sousveillance

Le journal de la surveillance

Le gouvernement britannique surveille-t-il les tweets publiés par ses citoyens ?

D'après le Guardian, le gouvernement britannique se serait payer les services de Faculty, une entreprise spécialisée en intelligence artificielle afin de collecter et analyser les tweets publiés par les britanniques pendant la première vague de Covid.

Au-delà des questions de surveillance politique que revêt cette révélation, le choix de l'entreprise fait écho à l'histoire récente du Royaume-Uni. En effet, Faculty aurait des liens avec des conservateurs partisans du Brexit en 2016. On sait comment les réseaux sociaux et en particulier Facebook ont été utilisés pour influencer le vote sur la sortie de l'Union européenne. L'ombre de Cambridge Analytica n'est pas très loin...

Le gouvernement se défend de la moindre surveillance politique et justifie ce partenariat comme étant un moyen d'évaluer la perception de la politique du gouvernement pour gérer la crise liée au coronavirus.

In response to questions about the contract in the House of Lords, the government published an unredacted version of the contract, which describes the company’s work as “topic analysis of social media to understand public perception and emerging issues of concern to HMG arising from the Covid-19 crisis

Pour Big Brother Watch, une ONG qui milite pour la défense des libertés civiles, la question de la surveillance politique ne fait aucun doute :

“Il s’agit en fait d’une surveillance politique de masse alimentée par l’IA, et elle a été effectuée de manière très secrète. Il semble, d’après le contrat, que cette surveillance des réseaux sociaux dure depuis trois mois, et que le machine learning ait été utilisé pendant tout ce temps. Nous ne savons pas quel en est l’impact“.

Comme l'explique le représentant de Big Brother Watch, le recours à Twitter pour mesurer la réaction de la population est surprenant. Le nombre de personnes qui se sont exprimées sur le réseau social n'est pas représentatif de la population britannique. Un Etat autoritaire qui met en place ce genre d'opération, on appelle cela de la surveillance politique. Un pays estampillé démocratie occidentale qui fait ça, on appelle ça une politique publique...

#RéseauxSociaux #Covid


Source : The Guardian / Siècle Digital

La justice britannique s'oppose à l'utilisation de la reconnaissance faciale

La cour d'appel de Londres vient de rendre une décision contre l'utilisation de la reconnaissance faciale par la police au Pays de Galles qu'elle juge pas suffisamment encadrée.

Après avoir été débouté plusieurs fois, le plaignant a obtenu gain de cause, les juges estimant que l’utilisation de la reconnaissance faciale n’était pas suffisamment encadrée. Ils n’ont cependant pas remis en cause le recours à la technologie en soi.

En plus de l'utilisation sans cadre de cette technologie, la cour d'appel s'inquiète des dérives potentielles de la reconnaissance faciale. D'après les juges, la police galloise n'a pas pu apporter suffisamment de garantie pour prouver que l'algorithme qui alimente ce dispositif de contrôle ne discrimine pas les personnes racisées.

Ils ont aussi reproché à la police galloise de ne pas s’être suffisamment assurée que le logiciel ne présentait pas de biais racistes ou sexistes.

La bataille contre le déploiement de la reconnaissance faciale est loin d'être terminée mais c'est un revers supplémentaire infligée à cette technologie de contrôle. Dans un contexte où les expérimentations en dehors de tout cadre réglementaire se multiplient, chaque action compte pour ralentir la propagation de la reconnaissance faciale et pour protéger les libertés individuelles.

#ReconnaissanceFaciale


Source : Le Monde

Health Data Hub : le collectif Inter-Hop explique les dangers qui pèsent sur nos données de santé

Les origines de la plateforme Health Data Hub (HDH) remontent au rapport Villani du nom du député LREM remis au gouvernement en 2018. L’objet de ce rapport était d’identifier des secteurs de pointe pour permettre à la France d’être pionnière dans le domaine de l’intelligence artificielle. En d’autres termes, le secteur de l’IA représente un enjeu de souveraineté pour éviter que la France ne soit inféodée à des pays étrangers en particulier les Etats-Unis. Le choix de recourir à Microsoft pour la plateforme qui collectera l’ensemble des données de santé de la population semble vraiment incompréhensible. D’autant plus que des acteurs français comme OVH ou Scaleway existent. Quand on oppose cet argument, la réponse tient en deux points : ils ne disposent ni de la puissance de calcul nécessaire ni de la certification Hébergeur de données de santé (HDS)… Inter-Hop en ajoute un troisième :

