu lieu, mais on reste encore loin de la menace généralisée décrite dans le rapport gouvernemental et l'article en question.

Un autre chiffre censé nous sensibiliser fait état de 40% des canadiens qui évitent d'acheter des biens ou des services sur internet pour des raisons de sécurité. Peut-être que les commerçants de quartier pourront tirer profit de cette situation et que cela permettra de maintenir encore pendant quelques temps des liens sociaux de proximité.
______________________________________
Mélanie-Angela Neuilly et Kristen Zgoba, « La panique pédophile aux États-Unis et en France », Champ pénal, Responsabilité / Irresponsabilité pénale mis en ligne le 14 septembre 2005. URL : http://champpenal.revues.org/document340.html. Consulté le 16 octobre 2006.

Documentaire sur le Taser

2006-10-12T00:28:00.000-02:30

L'émission Enjeux, de la télévision de Radio-Canada proposait ce soir un documentaire très complet sur le Taser et les risques associés à son usage. Des études de cardiologues sont notamment citées, et la campagne de communication du fabricant qui participe à la construction du mythe de la létalité réduite est également trés bien exposée.
Le documentaire est disponible en visionnement et des liens additionnels sont proposés.

Les dollars tombent du ciel pour les drones policiers

2006-10-11T22:29:00.000-02:30

Le budget du ministère étatsunien de la sécurité intérieure (DHS) pour l'année 2007 prévoit d'attribuer 25 millions de dollars pour l'achat et la mise en service de drones de surveillance des frontières maritimes et terrestres du pays (ce qui inclut la frontière avec le Canada). Cette décision n'a donc pas été affectée par l'écrasement d'un tel engin en avril dernier en Arizona, qui avait soulevé la question de la sécurité entourant l'utilisation de ces aéronefs sans pilotes dans des environnements non-guerriers. Plus récemment, deux drone belges de la force de paix EUFOR se sont écrasés au Congo dans la capitale Kinshasa, le plus récent incident ayant tué une personne et en ayant blessé deux autres. L'Autorité Fédérale de l'Aviation (FAA) américaine, consciente de nombreuses questions encore non résolues sur ce point a d'ailleurs signifié au Shériff de Los Angeles qui prévoyait de tester son propre drone la nécessité d'obtenir un permis de vol spécifique avant de poursuivre toute expérimentation. De plus, la FAA a mandaté la société Lockheed Martin afin de l'aider à intégrer ces nouveaux objets volants au trafic aérien civil déjà passablement congestionné. Petit détail d'importance, Lockheed est l'un des principaux fabricants de drones aux USA. Cela n'aidera certainement pas à une évaluation objective de l'efficacité de ces outils pour des missions policières, qui laisse certains observateurs tel que l'Inspecteur du DHS dubitatif. Celui-ci a en effet déclaré au Congrès américain en décembre 2005 que les drones, en raison de la maintenance requise et de leur fragilité structurelle coûtaient environ deux fois plus cher à utiliser que des aéronefs avec pilotes. Cette voix discordante n'a visiblement pas eu un grand impact sur les législateurs.

La vérité sur les listes de passagers aériens suspects

2006-10-06T11:08:00.000-02:30

Dimanche prochain, la chaîne CBS diffusera dans son émission "60 minutes" un reportage sur les listes de passagers aériens interdits de vol, qui ont été instituées au lendemain des attentats du 11 septembre 2001. Ces listes ont été constituées dans l'urgence en fusionnant toutes les bases de données des services de renseignement et de police, et sans qu'une réflexion très poussée sur la fiabilité des informations qu'elles contiennent n'ait été menée. Toute personne ayant à un moment ou à un autre été en lien avec un individu ou une entité soupçonnée de terrorisme, ainsi que tous ses homonymes, sont associés par défaut à la catégorie des menaces potentielles à la sécurité nationale et font l'objet de contrôles accrus dans les aéroports, confinant parfois au harcèlement. Maher Arar, arrêté par les autorités américaines lors d'une escale aux USA et expulsé vers la Syrie pour y être torturé sur la foi de renseignements erronés transmis par le gouvernement canadien représente certainement un exemple extrême du préjudice qui peut résulter de cette pratique lorsqu'elle est mal appliquée et mal encadrée.

L'enquête de "60 minutes" fait ainsi apparaître que la liste principale utilisée en mars 2006 comportait les noms de personnes dont on peut douter qu'ils représentent une grande menace terroriste, comme Saddam Hussein (en prison en Irak), Nabih Berri (président du parlement libanais) ou Evo Morales (président de la Bolivie). Par ailleurs, les noms de certains membres d'Al Qaeda activement surveillés par les services de renseignement occidentaux et arabes ne figurent pas sur ces listes, pour éviter des fuites concernant des opérations en cours... On peut quand même être rassuré, le nom d'Osama ben Laden est bien présent (avec deux orthographes différentes), au cas où il déciderait de rendre une petite visite à ses sympathisants américains.

La caméra de surveillance voudrait vous dire un mot

2006-09-19T10:27:00.000-02:30

Dans un nouvel effort de déshumanisation des relations humaines, la ville de Middlesbrough, au Royaume Uni, vient de franchir un pas de géant pour l'humanité. Elle vient en effet d'installer sept caméras de surveillance munies de haut-parleurs, comme nous l'apprend une dépêche de l'AFP reprise dans La Presse. Ces haut-parleurs permettent aux opérateurs des caméras d'interpeller directement les personnes surprises en train de commettre des "incivilités" comme jeter des papiers gras par terre, traverser en dehors des passages piétons, ou vandaliser des équipements publics. Selon un conseiller municipal, il s'agit d'une "espèce d'humiliation publique, mais cela signifie que les gens ne recommenceront plus"... Ou peut-être vont-ils justement trouver distrayant de provoquer cette voix qui descend du ciel? Par ailleurs, ce souci de "nettoyer" l'espace urbain de tout signe visible de désordre donne lieu à une nouvelle forme de pollution sonore qui aura certainement vite fait d'exaspérer les piétons.

Cette dématérialisation des relations humaines, et en particulier dans les activités de sécurité et de prévention, se manifeste également par la multiplication des robots de surveillance, qui sont destinés à remplacer les gardes de sécurité. Des entreprises comme Robosoft (en France), Mobile Robot (aux USA), ou encore Secom (au Japon), sont parmi les entreprises qui proposent ce genre de produits. La dernière des trois a développé le Robot X, qui est équipé de caméras, de haut-parleurs et d'un canon à fumée non toxique destiné à repousser les intrus en dehors du périmètre de sécurité patrouillé. Le coût de location de ce robot est d'environ 2.700 USD par mois, soit la moitié du salaire mensuel d'un garde de sécurité au Japon.

Le terrorisme, une cause de décès marginale

2006-09-14T21:53:00.000-02:30

Les commémorations du 11 septembre 2001 passées, une analyse non scientifique des causes de décès de la population américaine pour les 10 dernières années nous rappelle à quel point le terrorisme reste marginal, comparé à des évènements accidentels. Cette étude, menée par un journaliste de Wired à l'aide de données officielles, montre ainsi qu'entre 1995 et 2005, 3147 personnes sont décédées dans des attentats aux USA. Pendant la même période, 254.419 personnes perdaient la vie au volant de leur véhicule dans des sorties de route, 140.327 s'empoisonnaient accidentellement, environ 60.000 périssaient dans des accidents du travail et près de 20.000 ne survivaient pas à une mauvaise grippe. Chiffre peut-être plus inquiétant dans le cadre de la sécurité publique: le nombre de personnes abattues par les forces de l'ordre (3.949) était plus élevé que celui des victimes du terrorisme. Ce palmarès macabre nous rappelle la multiplicité des risques auxquels la vie courante nous confronte, et les variations importantes de notre tolérance à l'égard de certains d'entre eux. Alors que des milliards de dollars ont été investis depuis le 11 septembre dans la lutte contre le terrorisme, une indifférence complète semble toujours règner à l'égard de formes beaucoup plus diffuses de dangers qui résultent bien souvent de notre propre témérité.

