sousveillance

Cname cloaking : une méthode de rapace pour nous traquer

Si vous lisez, et je vous le recommande, Pixel de tracking, vous avez certainement déjà entendu parler du Cname et du Cname cloaking. Il s'agit d'une stratégie mise en place par des boîtes spécialisées dans le ciblage publicitaire dont l'objectif est de réussir à nous traquer même si on utilise un bloqueur de publicités comme uBlock origin. Et si vous ne connaissez pas Pixel de tracking et n'avez jamais entendu ces mots, je vous invite aller regarder la vidéo réalisée par La Quadrature du Net consacrée à ce sujet. En 10 minutes, vous comprendrez comment se met en oeuvre techniquement cette méthode de tracking. La vidéo est très claire et @Vincib est très pédagogue dans ses explications. Enfin, si vous n'avez pas de bloqueur de publicités, c'est l'occasion d'en installer un ! :–)

PS : L'appellation Cname cloaking n'a pas besoin d'être traduite. En français, le cloaque est bien évidemment une partie de certains vertébrés mais c'est aussi un “foyer de corruption morale, lieu immonde.” Il n'y a pas mieux comme traduction.

#tracking

Source : La Quadrature du Net

Source : Pixel de tracking

Le gouvernement britannique surveille-t-il les tweets publiés par ses citoyens ?

D'après le Guardian, le gouvernement britannique se serait payer les services de Faculty, une entreprise spécialisée en intelligence artificielle afin de collecter et analyser les tweets publiés par les britanniques pendant la première vague de Covid.

Au-delà des questions de surveillance politique que revêt cette révélation, le choix de l'entreprise fait écho à l'histoire récente du Royaume-Uni. En effet, Faculty aurait des liens avec des conservateurs partisans du Brexit en 2016. On sait comment les réseaux sociaux et en particulier Facebook ont été utilisés pour influencer le vote sur la sortie de l'Union européenne. L'ombre de Cambridge Analytica n'est pas très loin...

Le gouvernement se défend de la moindre surveillance politique et justifie ce partenariat comme étant un moyen d'évaluer la perception de la politique du gouvernement pour gérer la crise liée au coronavirus.

In response to questions about the contract in the House of Lords, the government published an unredacted version of the contract, which describes the company’s work as “topic analysis of social media to understand public perception and emerging issues of concern to HMG arising from the Covid-19 crisis

Pour Big Brother Watch, une ONG qui milite pour la défense des libertés civiles, la question de la surveillance politique ne fait aucun doute :

“Il s’agit en fait d’une surveillance politique de masse alimentée par l’IA, et elle a été effectuée de manière très secrète. Il semble, d’après le contrat, que cette surveillance des réseaux sociaux dure depuis trois mois, et que le machine learning ait été utilisé pendant tout ce temps. Nous ne savons pas quel en est l’impact“.

Comme l'explique le représentant de Big Brother Watch, le recours à Twitter pour mesurer la réaction de la population est surprenant. Le nombre de personnes qui se sont exprimées sur le réseau social n'est pas représentatif de la population britannique. Un Etat autoritaire qui met en place ce genre d'opération, on appelle cela de la surveillance politique. Un pays estampillé démocratie occidentale qui fait ça, on appelle ça une politique publique...

#RéseauxSociaux #Covid

Source : The Guardian / Siècle Digital

La justice britannique s'oppose à l'utilisation de la reconnaissance faciale

La cour d'appel de Londres vient de rendre une décision contre l'utilisation de la reconnaissance faciale par la police au Pays de Galles qu'elle juge pas suffisamment encadrée.

Après avoir été débouté plusieurs fois, le plaignant a obtenu gain de cause, les juges estimant que l’utilisation de la reconnaissance faciale n’était pas suffisamment encadrée. Ils n’ont cependant pas remis en cause le recours à la technologie en soi.

En plus de l'utilisation sans cadre de cette technologie, la cour d'appel s'inquiète des dérives potentielles de la reconnaissance faciale. D'après les juges, la police galloise n'a pas pu apporter suffisamment de garantie pour prouver que l'algorithme qui alimente ce dispositif de contrôle ne discrimine pas les personnes racisées.

Ils ont aussi reproché à la police galloise de ne pas s’être suffisamment assurée que le logiciel ne présentait pas de biais racistes ou sexistes.

La bataille contre le déploiement de la reconnaissance faciale est loin d'être terminée mais c'est un revers supplémentaire infligée à cette technologie de contrôle. Dans un contexte où les expérimentations en dehors de tout cadre réglementaire se multiplient, chaque action compte pour ralentir la propagation de la reconnaissance faciale et pour protéger les libertés individuelles.