Cela dit, OVH est une grosse société qui affirme elle-même être présente dans plus de 19 pays dans le monde. Comme indiqué dans ses conditions générales, OVH peut recourir à des sous-traitants - certains étant des filiales de la société mère, d’autres étant des sociétés n’appartenant pas au Groupe OVH - qui l’assistent dans le stockage et le traitement des données. Donc, on retrouverait une grosse partie du problème lié au contrat avec Microsoft Azure : on centralise toutes les données chez un même (gros) fournisseur de service qui, de son côté, a potentiellement déployé son infrastructure à travers une constellations d’États

Le média Lundi Matin retrace le parcours de la polémique qui entoure le projet de HDH en interrogeant le collectif Inter-Hop opposé à ce projet dans les conditions définies par le gouvernement. C’est l’occasion de revenir sur plusieurs aspects problématiques du HDH : le manque de transparence de la plateforme. Entre d’une part, les décrets pris en catimini dans la précipitation pendant la vague de l’épidémie du Covid-19, et d’autre part, l’impossibilité d’auditer le code source de la plateforme parce que la technologie de Microsoft est propriétaire.

La prolongation de l’état d’urgence sanitaire s’est traduite par la mise en place du fichier SI-DEP qui collecte les données des personnes atteintes du Covid-19. Comme le rappelle Lundi Matin, ces données sont envoyées vers les serveurs de Microsoft. Bien que l’état d’urgence sanitaire est levé, la transmission des données sur les serveurs du gafaM ne s’est pas arrêtée. Tout simplement parce qu’une bonne partie des éléments de l’état d’urgence sanitaire sont désormais entrés dans le droit commun.

Le collectif Inter-hop rappelle que la collecte des données de santé de la population n’est pas nouvelle. Plusieurs bases de données alimentées par l’Assurance Maladie notamment permettaient d’assurer un suivi des patients. (traitements, médecins consultés, informations liées à une hospitalisation..). Contrairement à ce qu’on pourrait penser, cette collecte était surtout un moyen de contrôler la gestion administrative et budgétaire d’un établissement de santé. Depuis la loi du 24 juillet 2019 qui introduit le projet du Health Data Hub, la collecte va bien plus loin et concerne quasiment la moindre activité liée à une prestation de santé couverte par l’Assurance-Maladie. La frontière entre traitement de données et fichage n’est pas très loin comme le démontre l’exemple du fichier Si-VIC créé à la suite des attentats de 2015 qui a été élargi au traitement des blessés lors des manifestations des Gilets Jaunes.

Pourtant, d’après le Canard Enchaîné du 17 avril 2020, certaines fiches de personnes admises dans les hôpitaux de Paris en 2019, en marge des manifestations de gilets jaunes, faisaient mention de la nature des blessures, permettant ainsi d’identifier et, donc, de tracer les manifestants blessés.

Cet entretien est l’occasion de rappeler que la pseudonymisation des données, garantit par la loi liée aux données de santé, n’est pas infaillible. Par inférence ou par recoupement de jeux de données, on peut aisément ré-identifier une personne.

L'Université de Louvain et l’Imperial College de Londres ont montré que 83% des Américains peuvent être ré-identifiés en utilisant seulement trois variables : le genre, la date de naissance et le code postal, données qui sont par exemple compilées dans le fichier OSCOUR. En présence de 15 variables, la personne peut être ré-identifiée dans 99,98% des cas.

On apprend également que l'argument du chiffrement des données assuré par le Health Data Hub ne tient pas la route car Microsoft a besoin d'accéder aux données pour faire tourner des programmes afin d'alimenter et d'entraîner son intelligence artificielle.