Les profits du 11 septembre

2006-09-09T18:28:00.000-02:30

À quelques jours du cinquième anniversaire des attentats contre les tours jumelles et le Pentagone, quelques articles viennent nous rappeler que si les secteurs du transport aérien, maritime, du tourisme ou des assurances ont subi des pertes considérables (les estimations des coûts directs dépassent les 80 milliards de dollars US), d'autres entreprises ont directement profité des besoins en équipements et en services de sécurité. Aux États-Unis seulement, les dépenses du gouvernement fédéral au titre de la sécurité sont passées de 17 milliards de dollars US en 2001 à 58 milliards en 2007, ce qui dépasse largement le rythme de l'inflation. Un article du MIT Technology Review dresse ainsi le portrait de petites entreprises qui ont connu une croissance fulgurante après avoir obtenu des contrats du Department of Homeland Security. Cependant, bien souvent, les décisions d'attribution des contrats sont prises dans l'urgence, et les technologies qu'on demande à ces start-ups de mettre sur le marché sont rarement opérationnelles, ce qui entraîne des gaspillages à la mesure de la montagne de billets verts dépensés. Le Washington Post a d'ailleurs révélé il y a quelques semaines de nombreux abus dans ce domaine. Au Québec également, la société Garda a su admirablement profiter du nouvel environnement d'insécurité créé par le 11 septembre, ce qui lui a permis de connaître une croissance exceptionnelle. Fondée il y a seulement 11 ans avec 25.000$ de capital, elle emploie aujourd'hui 20.000 employés et vient de faire son entrée sur le marché de la sécurité privée haut de gamme, avec le rachat de la société américaine Vance International (voir le dossier dans La Presse Affaires du samedi 9 sept. 06). Les employés de Garda assurent notamment le contrôle des passagers et des bagages (sous uniforme CATSA) aux aéroports de Montréal et de Toronto. Si les actionnaires de ces entreprises peuvent se réjouir pour l'instant des juteux contrats qu'elles obtiennent, les citoyens qui dépendent d'elles pour leur sécurité disposent encore de trop peu d'éléments pour évaluer objectivement leur contribution à la prévention des actes terroristes. À l'instar de Bruce Schneier, certains n'hésitent d'ailleurs plus à parler d'une théâtralisation de la sécurité, plus axée sur la perception que sur la réalité. Les décors et les figurants de la superproduction qu'on nous propose depuis cinq ans ne semblent toutefois pas suffisant pour convaincre tout le monde d'assister au spectacle.

Les tasers arrivent en France

2006-09-02T11:51:00.000-02:30

Les pistolets à impulsion électrique (ou taser en bon français) vont équiper prochainement la police nationale française, après une période d'expérimentation de quelques mois à Lyon. S'il est facile d'adhérer à l'idée que ce type d'armes à létalité réduite constitue une alternative préférable à l'utilisation d'armes à feu, les risques résiduels découlant de l'usage de tels équipement sont fréquemment passés sous silence par les policiers et leurs frabricants. Aux USA et au Canada, entre1999 et 2005, au moins 140 décès sont attribués à l'usage de tasers par les forces de l'ordre. Les victimes souffraient de problèmes cardiaques, se trouvaient dans des situations de stress intense ou étaient sous l'emprise de drogues, ce qui rendit la décharge électrique fatale. De plus, la tentation est forte pour de nombreux policiers d'étendre l'usage de cette arme qui ne laisse pas de traces à des situations non violentes, mais où la personne fait preuve d'un certain degré de résistance aux ordres qui lui sont donnés. Le nombre de procès intentés à la société Taser et aux forces de l'ordre s'accumule, et devant l'inquiétude des services de police américains, le Département de la Justice a annoncé en juin 2006 l'ouverture d'une enquête afin d'évaluer de manière un peu plus scientifique que les arguments marketing complaisamment relayés par les médias la dangerosité réelle de cette arme.

La mémoire des portables

2006-08-31T19:22:00.000-02:30

La société Trust Digital vient de rendre publics les résultats d'une petite expérience menée sur la sécurité des données stockées sur les assistants personnels type Treo et Blackberry, ainsi que sur des modèles courants de téléphones portables permettant à leurs utilisateurs d'accéder à leurs courriels. L'entreprise s'est procuré une dizaine de téléphones d'occasion sur eBay, et en a exploré les entrailles. Les données mal ou peu protégées récupérées incluaient:

La correspondance entre un homme marié --que sa femme suspectait-- et sa maîtresse;
Des détails confidentiels sur des contrats de plusieurs millions de dollars en cours de négociation;
Des comptes bancaires et les mots de passe associés;
Des ordonnances médicales.

L'impression de ces données personnelles et professionnelles plutôt confidentielles correspondrait à 27.000 pages de texte. La raison pour laquelle il est si difficile d'effacer ces données réside dans la lenteur des mémoire flash dont sont équipés les téléphones cellulaires (la même que celle que l'on retrouve sur les clés USB) à s'acquitter de cette fonction. Les fabricants ont par conséquent recours à des procédures plus expéditives qui ne causent pas de délais pour l'utilisateur, mais qui sont beaucoup plus superficielles. Il en résulte que la pratique qui consiste à revendre sur internet des téléphones cellulaires usagés crée un risque non négligeable pour leur propriétaire. Un moyen de s'assurer que des données sensibles ne tombent pas entre les mains de la concurrence ou de cyberfraudeurs reste encore de les plonger dans un bain d'acide ou de les confier à un sculpteur contemporain qui entre dans sa phase "compression". De surcroît, on assume ici que l'intégrité des serveurs ayant servi à transmettre ces données ne pose aucun problème...

Pepperface: c'est beau mais ça fait pleurer

2006-08-30T18:43:00.000-02:30

La société Pepperface vient de mettre sur le marché ce qu'il affirme être la plus petite bombe lacrymogène au monde, destinée à l'autodéfense des femmes qui n'acceptent aucun compromis sur leur style, y compris dans les situations les plus dangereuses. Plusieurs modèles, dont certains incrustés de cristaux Swarovski, sont proposés, et les clientes à la créativité développée peuvent également concevoir leur propre motif décoratif. Outre le facteur esthétique, le concepteur n'hésite pas à jouer la carte de la peur, en rappelant à chaque cliente potentielle que les risques de se faire agresser sont importants, quel que soit l'âge, le lieu ou le moment de la journée. Ce mélange de glamour et de peur s'accompagne d'une bonne conscience sociale, puisqu'un dollar sur chaque bombe vendue est généreusement donné à une association de lutte contre la violence domestique et les agressions sexuelles. Bref, on joue sur tous les tableaux possibles sans aucune vergogne. D'ailleurs, l'iconographie du site laisse également entendre à des attaquants potentiels un peu masochistes qu'ils pourraient même trouver du plaisir à se faire asperger le visage de poivre de cayenne par une amazone plus dominatrice qu'en position d'auto-défense.

Le crochetage de serrure: nouveau sport olympique?