#ReconnaissanceFaciale

Source : Le Monde

Health Data Hub : le collectif Inter-Hop explique les dangers qui pèsent sur nos données de santé

Les origines de la plateforme Health Data Hub (HDH) remontent au rapport Villani du nom du député LREM remis au gouvernement en 2018. L’objet de ce rapport était d’identifier des secteurs de pointe pour permettre à la France d’être pionnière dans le domaine de l’intelligence artificielle. En d’autres termes, le secteur de l’IA représente un enjeu de souveraineté pour éviter que la France ne soit inféodée à des pays étrangers en particulier les Etats-Unis. Le choix de recourir à Microsoft pour la plateforme qui collectera l’ensemble des données de santé de la population semble vraiment incompréhensible. D’autant plus que des acteurs français comme OVH ou Scaleway existent. Quand on oppose cet argument, la réponse tient en deux points : ils ne disposent ni de la puissance de calcul nécessaire ni de la certification Hébergeur de données de santé (HDS)… Inter-Hop en ajoute un troisième :

Cela dit, OVH est une grosse société qui affirme elle-même être présente dans plus de 19 pays dans le monde. Comme indiqué dans ses conditions générales, OVH peut recourir à des sous-traitants - certains étant des filiales de la société mère, d’autres étant des sociétés n’appartenant pas au Groupe OVH - qui l’assistent dans le stockage et le traitement des données. Donc, on retrouverait une grosse partie du problème lié au contrat avec Microsoft Azure : on centralise toutes les données chez un même (gros) fournisseur de service qui, de son côté, a potentiellement déployé son infrastructure à travers une constellations d’États

Le média Lundi Matin retrace le parcours de la polémique qui entoure le projet de HDH en interrogeant le collectif Inter-Hop opposé à ce projet dans les conditions définies par le gouvernement. C’est l’occasion de revenir sur plusieurs aspects problématiques du HDH : le manque de transparence de la plateforme. Entre d’une part, les décrets pris en catimini dans la précipitation pendant la vague de l’épidémie du Covid-19, et d’autre part, l’impossibilité d’auditer le code source de la plateforme parce que la technologie de Microsoft est propriétaire.

La prolongation de l’état d’urgence sanitaire s’est traduite par la mise en place du fichier SI-DEP qui collecte les données des personnes atteintes du Covid-19. Comme le rappelle Lundi Matin, ces données sont envoyées vers les serveurs de Microsoft. Bien que l’état d’urgence sanitaire est levé, la transmission des données sur les serveurs du gafaM ne s’est pas arrêtée. Tout simplement parce qu’une bonne partie des éléments de l’état d’urgence sanitaire sont désormais entrés dans le droit commun.

Le collectif Inter-hop rappelle que la collecte des données de santé de la population n’est pas nouvelle. Plusieurs bases de données alimentées par l’Assurance Maladie notamment permettaient d’assurer un suivi des patients. (traitements, médecins consultés, informations liées à une hospitalisation..). Contrairement à ce qu’on pourrait penser, cette collecte était surtout un moyen de contrôler la gestion administrative et budgétaire d’un établissement de santé. Depuis la loi du 24 juillet 2019 qui introduit le projet du Health Data Hub, la collecte va bien plus loin et concerne quasiment la moindre activité liée à une prestation de santé couverte par l’Assurance-Maladie. La frontière entre traitement de données et fichage n’est pas très loin comme le démontre l’exemple du fichier Si-VIC créé à la suite des attentats de 2015 qui a été élargi au traitement des blessés lors des manifestations des Gilets Jaunes.

Pourtant, d’après le Canard Enchaîné du 17 avril 2020, certaines fiches de personnes admises dans les hôpitaux de Paris en 2019, en marge des manifestations de gilets jaunes, faisaient mention de la nature des blessures, permettant ainsi d’identifier et, donc, de tracer les manifestants blessés.

Cet entretien est l’occasion de rappeler que la pseudonymisation des données, garantit par la loi liée aux données de santé, n’est pas infaillible. Par inférence ou par recoupement de jeux de données, on peut aisément ré-identifier une personne.

L'Université de Louvain et l’Imperial College de Londres ont montré que 83% des Américains peuvent être ré-identifiés en utilisant seulement trois variables : le genre, la date de naissance et le code postal, données qui sont par exemple compilées dans le fichier OSCOUR. En présence de 15 variables, la personne peut être ré-identifiée dans 99,98% des cas.

On apprend également que l'argument du chiffrement des données assuré par le Health Data Hub ne tient pas la route car Microsoft a besoin d'accéder aux données pour faire tourner des programmes afin d'alimenter et d'entraîner son intelligence artificielle.

L’audience devant le Conseil d’État a aussi permis de mettre à jour que la Plateforme technique utilise, pour son fonctionnement usuel, 40 logiciels de Microsoft Azure. Ces logiciels, ces programmes, sont utilisés pour analyser les données hébergées, à l’image d’un énorme tableur Microsoft Excel dans lequel une giga-entreprise ferait ses calculs de comptabilité. S’il est possible de chiffrer vraiment des données lorsqu’on les confie à une société chargée uniquement de les héberger, le chiffrage n’est plus possible si la société qui les héberge doit également les analyser, les passer dans la moulinette de plusieurs programmes informatiques.