L’audience devant le Conseil d’État a aussi permis de mettre à jour que la Plateforme technique utilise, pour son fonctionnement usuel, 40 logiciels de Microsoft Azure. Ces logiciels, ces programmes, sont utilisés pour analyser les données hébergées, à l’image d’un énorme tableur Microsoft Excel dans lequel une giga-entreprise ferait ses calculs de comptabilité. S’il est possible de chiffrer vraiment des données lorsqu’on les confie à une société chargée uniquement de les héberger, le chiffrage n’est plus possible si la société qui les héberge doit également les analyser, les passer dans la moulinette de plusieurs programmes informatiques.

Un entretien à lire si vous souhaitez comprendre les risques introduits par le Health Data Hub sur nos données de santé (fuite des données de 67 millions de personnes aux 4 coins de la planète, accès des données accordées à des mutuelles ou des assurances, Cloud Act US...).Par ailleurs, Inter-Hop n'est pas seulement dans la critique. Il formule également des propositions alternatives qui permettraient d'utiliser les technologies modernes tout en étant en adéquation avec une éthique médicale dans l'intérêt des patients.

#HealthDataHub


Source : Lundi Matin

Des émojis coup de poing pour se protéger de la reconnaissance faciale

Depuis le résurgence du mouvement Black Lives Matter, on a pu constater que les forces de l'ordre américaines n'hésitent pas à recourir à des contenus partagés sur les réseaux sociaux pour identifier les personnes qui participent aux manifestations contre les violences policières et les arrêter. Certaines personnes inquiètent de se faire arrêter renoncent à participer à ces manifestations et à exercer leurs droits civiques par la même occasion.

Pour tenter de protéger les manifestants qui sont pris en photo et empêcher les dispositifs de reconnaissance faciale de faire matcher les photos avec les informations conservées dans des bases de données, des chercheurs de Stanford ont développé une intelligence artificielle open source qui remplace les visages des manifestants par un émoji poing.

L'outil a recours à de la détection faciale pour remplacer le visage par un émoji. Cette méthode présente l'avantage de ne pas avoir à identifier les personnes qui sont sur les photos. L'algorithme a été entraîné à partir d'un échantillon de 1,2 millions de personnes.
The model we use in this work has been trained on over 1.2 million people in the open-sourced research dataset, called QNRF, with crowds ranging from the few to the the thousands. False negatives are the worst error in our case.

Les porteurs de ce projet rappellent que leur méthode par ajout d'un émoji est plus efficace que les méthodes d'anonymisation qui floutent les visages des personnes. En effet, des méthodes pour décoder et déflouter les photos peuvent révéler l'identité des personnes.

Computer scientists have tried to mitigate this threat by using blurring and pixelation techniques to hide the faces of demonstrators. But these masking methods can’t always protect protestors from facial recognition; machine learning methods can decode and unblur the images to reveal their concealed face.

Evidemment, cet outil n'est pas infaillible et l'identification d'un individu peut-être effectuée en recoupant plusieurs photos. Les vêtements ou tout autre élément distinctif peuvent compromettre l'anonymat des manifestants.

Blocking out the face offers a great form of anonymization; nevertheless, this cannot be mistaken for complete foolproof anonymity, e.g. if someone is wearing a t-shirt with their SSN or if they are not anonymized in another image and identity could be triangulated through similar clothing and surroundings. It may be self-evident, but this tool is not perfect, so please lend a careful and caring eye to ensuring faces are masked before sharing photos.

Enfin, pour protéger votre vie privée pendant les manifestations, n'hésitez pas à réécouter ce podcast d'Hackstock

BLM Privacy est disponible ici

#BlackLivesMatter #ReconnaissanceFaciale


Source : The Next Web / BLM Privacy

Une chaîne de pharmacies utilise un dispositif de reconnaissance faciale à l'insu de ses clients.

Dans une enquête publiée par Reuters, on découvre que la chaîne de pharmacie Rite Aid a recours à un système de reconnaissance faciale depuis 2012. Evidemment, le dispositif est déployé sans que le consentement des clients ne soit recueilli. De toute façon, ils ne pouvaient pas s'y opposer ou donner leur consentement car ils n'étaient pas informés de la présence de ce dispositif de surveillance.