2006-08-25T14:09:00.000-02:30

Le crochetage de serrure, qui jusque-là était réservé aux serruriers et aux cambrioleurs fait son entrée dans le monde des loisirs. De nombreux sites Internet ont en effet permis de populariser un savoir qui auparavant était jalousement gardé par un petit groupe d'experts. Un Guide de crochetage des serrures à goupille peut ainsi être téléchargé gratuitement et librement dans sa traduction française, et dans de nombreuses autres langues. Une association d'enthousiastes du crochetage a également été créée en Allemagne. Si on peut déjà rester perplexe quand à la faible protection que semblent offrir des serrures standard devant la pratique relativement aisée de "l'art" du crochetage, une nouvelle technique ayant fait son apparition en Allemagne et en Amérique du Nord (le bumping) vient démontrer la faiblesse structurelle de la plupart des serrures à goupille. Cette méthode permet en effet à n'importe quel novice de crocheter n'importe quelle serrure après une formation de quelques minutes, et sans vraiment faire appel à une compréhension de la mécanique interne des serrures.

Si cette nouvelle pose un certain nombre de questions sur la protection véritable des espaces privés et la complaisance de l'industrie de la serrurie, ses ramifications s'étendent également au vol d'identité. Celui-ci sera en effet rendu d'autant plus facile par une large diffusion des techniques d'ouverture des boîtes aux lettres. Même les cyber-crimes contiennent ainsi un élément de très basse technologie qui pourrait être aisément prévenu.

La sécurité volatile des infrastructures de l'industrie chimique

2006-08-21T20:57:00.000-02:30

L'industrie chimique n'a jamais eu réellement besoin de terroristes kamikazes pour causer des catastrophes écologiques à l'origine de la mort de dizaines, voire de centaines ou de milliers d'innocents. Seveso en Italie, AZF en France, Bhopal en Inde constituent autant d'exemples qui laissent entrevoir le potentiel de risques de ces installations. On est alors frappé par la résistance extrême de l'industrie chimique aux États Unis à l'imposition de règles de sécurité qui limiteraient le nombre de victimes en cas de catastrophes accidentelles, et surtout terroristes. Les évaluations varient, selon les administrations, mais les plus conservatrices estiment qu'environ 270 usines chimiques se situent aux États Unis à proximité immédiate de zones résidentielles de 50.000 personnes ou plus.

Deux visions de la sécurité s'affrontent ici: d'un côté, l'industrie chimique dit investir massivement afin de "durcir" les installations concernées et en empêcher l'accès aux terroristes. D'autre part, l'approche privilégiée par la communauté scientifique et certains législateurs vise plutôt à modifier les processus industriels afin de limiter les risques, notamment en ayant recours à des matières premières moins toxiques, à des processus de fabrication à basse température et à des modes de production en flux tendus qui limitent les quantités de produits toxiques fabriquées au strict nécessaire. Cependant, dans l'absence d'incitations fiscales ou économiques, l'industrie traîne les pieds et mobilise ses lobbyistes au parlement et dans les couloirs du pouvoir exécutif. De la même façon que la sécurité aérienne a été radicalement transformée par les attaques du 11 septembre, l'industrie chimique est à la merci d'un événement catastrophique qui ne manquera pas, dans un avenir très proche, de mettre en cause la responsabilité de ses dirigeants.

Un avion indétournable ?

2006-08-18T11:19:00.000-02:30

Un consortium de chercheurs du secteur public et privé sont en train de développer des technologies qui ont pour ambition de rendre impossible des détournements d'avion. Le projet SAFEE (Security of Aircraft in the Future European Environment) table sur des technologies embarquées qui feront de l'avion lui-même la "dernière ligne de défense" contre des menaces terroristes. Les technologies actuellement à l'étude comprennent des détecteurs visuels et olfactifs de menaces; des systèmes de communication permettant de transmettre des informations entre le ciel et la terre sur ces menaces. Ne sont mentionnées sur le site que des technologies portant sur la détection de la menace. Cependant, des systèmes de contre-mesure ou de limitation des dommages (en cas d'explosion en vol par exemple) devront aussi être étudiés afin de traiter les menaces qui se seront transformées en attaques. Mais il y a peut-être là quelque chose de nature à ne pas vraiment restaurer la confiance des passagers dans le voyage aérien, qui est l'un des objectifs avoués de ce projet... Par ailleurs, devant les délais qui ne cesseront pas de se manifester, un objectif plus immédiat est d'influencer les autorités responsables de la sécurité du transport aérien, certainement afin qu'elles produisent un environnement règlementaire favorable à la commercialisation de ces nouvelles technologies.

Profilage facial dans les aéroports

2006-08-17T23:36:00.000-02:30

Dans un entretien accordé au quotidien Le Devoir, Jacques Duchesneau, le Directeur de l'Autorité Canadienne de Sécurité du Transport Aérien (ACTSA) nous annonce l'arrivée inévitable au Canada des techniques de profilage du comportement développées en Israel et aux États Unis. Selon lui:

Ce n'est plus une approche mécanique qu'on doit avoir, par exemple dire que le quatrième passager est fouillé et que si c'est la juge en chef du Canada, eh bien, on la fouille quand même parce qu'elle est la quatrième, dit-il. Cette réglementation devrait être revue.... On doit faire une certaine ségrégation, qu'on le veuille ou pas. Ça viendrait faciliter les choses parce qu'on ne prendrait peut-être pas 20 secondes pour tout le monde et on prendrait peut-être plus de 20 secondes pour d'autre monde.

Il fait là référence aux techniques d'analyse du comportement et des expressions faciales développées par les services de sécurité Israéliens et des psychologues américains, dont le plus connu est Paul Ekman. Ces techniques, qui mettent l'accent sur le comportement d'un terroriste potentiel, plutôt que sur l'analyse technologique de ses bagages ou des particules d'explosifs présentes sur ses vêtements, sont actuellement en cours de déploiement aux USA, ainsi qu'au Royaume Uni. Elles s'appuient sur des techniques développées au milieu des années 1970 dans le cadre de la lutte contre le traffic de drogues (notamment le programme Jetway de la DEA), et mettent l'accent sur l'observation d'anomalies du comportement avant et pendant l'enregistrement, ou lors de discussions informelles engagées par des agents spécialement formés aux techniques de "lecture" des émotions cachées.

Les promoteurs de telles techniques s'interrogent cependant sur leur transférabilité à l'échelle industrielle du transport aérien mondialisé, qui doit faire voyager quotidiennement des millions de passagers avec le maximum de fluidité. Concernant les expérimentations en cours aux USA, ils notent l'adoption parcellaire de la méthodologie, qui privilégie un système de pointage assez opaque aux dépens d'aspects beaucoup plus importants comme un interrogatoire de second niveau par une personne spécialement formée. Ils évoquent également la difficulté de distinguer l'origine de la nervosité parmi bien des passagers, qui peuvent souffrir d'agoraphobie, de claustrophobie, ou simplement craindre pour leur sécurité, et qui adopteront des comportements de repli ou d'agression proches de ceux de terroristes potentiels. Le spectre du profilage racial n'est enfin jamais bien loin lorsque de telles pratiques faisant appel au jugement humain sur ce qui est "normal" et ce qui ne l'est pas sont mises en oeuvre, les normes culturelles de comportement variant grandement d'un groupe ethnique à un autre.

Si le profilage comportemental est certainement plus prometteur qu'une escalade technologique sans fin, de nombreux obstacles se dressent encore à son implantation dans les centaines d'aéroports internationaux qui englobent la planète. Nul doute par exemple que l'on trouvera bientôt sur Internet des manuels de contrôle des muscles faciaux destinés aux futurs terroristes.

Détecter les explosifs liquides: c'est possible mais trop cher

2006-08-12T12:23:00.000-02:30

Un article du Toronto Star (abonnement gratuit requis) nous apprend que la technologie qui permet de détecter la présence d'explosifs liquides dans les bagages à main existe depuis environ 10 ans. La société Rapiscan serait en mesure d'équiper immédiatement de nombreux aéroports. Cependant, le coût prohibitif de ces machines (250.000 USD par unité) fait qu'on ne compte pas d'aéroports parmi ses quelques clients actuels. De plus, la durée d'analyse qui est d'environ une minute par objet "scanné" congestionnerait encore plus des aérogares déjà bien encombrés. En attendant qu'une attaque à l'explosif liquide réussisse, on continue donc à utiliser des technologies obsolètes mais abordables sur le plan financier.

C'est ce que l'on pourrait appeler la technique du rétroviseur: on se concentre sur les menaces passées, en tenant pour nulle la capacité d'innovation et de créativité des terroristes. On dépense alors des milliards en équipements sur la base d'événements déjà survenus, ce qui est plus facile à justifier auprès de l'opinion publique et des décideurs politiques que d'essayer de prédire la forme que prendra la prochaine attaque et d'investir en conséquence. Cela explique pourquoi les avions de ligne ne sont pas encore protégés contre les MANPADS (Man-Portable Air Defense Systems), ce qui reste de l'avis de beaucoup de spécialistes du terrorisme une des menaces les plus imminentes qui pèsent sur le transport aérien. Selon la Fédération des Scientifiques Américains, il y aurait 500.000 MANPADS en circulation dans le monde, dont plusieurs milliers disponibles sur le marché noir. Cependant, à l'heure actuelle, les coûts de déploiement de systèmes de protection contre les MANPADS sont tellement exorbitants (de 1 à 3 millions USD par avion) que même la compagnie Israélienne El Al a pour l'instant interrompu l'équipement de ses appareils. Cette inflation des coûts des technologies de sécurité et des choix budgétaires qu'elles amènent immanquablement à faire constituent à cet égard autant un facteur d'insécurité que de protection accrue.

Sécurité vs. Profitabilité: les dilemmes du transport aérien

2006-08-11T09:59:00.000-02:30

Les mesures de sécurité imposées aux voyageurs du transport aérien au lendemain des arrestations menées en Angleterre font pour l'instant l'objet d'un consensus, devant la menace terroriste apparemment imminente d'un 11 septembre bis. Cependant, cete belle unité de façade devrait céder la place dans les prochains jours ou les prochaines semaines à des appels plus ou moins voilés des compagnies aériennes et des aéroports afin de rendre moins restrictive la liste des produits autorisés en bagages à main.

C'est en effet tout le segment de passagers d'affaires qui risque de déserter les premiers rangs des cabines, préférant le confort des salles de téléconférence au parcours du combattant des contrôles de sécurité. On les voit mal laisser voyager en soute leurs précieux téléphones et ordinateurs portables, remplis de données commerciales confidentielles. La nature spartiate des conditions de vol imposées depuis 24 heures devrait constituer pour beaucoup un incitatif négatif. Par ailleurs, les ventes d'alcool des boutiques duty-free seront certainement inexistantes pendant toute la durée des restrictions, conduisant rapidement à des pertes de revenus considérables et à des licenciements. Les compagnies aériennes, qui commençaient tout juste à sortir la tête hors de l'eau vont certainement être touchées par une nouvelle vague de faillites spectaculaires.

Les pressions vont donc rapidement s'accumuler sur les autorités publiques responsables de la sécurité des transports pour lever les restrictions les plus incommodantes. Jusqu'à ce que l'on ait connaissance de la nature exacte de l'attaque planifiée, et de ses paramètres techniques, il est impossible de prédire quelles mesures de sécurité deviendront permanentes, et lesquelles seront discrètement abandonées. Cependant, la constance des groupes terroristes dans le choix du transport aérien comme cible privilégiée, et leurs efforts sans cesse renouvelés pour identifier les failles dans la protection des aéroports et des avions n'incite guère à l'optimisme.

PS: Dans son édition du 19 août, Le Monde propose un interview du Président de l'Association Internationale de l'Aviation Civile (265 compagnies aériennes) qui réclame la prise en charge intégrale des dépenses de sécurité par les gouvernements. On se demande s'il compte aussi partager les profits de ses membres avec les États, qui auront contribué à assurer la viabilité de leur modèle d'affaire... Le Figaro, quant à lui, décrit la polémique qui enfle entre les transporteurs anglais et les exploitats de l'aéroport, à qui ils comptent demander des dommages et intérêts pour la mauvaise gestion de la crise.
______________________

Un article du Washington Post sur l'impact initial des nouvelles règles sur les magasins d'aéroports (les boutiques de bagages semblent s'en sortir).

Une réflexion intéressante sur la modélisation de ce type de risques.

Le gouvernement chinois envoie des SMS par millions

2006-07-28T13:37:00.000-02:30

Le gouvernement chinois informe des millions de citoyens des dangers climatiques imminents qui les guettent à l'aide de SMS. En effet, le taux d'équipement en téléphones portables est supérieur à celui des téléphones fixes (426 millions d'abonnés contre 365), dont les coûts d'infrastructure sont plus importants pour un pays aussi vaste et aussi peuplé que la Chine. Lorsqu'un typhon ou une violente tempête est prévue, les autorités avertissent les pêcheurs en mer ou les résidents des villes côtières afin qu'ils s'y préparent. Dans la province du Fujian, ce sont ainsi 18 millions de courts messages textes qui ont été expédiés lors de cinq alertes météorologiques cette année.

Ce système a également été utilisé dans le cadre de l'épidémie de SRAS, et afin de décourager les manifestations anti-japonaises en 2005, où des millions de chinois ont vu s'afficher sur l'écran de leur cellulaire: "respectez la loi, maintenez l'ordre". Cette technique n'est pas nouvelle, les activistes l'ayant déjà utilisée dans le monde entier pour organiser en quelques heures des manifestations de grande ampleur qui prennent généralement les forces de police par surprise. Le pouvoir de cet outil pour mobiliser les masses dans des perspectives d'engagement politique ou de sécurité civile reste encore méconnu, même si un nombre croissant de chercheurs s'est attelé à la modélisation de tels phénomènes à l'aide d'outils développés par les épidémiologistes.

La police et les espions se mettent à blogger

2006-07-24T15:02:00.000-02:30

Deux nouveaux blogs policiers officiels (les premiers?) ont fait leur apparition sur Internet. Le premier, qui émane de la police chinoise, dans la province du Hebei, a pour objectif de mieux faire connaître le quotidien des agents de police et de susciter des suggestions sur les moyens d'améliorer les services de police. Plus d'un million de visiteurs l'auraient consulté au cours des deux premiers mois d'existence. Cependant, les promoteurs du projet ne cachent pas qu'il est avant tout destiné à "étendre l'influence de la police", et à ce titre, on ne s'attend pas à ce que des discussions trop critiques y soient lancées.

Le second blog par contre est beaucoup moins consensuel. Écrit par le directeur de la police du North Wales, au Royaume Uni, celui-ci n'hésite pas à fustiger ses supérieurs au ministère de l'intérieur qui ne lui donnent pas les moyens suffisants de remplir ses missions ou qui maintiennent des règlements désuets. Il évoque également avec candeur sa surcharge de travail et la dimension parfois politique de celui-ci.

À l'intérieur des organisations de sécurité et de renseignement, les blogs deviennent également un moyen additionnel d'échange de l'information et d'innovation, comme en atteste le renvoi d'une consultante de la CIA qui était chargée de produire un blog accessible aux espions américains sur le serveur ultra-sécurisé Intelink, et qui a affirmé au grand dam de ses employeurs que ces derniers approuvaient l'usage de la torture. Plus de 1.000 blogs portant sur le renseignement, le terrorisme et d'autres sujets ultra-secrets auraient été créés depuis l'an dernier.