Depuis quelques années, un débat existe autour de la reconnaissance faciale et des biais introduits dans les algorithmes qui font tourner ces intelligences artificielles. Les études qui mettent en avant l'existence de ces biais démontrent que la reconnaissance faciale à tendance à discriminer certaines populations en particulier les noirs américains. L'enquête de Reuters confirme à nouveau que la reconnaissance faciale est une technologie qui porte préjudice aux personnes racisées. En effet, la chaîne de pharmacies a déployé son dispositif en priorité dans des quartiers populaires à majorité noire-américaine ou latino-américaine pour lutter contre le vol et les violences :

"Dans les zones où les personnes de couleur, y compris les résidents noirs ou latinos, constituent le groupe ethnique le plus important, Reuters a constaté que les magasins étaient trois fois plus susceptibles d'être équipé de cette technologie", peut-on lire dans l'enquête. De son côté, la chaîne américaine explique que le choix des emplacements reposait sur des données liées à l'historique des vols en magasin ainsi que sur des statistiques criminelles locales et nationales."

Le dispositif relève presque du pré-crime. Les caméras procèdent à une comparaison des images de clients présents dans le magasin et des images de clients ayant déjà commis un délit au sein des pharmacies. Si elles repèrent un individu, une notification est envoyée aux agents de sécurité pour demander aux clients suspectés de commettre un nouveau délit de quitter les lieux.

"The point of the whole operation, the report states, was to alert security personnel of someone entering the store that had exhibited past criminal activity, so that they may be asked to leave to help prevent theft or crime. But Reuters’ interviews with former employees and managers illustrate how the system was used to racially profile customers."

Dans ce contexte, le dispositif de surveillance préjuge des actions des individus en s'appuyant sur des actes passés et les catalogue définitivement comme criminels en faisant peu de cas du principe de présomption d'innocence. En outre, si une personne a effectivement commis un délit par le passé et qu'elle s'est acquittée de sa dette auprès de la société par l'intermédiaire d'un jugement, cette dernière sera éternellement comptable de ses actes. On assiste donc à l'élaboration d'une criminalisation ethnique qui stigmatise une partie de la population.

#Videosurveillance #ReconnaissanceFaciale


Source : L'Usine Digitale / The Verge

La police de San Francisco utilise un réseau de caméras privées pour surveiller des manifestants

L'EFF a mis la main sur des mails qui prouvent que la police de San Franciso (SFPD) a noué un partenariat avec un tiers pour accéder à distance à son réseau de caméras afin de surveiller des individus ayant participé aux manifestations en soutien au mouvement Black Lives Matter.

But a report from the Electronic Frontier Foundation, a digital privacy advocacy group, shows that the San Francisco Police Department gained remote access to this private camera network for days at a time during protests in late May and early June.

Bien que problématique, le fait que la police utilise des outils de surveillance de masse pour identifier un ou quelques individus dans des manifestations n'a rien de nouveau. Cependant, au regard du contexte législatif de San Francisco, les méthodes de la police locale ont de quoi interroger. En effet, depuis une modification récente de sa législation, San Francisco a interdit à la police de pouvoir surveiller en direct les individus. Les forces de l'ordre doivent respecter une procédure spécifique pour obtenir un accès à des dispositifs de surveillance appartenant à un tiers. Or en l'espèce, la SFPD est allée frapper directement à la porte de l'entreprise qui gère le réseau de caméras.

'The police can’t monitor it live, it’s actually against the law in San Francisco,” Larsen told ABC7. “They have to make a request just like anybody else.”

Le recours à ce genre de méthodes pour tenter d'identifier un individu ou un groupe de personnes pose réellement la question de la violation de la vie privée et des libertés fondamentales des personnes qui exercent leur droit à manifester. A travers ces enregistrements vidéos, ces derniers peuvent être identifiés et la participation à un mouvement de contestation peut leur être reproché. La présence de dispositifs de surveillance et d'identification peut dissuader des personnes à participer à des manifestations par peur de représailles.

#Videosurveillance #BlackLivesMatter


Source : San Francisco Public Press

RATP : souriez, vous êtes surveillés !

Médiapart a publié un article dans lequel le média expose au grand jour les projets de vidéosurveillance et d'intelligence artificielle portés par la RATP. Dans un souci de transparence, le journal a décidé de saisir la CADA pour faire respecter les droits des usagers et dénoncer les projets opaques de la régie des transports.