Les iPods bannis des entreprises canadiennes

2006-07-18T11:52:00.000-02:30

Un sondage de la firme Ipsos-Reid rendu public aujourd'hui semble indiquer une méfiance de plus en plus prononcée des entreprises canadiennes à l'encontre des gadgets miniaturisés de stockage des données tels que les iPods ou les barettes de mémoire flash (clés USB). Réalisé entre mars et mai 2006 auprès de 259 grandes et moyennes entreprises, et commandité par la société Sun Microsystems, ce sondage portait sur la sécurité de l'information dans ces entreprises.

50% des dirigeants sondés ont déclaré interdire à leurs employés d'utiliser leur propre ordinateur portable ou des clés USB personnelles sur leur lieu de travail, et 30% ont interdit à ceux-ci d'utiliser des lecteurs MP3, qui pourraient servir à voler de grandes quantités d'informations privilégiées à partir des ordinateurs fixes ou du réseau intranet de l'entreprise. Cependant, de l'aveu même des managers interrogés, 17% disent ne pas avoir une idée précise des risques associés à l'accés distant de leurs employés au réseau informatique de l'entreprise, et 13% évaluent comme peu efficaces les mesures qu'ils mettent en oeuvre pour gérer les risques générés par de telles technologies. Pour 42% des managers interrogés, le risque le plus grave pouvant toucher l'entreprise est de se faire subtiliser des informations relatives à ses clients.

Quand le cerveau vient à l'aide des machines

2006-07-13T14:36:00.000-02:30

Le Professeur Paul Sadja, directeur du Laboratoire d'imagerie intelligente et d'informatique neuronale de l'Université Columbia vient de recevoir une importante subvention de la DARPA afin de développer une interface cerveau-machine permettant d'accélérer considérablement le traitement de données visuelles. Le cerveau humain traite en effet les informations visuelles plus rapidement que notre conscience, et les ordinateurs sont peu efficaces dans l'identification automatisée de formes et de contextes visuels. En élaborant un système de vision informatique couplable à un cerveau (C3 vision), le professeur Sadja espère rendre les humains capables de traiter 10 fois plus d'images qu'ils ne pourraient le faire sans assistance. Le magazine Wired a mis en lignes quelques photos permettant de mieux comprendre le fonctionnement de ce système. Les services de renseignement et de police, ainsi que les entreprises de sécurité privée pourraient lui trouver une grande utilité pour analyser des quantités importantes d'images de surveillance déversées sur leurs écrans par des milliers de caméras filmant en permanence.

Deux exemples d'échecs dans la lutte contre le terrorisme

2006-07-12T17:58:00.000-02:30

Deux articles illustrent les nombreux ratés que connait la lutte contre la terrorisme menée par le gouvernement américain, malgré les discours optimistes de l'administration Bush:

Le premier dresse un profil de l'entreprise SAIC, qui est l'un des principaux fournisseurs de service aux agences de renseignements et au Pentagone. Elle fait travailler 43.000 employés, dont la moitié disposent d'une côte de sécurité, et son chiffre d'affaire pour l'année 2003 était estimé à 4.7 milliards de dollars. Sa désorganisation (et celle de ses clients) est en partie responsable du fiasco de deux programmes majeurs informatiques du FBI (Virtual Case File) et de la NSA (Trailblazer), qui ont dû être abandonnés aprés des centaines de millions de dollars d'investissements. L'article évoque d'ailleurs une proposition de loi exigeant que les agences de renseignement spécifient chaque année les tâches sous-traitées au secteur privé et les ressources déployées par les fournisseurs privés pour atteindre les objectifs fixés.

Le deuxième article, publié par le New York Times aujourd'hui révèle les conclusions d'un rapport de l'Inspecteur général du Department of Homeland Security, portant sur la base de données des sites potentiellement exposés à des attaques terroristes. Outre le fait que certains états peu peuplés aient repertorié dans cette base de donnée jusqu'à deux fois plus de sites sensibles que des cibles géographiques naturelles comme New York ou la capitale fédérale, le rapport se pose la question de la pertinence de certaines "infrastructures" incluses dans la liste: on y retrouve notamment des marchés aux puces, des foires agricoles, des maisons de retraites, des stands de crème glacée ou même une fabrique de pop-corn en Indiana. Le propriétaire de cette dernière, un Amish, est bien en peine d'expliquer pourquoi son entreprise se trouve répertoriée dans cette base de données, si ce n'est que son produit est lui aussi susceptible d'exploser!

Brèves de clavier

2006-07-07T12:05:00.000-02:30

50.000 passeports canadiens dans la nature
Le Journal de Montreal a obtenu des informations de la Gendarmerie Royale du Canada décrivant les inquiétudes de celle-ci quant à 50.000 passeports volés ou perdus au cours des 4 dernières années, dont une part importante se retrouverait sur le marché noir. Les passeports canadiens seraient en effet idéaux pour les faussaires et les terroristes, puisque leur détenteur attire en général peu l'attention des douaniers à l'étranger. Les listes de passeports perdus ou volés ne sont par ailleurs pas communiquées aux douaniers canadiens.

Les 16 ans de l'Electronic Frontier Foundation
L'EFF, qui défend aux États Unis les droits des internautes contre les abus du gouvernement et des grandes entreprises, fête aujourd'hui ses 16 ans d'existence. Le Globe and Mail nous propose un retour en arrière sur l'histoire de cette association et ses succès, ainsi que ses combats futurs.

Les gangs de rue sur Internet
Toujours dans le Globe and Mail, un article sur la présence en ligne des gangs de rue étatsuniens (les célèbres Bloods et Crips) qui n'hésitent pas à afficher sur leurs sites personnels (Myspace et autres) des photos de leurs exploits illégaux, de leurs membres armés jusqu'aux dents, ou encore des défis lancés aux gangs ennemis. Cependant, cette présence en ligne serait une manne pour les services de police qui s'en servent comme d'une source supplémentaire de renseignements.

Les ordinateurs du FBI piratés

2006-07-06T14:37:00.000-02:30

Des accusations contre un ancien consultant informatique du FBI qui a réussi à pirater les bases de données les plus sensibles de l'organisation ont été rendues publiques aujourd'hui à Washington. Le consultant, frustré par la pesanteur bureaucratique du FBI avait décidé de s'infiltrer dans le système de l'organisation afin d'accélérer certaines procédures techniques. Après s'être procuré deux logiciels téléchargeables sur n'importe quel site consacré au piratage informatique, Joseph Colon a pu obtenir les mots de passe de nombreux utilisateurs haut placés dans la hiérarchie et décrypter ces derniers pour accéder aux fichiers les plus sensibles du FBI. Il a notamment pu consulter la base de données du programme des témoins protégés, qui offre une nouvelle identité aux délateurs et aux personnes collaborant avec le FBI dont la vie est potntiellement en danger. Il a également accédé aux informations concernant les enquêtes en cours dans le domaine du contre-espionnage. Un porte-parole du FBI a déclaré qu'une fois les brêches constatées, plusieurs milliers d'heures de travail ont été investies afin de sécuriser l'ensemble du réseau.

Cet incident vient parfaitement illustrer à quel point des organisations de sécurité et de renseignement ayant investi plusieurs centaines de millions dans leur équipement informatique ne sont elles-même pas à l'abri d'attaques informatiques, celles-ci n'ayant pas besoin d'adopter une méhodologie trés sophistiquée. C'est à la fois inquiétant, en ce qui concerne la compétence des institutions chargées d'assurer notre sécurité, mais aussi rassurant quand aux dysfonctionnements de la machine de surveillance maximale que certains nous promettent.

Profil d'un voleur d'identité

2006-07-05T13:14:00.000-02:30

Le New York Times a publié dans son édition d'hier le profil détaillé d'un voleur d'identité basé sur un long interview avec celui-ci (derrière les barreaux). À tout juste 21 ans, Shiva Brent Sharma a déjà été arrêté 3 fois, et a accumulé plus de 150.000$ en gains illégaux amassés grâce à des cartes de crédit contrefaites et des transferts de fonds illicites (à partir de codes d'accès obtenus par phishing). Issu d'une famille de la classe moyenne et ayant fréquenté les écoles publiques les plus sélectives, Sharma affirme être incapable de résister à la facilité avec laquelle quelques heures de "travail" derrière son ordinateur et sur les sites d'échange d'identités volées lui permettent de se procurer des dizaines de milliers de dollars. Il établit d'ailleurs un parallèle avec une addiction à l'argent facile. Cet article décrit son glissement de simple observateur sur les sites en question à celui d'habitué puis de participant aux échanges qui s'y mènent. La nature pédagogique de ces sites, où l'on peut apprendre à son propre rythme comment se procurer les informations personnelles requises et comment monter sa propre filière de vol d'identité, est également parfaitement décrite. En somme, on est loin d'être en présence d'un criminel endurci appartenant à une groupe structuré issu du crime organisé, mais d'un individu incapable de résister aux opportunité d'argent rapide et facile qui se sont présentées à lui.

Surveillance au Canada: l'indifférence

2006-07-04T12:16:00.000-02:30

Dans un éditorial corrosif du Toronto Star, Thomas Walkom s'interroge sur les différences d'attitudes de la presse et de l'opinion publique canadienne vis-à-vis de la surveillance accrue de la population mis en eouvre par les services de renseignement depuis le 11 septembre 2001: alors que chaque révélation d'un nouveau programme mené par la CIA ou la NSA au États-Unis est traité comme une atteinte potentielle aux droits fondamentaux et reçoit un traitement en profondeur de la part des journalistes (qui bien souvent en révèlent l'existence), de ce côté-ci de la frontière, les inquiétudes manifestées par les organes de contrôle des services de sécurité restent lettre morte.

Par exemple, dans son rapport annuel, la Commissaire à la protection de la vie privée a tancé l'Agence des services frontaliers pour la manière cavalière dont certaines informations personnelles étaient communiquées à leurs homologues états-uniens. Cette semaine, l'ancien juge de la Cour suprême et Commissaire du Centre de la Sécurité des Télécommunications Antonio Lamer, vient également dans son dernier rapport annuel soulever un certain nombre d'inquiétudes quand à la manière dont les demandes de mises sur écoutes impliquant des citoyens ou des résidents canadiens sont rédigées (en des termes très généraux), impliquant que le CST pourrait violer l'esprit de la loi qui autorise ses activités et empiéter sur les libertés des Canadiens (pour un exposé plus détaillé sur les activités du CST, voir le blog Lux ex Umbra). Enfin, les informations sur les transactions financières canadiennes suspectes dépassant 10.000$ sont routinièrement échangées avec des services de renseignement étrangers, sans que la presse paraisse s'en émouvoir.

Loin de partager l'analyse de Walkom, qui attribue à la pesanteur bureaucratique canadienne et à la meilleure gestion de la divulgation de telles informations par le gouvernement, c'est plutôt le manque d'intérêt de la presse canadienne pour les longues et coûteuses enquêtes d'investigation qui me semble être en grande partie à l'origine de cette apathie. Une telle attitude est d'ailleurs observable également en France où la presse semble souvent relayer les informations qui lui sont transmises par des officines plus ou moins bien intentionnées, plutôt que de se lancer en quête d'informations inédites. L'affaire Clearstream me semble en cela symptomatique d'un journalisme de confort ou de connivence qui s'oppose à un journalisme de "sources" encore bien vivant dans certains grands journaux états-uniens.

Les canadiens et leur vie privée

2006-07-01T11:01:00.000-02:30

La firme EKOS vient de réaliser un sondage auprès d'un millier de canadiens pour le compte du Commissariat à la Protection de la Vie Privée du Canada, destiné à mesurer les attitudes des canadiens vis-à-vis de certaines questions d'actualité:

71% des canadiens ont l'impression que la protection de leurs renseignements personnels s'est dégradée au cours des 10 dernières années;
34% des canadiens estiment que les entreprises ne prennent pas au sérieux leur responsabilité à l'égard de la protection des renseignements personnels des consommateurs, et cette perception négative est de 20% dans le cas du gouvernement canadien;
De plus, un tiers des canadiens pense que le gouvernement ne comprend pas bien la façon dont les entreprises utilisent leurs données personnelles;
Malgré ce scepticisme, la proportion des personnes qui disent ne pas connaître les lois canadiennes concernant la protection de la vie privée et des renseignements personnels est en augmentation par rapport à l'an dernier, de 52% à 56% cette année;
Seulement 8% connaissent les organismes fédéraux chargés de les assister dans la protection de leur vie privée;
Pourtant, 17% des canadiens disent faire de très grands efforts pour protéger leurs renseignements personnels et 53% de grands efforts;
58% se disent très préoccupés par les incidences du USA Patriot Act sur leurs renseignements personnels, et notamment le transfert à leur insu vers des entreprises ou des organismes gouvernementaux américains;
Le pourcentage des personnes qui disent avoir une connaissance suffisante de la façon dont les nouvelles technologies peuvent affecter leur vie privée n'a pas évolué depuis l'an 2000, et se situe à 50%;
Seulement 30% disaient être familiers avec les dispositifs d'identification par radiofréquence (RFID).

Ces données parfois contradictoires et ambigues montrent bien à quel point les citoyens canadiens se sentent désemparés et mal informés face à la complexification du problème de la protection de la vie privée et à la fragmentation de leur identité personnelle. L'avant-dernier chiffre de la liste précédente est particulièrement intéressant: malgré les affaires et les scandales médiatisés au cours des dernières années concernant le vol d'identité et les risques liés aux nouvelles technologies, le niveau de préparation des canadiens face aux menaces qui pèsent sur leur vie privée ne semble pas s'être amélioré. On peut donc légitimement se poser la question de la nature des mesures de protection et des efforts consentis par les canadiens pour protéger leur vie privée, en suspectant qu'une grande partie de ces efforts est mal dirigée.

Rétention des données Internet au Canada

2006-06-28T10:20:00.000-02:30

Les deux grand quotidiens canadiens La Presse et le Globe and Mail viennent de révéler que le gouvernement Harper se préparerait à introduire à l'automne une nouvelle version d'un projet de loi portant sur la modernisation des techniques d'enquête. Les dispositions de ce projet de loi obligeraient notamment les fournisseurs d'accès à Internet à conserver pour plusieurs mois, voire plusieurs années, les données de connexion de leurs abonnés ou de leurs usagers afin de faciliter des enquêtes ultérieures contre la pornographie enfantine ou le terrorisme. Outre la question du coût de telles pratiques, qui serait certainement partagé entre les abonnés et les organisations policières (les abonnés pour le stockage des données, et les services de police pour leur extraction), on peut se poser la question des pratiques déjà en cours dans ce domaine.