La RATP avait déjà été épinglée pour des expérimentations de reconnaissance faciale dont plusieurs ont avorté. La dernière en date est issue d'un partenariat avec l'entreprise Datkalab (connue pour son expérimentation de caméras déployées à Nice pour repérer les passants qui ne portent pas de masque).

Plusieurs entreprises ont déjà approché la RATP qui est un terrain de jeu privilégié pour tester les algorithmes de reconnaissance faciale. En effet, la fréquentation importante des stations comme Châtelet-les-Halles où 750 000 personnes transitent par jour ainsi que le nombre de caméras (50 000) représentent un test idéal pour mesurer l'efficacité de la reconnaissance faciale. A la lecture de l'article de Médiapart, on apprend également que la RATP a son propre “lab” dédié à l'usage de la vidéosurveillance.

En 2020, la RATP franchit un nouveau cap en créant son « Lab’IA Vidéo » au sein de la station Châtelet-Les Halles, la plus fréquentée du réseau avec 750 000 visiteurs journaliers. Avec ce projet, la régie entend « mettre son vaste réseau de caméras de vidéoprotection au service des voyageurs » et poursuivre une dynamique de collaboration avec des entreprises du secteur.

Comme à chaque fois, l'argument invoqué, pour justifier le déploiement de la reconnaissance faciale ou de ses expérimentations, est la sécurité des voyageurs. Ou du moins le sentiment de sécurité...

Au passage, l’objectif du projet tel que défini par le service communication s’avère bien flou : « Améliorer le sentiment de sécurité pour nos voyageurs

#Videosurveillance


Source : Mediapart

Quand le FBI surveille les passagers aériens

Le magazine Forbes a rendu public un dispositif de surveillance développé par le FBI. L'agence de renseignement américaine se sert d'une entreprise tierce pour surveiller les voyageurs qui prennent l'avion en partance ou en provenance des Etats-Unis. Sabre est une société qui fournit un système de réservation de voyages (GDS) et qui représente un tiers du secteur. Sabre collecte des informations sur les passagers comme le numéro de siège mais aussi des informations liées à la réservation d'un hôtel ou d'une voiture par exemple. Autrement dit, elle constitue une porte d'accès vers de nombreux passagers. Dès lors, le FBI qui poursuit une personne peut savoir à quelle heure elle atterrit et où se situe son hébergement. La cueillette est à portée de main des fédéraux.

D'ailleurs, cette entreprise est l'exemple du développement du capitalisme de surveillance. Avant de devenir une entité autonome, Sabre était un programme développé par la compagnie American Airlines au milieu des années 1950. Ce programme est né d'une erreur d'un employé qui a mélangé des réservations de vols qui étaient faîtes à la main par des opérateurs. Suite à cela, American Airlines a décidé d'optimiser le fonctionnement en automatisant une partie cette activité. La compagnie aérienne s'est tournée vers une des entreprises majeures de l'époque dans le domaine de l'informatique : IBM. Le capitalisme de surveillance trouve sa source dans le besoin des entreprises d'améliorer leur productivité en s'appuyant sur le développement de l'informatique. Il a fallu recourir à l'outil informatique pour pouvoir traiter et automatiser le traitement de données.

To make the system more efficient and accurate, American turned to the nascent computer industry, calling on IBM and MIT scientists to build the industry’s first “passenger name record,” a vast database of travel bookings that could be updated and tracked at far greater efficiency.

Aujourd'hui, Sabre est une entreprise côtée au Nasdaq qui traite plus d'un tiers des réservations de voyages aériens dans le monde. C'est donc tout naturellement que le gouvernement américain et le FBI ont frappé à sa porte. Plutôt que d'aller demander des informations sur des individus compagnie par compagnie, les autorités américaines disposent d'un seul interlocuteur. Dans le cadre du All Writs Act, une vieille loi américaine qui permet au gouvernement de soumettre un ordre à une entreprise dans la plus parfaite opacité, Sabre est amenée à fournir au FBI des informations en temps réels sur des suspects.

Après avoir été utilisé pour traquer des fugitifs, les autorités américaines pourraient être amenées à utiliser Sabre dans le cadre de la pandémie du Covid 19.

#SurveillanceCapitalism


Source : Le Monde

Carte bancaires : transformer les données des transactions bancaires en actifs à haute valeur ajoutée

Les paiements par carte bancaire et maintenant par smartphone simplifient le quotidien et se traduisent par une expérience utilisateur améliorée. Cependant, le revers de la médaille – ou plutôt de la pièce – c'est que ces transactions représentent une source d'informations qui trahissent nos comportements d'achats et donc une menace pour notre vie privée.

Les cartes de crédit sont porteuses de nombreuses informations sur les individus. Celles-ci sont utilisées par les commerçants pour améliorer leurs offres, mais elles sont également réassemblées et vendues sur à des acteurs tiers sur le marché des données publicitaires.

L'idée de pouvoir collecter des informations et établir un lien entre les différents achats d'un consommateur n'est pas nouvelle. Dès le début de la seconde moitié du 20ème siècle des initiatives émergent. Mais il manque une infrastructure informatique pour permettre de généraliser la collecte de données liées à des achats.

Ce n’est qu’à partir des années 70, avec l’essor de l’informatique et sous la contrainte des évolutions règlementaires (visant à davantage de transparence), que vont être constituées les premières bases de données conservant un historique standardisé des transactions pour chaque individu listant la date, le montant, le lieu et une brève description de chacune.

A partir des années 80, la démarche s'industrialise. La collecte de données transactions bancaires est devenu un secteur structuré avec des acteurs majeurs comme American Express. Des partenariats entre différents activités et des réseaux bancaires se nouent : hôtels, compagnies aériennes, entreprises automobiles...

Cet attrait pour les données transactionnelles conduit de nombreuses entreprises à proposer des cartes co-brandées à l’instar du partenariat pionnier, en 1987, entre CitiBank et American Airlines. Pour les compagnies aériennes, hôtels, fabricants automobiles et autres commerçants, ces partenariats leur donnent accès à de précieuses données sur les transactions réalisées par leurs clients.

Ce développement permet de démontrer les limites de l'interprétation du développement du capitalisme de surveillance selon Shoshana Zuboff. D'après la chercheuse, le capitalisme de surveillance serait une évolution du capitalisme qui est apparue au début des années 2000 avec des entreprises comme Google qui constituent leur modèle économique sur la collecte de données personnelles des utilisateurs. Cependant, l'analyse du développement de l'industrie des cartes de crédit démontre que le capitalisme de surveillance n'est pas si récent et qu'il est lié à l'accroissement de l'informatique dans les entreprises dès les années 60 afin de permettre une amélioration et une optimisation de la production. Les industriels détenaient une somme d'informations qu'ils n'étaient pas capables d'exploiter.

Ce que nous considérions comme une industrie était un grand nombre d'informations collectées, mais personne ne savait vraiment comment les utiliser

C'est ce qu'explique plus en profondeur Christophe Masutti dans son livre Affaires privées, aux sources du capitalisme de surveillance, publié chez C&F éditions. Pour résumer, l'industrie a eu besoin d'optimiser sa production en réduisant les coûts, l'informatique a accompagné ce processus. Les GAFAM et toutes les sociétés de la SurveillanceTech n'en sont que les héritiers.

La prochaine fois que vous serez chez un commerçant, payez en liquide ! ;–)

#Tracking #Banque


Source : Linc

L'EFF réalise une cartographie de la surveillance

L'association qui milite pour la défense des libertés numériques a mis en place un nouveau projet : Atlas of Surveillance. Il s'agit d'une carte interactive qui recense les dispositifs de surveillance déployés par les autorités à travers les Etats-Unis. Cette base de données inclut un large panel de dispositifs de surveillance : drones, caméras, lecteurs automatiques de plaques d'immatriculation, reconnaissance faciale...

A ce jour, la carte fournit un accès à 5300 éléments collectés et recensés par des chercheurs. L'EFF met à disposition le jeu de données au format csv. Un glossaire accompagne également la carte interactive et qui explique les différents dispositifs recensés. Enfin, l'EFF invite les internautes à contribuer à alimenter cette base de données pour indiquer d'autres dispositifs de surveillance.

#Cartographie

Source : Atlas of surveillance