Si l'on en croit les récents scandales ayant éclaté ces derniers jours aux États-Unis autour de la mise à la disposition des services de renseignement de données personnelles par les compagnies de téléphone (AT&T) et les institutions financières (SWIFT) sur une base volontaire, les organisations policières n'attendent pas toujours qu'une loi soit votée pour accéder aux données du secteur privé à l'insu des clients. Les entreprises privées résistent en général rarement aux pressions plus ou moins subtiles des services de sécurité, soit pour des raisons patriotiques ou d'aide à la justice, soit en espérant instaurer des liens de confiance pouvant s'avérer utiles dans un futur proche. La question est alors de savoir dans quelle mesure les FAI canadiens collaborent déjà avec les organisations policières, quelles données sont transmises, dans quel cadre juridique (de nombreuses procédures régulières reposant sur un mandat en bonne et due forme servent toujours de base à ces coopérations), et pour quels résultats? Espérons que les débats qui entoureront le vote de la loi et la perspicacité des journalistes canadiens permettront d'apporter un éclairage local à des questionnements qui restent encore largement cantonnés à la situation étatsunienne.

La meilleure arme pour protéger votre vie privée? la discrétion.

2006-06-24T13:45:00.000-02:30

Les annonces successives des programmes de datamining des services de renseignement américains (et n'en doutons pas les équivalents mis en oeuvre par leurs homologues canadiens et européens) nous font parfois oublier que la défense de notre vie privée passe d'abord par le contrôle des informations que nous mettons nous-même en ligne. Un article du New Scientist du début du mois de juin mentionne les recherches financées par la NSA sur l'exploitation des informations contenues dans les blogs personnels ou les pages créées sur les sites de réseaux sociaux comme MySpace, Xanga ou Facebook. Ces services qui comptent plus de 100 millions de membres dans le monde permettent aux auteurs de blogs de reconstituer en ligne des groupes d'amis virtuels ou réels en fonction des intérêts ou de leur situation géographique. Beaucoup de ces pages tendent à livrer des informations très personnelles sur ceux qui les mettent en ligne et sur leurs amis. Des colonies de vacances ont d'ailleurs interdit cet été à leurs jeunes participants d'utiliser leur page personnelle sur ces sites pour mettre en ligne des photos ou des commentaires sur les gentils animateurs ou d'autres "colons" devant les risques d'abus potentiels et de diffamation (dans un pays où les procès sont élevés au rang de sport national).

L'article du New Scientist évoque le potentiel de ces pages personnelles pour compléter les données acquises par les services de renseignement sur un même individu auprès des institutions financières, des compagnies de télécommunication ou des compagnies aériennes. Les informations volontairement rendues publiques par les internautes seraient alors utilisées pour identifier ceux qui auraient des projets terroristes ou criminels, ainsi que leurs cercles d'amis plus ou moins proches. Les profils des terroristes qui ont commis les attentats dans le métro de Londres ou ceux des 17 suspects arrêtés à Toronto au début du mois de juin, des jeunes nés et éduqués en Occident, et ayant glané beaucoup d'informations sur Internet, laisse penser que cette approche n'est pas aussi futile qu'on pourrait l'imaginer de prime abord.

Cependant, dans une société où les traces électroniques que nous laissons derrière nous deviennent virtuellement éternelles et accessibles à tous, une certaine réserve dans les informations que nous choisirons de divulguer publiquement sera l'un des meilleurs moyens de protéger une vie privée en miettes.

Le secret bancaire écorné par la lutte anti-terroriste

2006-06-23T12:35:00.000-02:30

Continuant ses révélations sur les programmes secrets de datamining mis en oeuvre à la suite des attentats du 11 septembre, le New York Times détaille aujourd'hui dans ses colonnes comment la CIA et le département du Trésor américains ont accès depuis 2001 aux transactions bancaires internationales de milliers d'individus (citoyens américains et autres) transitant par le système SWIFT. Cette coopérative bancaire qui est constituée de plus de 3.000 institutions financières situées dans 200 pays permet aux individus et aux entreprises de transférer de l'argent d'un compte à un autre. SWIFT traite en moyenne 11 millions de transactions financières quotidiennes.

Le long article du NYT explique comment l'idée d'exploiter cette base de données gigantesque a été suggérée au gouvernement américain par des membres de la communauté bancaire, qui avaient perdu un nombre élevé de leurs collègues dans les attentats. Après avoir écarté l'idée que la CIA pirate les ordinateurs de SWIFT, un accord secret fut conclu avec la coopérative, qui laissa libre accès à ses informations. Lors des premiers mois, toutes les informations contenues furent analysées, comme par exemple l'ensemble des transactions en provenance de l'Arabie Saoudite, d'où provenait la majorité des terroristes. Devant les risques d'abus et le besoin de mieux cibler les recherches, des procédures plus rigoureuses d'audit furent ensuite mises en place. À l'heure actuelle, un représentant de SWIFT assiste à toutes les recherches, et une entreprises d'audit vérifie à posteriori le bien fondé des informations consultées. L'article ne rapporte qu'une vingtaine de cas dans lesquels ces données auraient permis d'identifier des cellules terroristes ou des attaques en préparation.

Bien sûr, le cadre légal dans lequel se déroule ce programme est sujet à des interprétations contradictoires: le gouvernement américain, qui n'utilise pas de mandats de perquisition ou d'interception, est tout à fait conscient qu'il respecte la lettre d'une loi contradictoire sans véritablement se conformer à son esprit. La coopérative SWIFT, basée en Belgique, devra certainement s'expliquer à ses clients de l'accord donné à un gouvernement de consulter certaines données sensibles, et d'une éventuelle entorse au devoir de confidentialité. Quand aux terroristes, ils éviteront dorénavant les transferts bancaires traditionnels. L'article mentionne par ailleurs d'autres programmes de recueil de renseignements financiers clandestins, visant notamment les distributeurs de billets et les virements de la société Western Union.

Prévention de la criminalité par courriel

2006-06-21T11:20:00.000-02:30

La police de la ville de Boston vient de se doter d'un système d'alerte des citoyens par courriel (email en bon français) afin de solliciter leur aide dans l'identification et la localisation de délinquants. Cet outil, déjà utilisé par plus de 300 communautés aux États Unis, s'appuie sur la technologie du site Citizen Observer pour disséminer par courriel auprès de citoyens abonnés des informations spécifiques sur des crimes venant d'être commis dans leur voisinage. Dans le cas d'un vol de véhicule, la couleur, le modèle et le numéro d'immatriculation seront ainsi rendus public, afin que les "observateurs citoyens" puissent garder un oeil ouvert et alerter la police s'ils viennent à croiser sa route. Il s'agit donc d'une plateforme de communication bi-directionnelle permettant à la police d'accroître considérablement ses sources d'information.

De l'aveu même de ses utilisateurs, les succés restent cependant rares, et les appels générés créent plus de travail pour la police qu'un traitement traditionnel ne le ferait: un policier de la ville de Cincinnati interrogé par Technology Review doit ainsi admettre que pour 300 alertes lancées au cours des dernières années, seulement une douzaine ont permis l'arrestation de suspects, mais que chaque alerte génère environ une centaine d'appels de la population. En terme de sentiment de sécurité, qui constitue la dimension subjective de la criminalité, les avantages de ce système sont également difficiles à évaluer. Le sentiment de se réapproprier les activités de prévention et de lutte contre la criminalité peut sans nul doute rassurer certains citoyens, mais d'autres seront négativement affectés par le rappel constant de la dangerosité de leur voisinage que les courriels en provenance de la police éveilleront.

Lutter contre les vols d'ordinateurs portables

2006-06-19T17:52:00.000-02:30

La publication du MIT Technology Review nous offre aujourd'hui un panorama assez complet des technologies disponibles afin de localiser des ordinateurs portables volés et protéger les informations confidentielles qu'ils contiennent des regards trop curieux:

La première catégorie d'outils comprend les logiciels de localisation qui établissent de manière automatique une communication entre l'ordinateur portable volé et les serveurs d'une entreprise selon une fréquence pouvant varier d'une fois par jour à toutes les 15 minutes. Cette connection peut s'effectuer d'autant plus facilement que la prolifération des points d'accès Wi-Fi facilite considérablement la chose. Les paramètres de connection permettent souvent de localiser la machine et d'envoyer la police la récupérer. Cependant, si une telle solution se généralise, les organisations policières seront bientôt amenées à facturer leur déplacement, en supplément de l'abonnement. La société canadienne Absolute Software offre un tel service.
La société Cyber Angel met en oeuvre un logiciel de cryptage qui protège une partie du disque dur désigné de l'ordinateur si celui-ci est mis en marche sans que le bon mot de passe ne soit utilisé. L'ordinateur reste fonctionnel, mais les informations sensibles qu'il contient sont inaccessibles au voleur.
La dernière solution, et aussi la plus drastique, est une pilule empoisonnée: le logiciel détruira alors toutes les informations sensibles lorsqu'un ordinateur volé sera signalé. la société Beachhead Solutions propose cette option aux entreprises et aux services publics qui ne souhaitent éviter à tous prix que des informations sensibles tombent entre les mains de la concurrence ou de pays hostiles.

Avec la multiplication des téléphones-assistants personnels qui peuvent stocker des quantités importantes de documents, on assistera à n'en pas douter à une extension de ces solutions à des équipements informatiques de plus en plus miniaturisés.

Le Japon sous-traite certaines fonctions policières au secteur privé

2006-06-19T11:47:00.000-02:30

La police japonaise vient de se lancer dans un programme de sous-traitance des constats d'infraction aux règles de stationnement, afin de désengorger les artères des grandes villes et de remplir les caisses de l'État. Un article du Monde nous apprend qu'à Tokyo, 264 commissariats ont confié cette tâche ingrate à 74 entreprises privées. La police Tokyoite avait en effet bien du mal à verbaliser les mauvais chauffeurs, puisqu'on estime qu'elle n'émettait de contraventions qu'à 0.1% des infracteurs potentiels. Les agences de sécurité privée, qui sont rémunérées au rendement, sauront certainement améliorer ce piètre résultat. Si comme le souligne le journaliste du Monde, ce zèle répressif aura certainement un résultat immédiat sur la fluidité du traffic automobile, l'image de la police risque de s'en trouver quelque peu ternie: en effet, le pouvoir discrétionnaire des policiers leur permet de cultiver de bonnes relations avec la population, et de susciter une meilleure collaboration lorsque cela est nécessaire. D'autre part, en sous-traitant à des entreprises privées cette tâche peu valorisée parmi les policiers en uniforme, la police se prive de renseignements criminels intéressants: en effet, une étude criminologique anglaise a démontré qu'une proportion importante de voitures mal stationnées (en particulier sur les emplacements réservés aux handicappés) étaient conduites par des personnes recherchées par la police pour des affaires plus graves. Cette tendance à la sous-traitance n'est pas réservée au Japon, puisque des municipalités anglaises, australiennes et canadiennes y ont également recours.

Poursuites judiciaires contre un fabricant d'équipement de vidéosurveillance

2006-06-17T23:38:00.000-02:30

La pratique de certains parents américains, qui placent des caméras vidéo cachées à leur domicile afin de surveiller les baby-sitters pendant leur absence sera bientôt testée devant un tribunal à la suite d'une plainte déposée par une "nanny" espionnée à son insu. Les parents inquiets se servent de ce stratagème afin de détecter de possibles abus de violence à l'égard de leur progéniture, et des caméras miniaturisées sont d'habitude placées dans des magnétoscopes ou des ours en peluche. En octobre 2003, une gardienne d'enfant fut accusée publiquement d'avoir brutalement secoué un enfant de cinq mois placé sous sa responsabilité, et les images furent diffusées par de nombreux médias télévisés aux États Unis. À la suite de ces accusations, elle passa plus de deux ans en prison en détention préventive. Récemment, les procureurs chargés de monter le dossier d'accusation contre elle ont laissé tomber toutes les charges, réalisant que les images étaient filmées à intervalles de plusieurs secondes et non en continu, ce qui accentuait l'impression de violence. Par ailleurs, des examens médicaux avaient démontré l'absence de blessures de l'enfant. La babysitter injustement accusée vient de porter plainte contre la société Tyco Fire & Security, une multinationale de 90.000 employés au chiffre d'affaire annuel de 11.5 milliards de dollars, qui sera certainement beaucoup plus solvable en cas de victoire que la famille l'ayant faussement accusée. La résistance contre les technologies de surveillance est un sujet encore trop peu étudié, malgré l'organisation de plus en plus systématique des défenseurs des libertés individuelles et leur travail de sensibilisation dirigé vers la population.

Datamining et sécurité: une perte de temps?

2006-06-16T17:53:00.000-02:30

Le Washington Post fait le point dans son édition d'hier sur les initiatives de datamining en lien avec la lutte antiterroriste aux États Unis, et sur les résultats peu probants qui en découlent. La pratique du datamining, importée du monde du marketing direct, permet aux agences de renseignement et de sécurité d'accéder à des données personnelles qu'elles mêmes n'ont pas le droit de collecter. Ces données permettraient d'identifier des individus dont le parcours individuel ou les habitudes de consommation laissent penser qu'ils pourraient être suspects d'intentions malveillantes.

En 2005, le gouvernement américain a dépensé au moins 30 millions de dollars après de compagnies privées pour avoir accès à des données personnelles, et 91% de ces dépenses découlaient de mission de police ou de sécurité nationale. Quelques exemples peuvent aider à mieux comprendre l'usage qui est fait de cette technique: le ministère de l'éducation compare les listes d'étudiants avec celles du FBI afin de localiser certaines personnes recherchées, le ministère de la défense utilise des données publiques afin d'identifier des terroristes et des citoyens US connectés à de suspectés terroristes sur le sol américain, la Navy utilise des données de transport des marchandises maritimes pour détecter de potentielles cargaisons contenant des armes de destruction massive à destination des États Unis...

Si ce type d'outil informatique peut se permettre d'envoyer quelques milliers de dépliants publicitaires à des clients peu intéressés par les produits vantés sans causer des dommages irréparables à qui que ce soit, la situation est bien différente en matière de lutte contre le terrorisme. L'expérience menée par le ministère des transports qui visait à mettre en place un logiciel capable de prédire la dangerosité potentielle des passagers aériens à partir de données de sources variées (CAPPSII) et qui a coûté plus de 200 millions de dollars en frais de développement a d'ailleurs du être abandonnée en raison du trop grand nombre d'erreurs générées par le système, qui devenait contre-productif, distrayant les opérateurs qui ne pouvaient plus discerner les individus réellement dangereux. Pour quelle raison alors les services de sécurité américains s'obstinent-ils à utiliser de tels outils?

La réponse réside peut-être en partie dans la fausse impression de profusion des pistes potentielles qu'ils procurent, en l'absence d'autres formes de renseignements plus riches comme le renseignement humain (les informateurs), abandonné depuis de nombreuses années par les services américains au profit du tout technologique. Le laxisme des lois américaines sur la protection des données privées et l'agressivité des vendeurs de bases de données commerciales expliquent aussi en partie cette séduction exercée par le datamining. Le contrôle plus strict exercé dans de nombreux autres pays occidentaux fonctionnerait alors comme une sorte d'antidote à une pensée magique qui voudrait que l'on puisse localiser des terroristes, non plus en lisant dans le marc de café mais dans des océans de factures de cartes de crédit.