Un entretien à lire si vous souhaitez comprendre les risques introduits par le Health Data Hub sur nos données de santé (fuite des données de 67 millions de personnes aux 4 coins de la planète, accès des données accordées à des mutuelles ou des assurances, Cloud Act US...).Par ailleurs, Inter-Hop n'est pas seulement dans la critique. Il formule également des propositions alternatives qui permettraient d'utiliser les technologies modernes tout en étant en adéquation avec une éthique médicale dans l'intérêt des patients.

#HealthDataHub

Source : Lundi Matin

Des émojis coup de poing pour se protéger de la reconnaissance faciale

Depuis le résurgence du mouvement Black Lives Matter, on a pu constater que les forces de l'ordre américaines n'hésitent pas à recourir à des contenus partagés sur les réseaux sociaux pour identifier les personnes qui participent aux manifestations contre les violences policières et les arrêter. Certaines personnes inquiètent de se faire arrêter renoncent à participer à ces manifestations et à exercer leurs droits civiques par la même occasion.

Pour tenter de protéger les manifestants qui sont pris en photo et empêcher les dispositifs de reconnaissance faciale de faire matcher les photos avec les informations conservées dans des bases de données, des chercheurs de Stanford ont développé une intelligence artificielle open source qui remplace les visages des manifestants par un émoji poing.

Need to protect protestors? Tweet at me to anonymize BLM protest photos! Original by @Official_TNIJ pic.twitter.com/Cx4mtvRlYo

— #BlackLivesMatter (@BLMPrivacyBot) July 15, 2020

The model we use in this work has been trained on over 1.2 million people in the open-sourced research dataset, called QNRF, with crowds ranging from the few to the the thousands. False negatives are the worst error in our case.

Les porteurs de ce projet rappellent que leur méthode par ajout d'un émoji est plus efficace que les méthodes d'anonymisation qui floutent les visages des personnes. En effet, des méthodes pour décoder et déflouter les photos peuvent révéler l'identité des personnes.

Computer scientists have tried to mitigate this threat by using blurring and pixelation techniques to hide the faces of demonstrators. But these masking methods can’t always protect protestors from facial recognition; machine learning methods can decode and unblur the images to reveal their concealed face.

Evidemment, cet outil n'est pas infaillible et l'identification d'un individu peut-être effectuée en recoupant plusieurs photos. Les vêtements ou tout autre élément distinctif peuvent compromettre l'anonymat des manifestants.

Blocking out the face offers a great form of anonymization; nevertheless, this cannot be mistaken for complete foolproof anonymity, e.g. if someone is wearing a t-shirt with their SSN or if they are not anonymized in another image and identity could be triangulated through similar clothing and surroundings. It may be self-evident, but this tool is not perfect, so please lend a careful and caring eye to ensuring faces are masked before sharing photos.

Enfin, pour protéger votre vie privée pendant les manifestations, n'hésitez pas à réécouter ce podcast d'Hackstock

BLM Privacy est disponible ici

#BlackLivesMatter #ReconnaissanceFaciale

Source : The Next Web / BLM Privacy

Une chaîne de pharmacies utilise un dispositif de reconnaissance faciale à l'insu de ses clients.

Dans une enquête publiée par Reuters, on découvre que la chaîne de pharmacie Rite Aid a recours à un système de reconnaissance faciale depuis 2012. Evidemment, le dispositif est déployé sans que le consentement des clients ne soit recueilli. De toute façon, ils ne pouvaient pas s'y opposer ou donner leur consentement car ils n'étaient pas informés de la présence de ce dispositif de surveillance.

Depuis quelques années, un débat existe autour de la reconnaissance faciale et des biais introduits dans les algorithmes qui font tourner ces intelligences artificielles. Les études qui mettent en avant l'existence de ces biais démontrent que la reconnaissance faciale à tendance à discriminer certaines populations en particulier les noirs américains. L'enquête de Reuters confirme à nouveau que la reconnaissance faciale est une technologie qui porte préjudice aux personnes racisées. En effet, la chaîne de pharmacies a déployé son dispositif en priorité dans des quartiers populaires à majorité noire-américaine ou latino-américaine pour lutter contre le vol et les violences :

"Dans les zones où les personnes de couleur, y compris les résidents noirs ou latinos, constituent le groupe ethnique le plus important, Reuters a constaté que les magasins étaient trois fois plus susceptibles d'être équipé de cette technologie", peut-on lire dans l'enquête. De son côté, la chaîne américaine explique que le choix des emplacements reposait sur des données liées à l'historique des vols en magasin ainsi que sur des statistiques criminelles locales et nationales."

Le dispositif relève presque du pré-crime. Les caméras procèdent à une comparaison des images de clients présents dans le magasin et des images de clients ayant déjà commis un délit au sein des pharmacies. Si elles repèrent un individu, une notification est envoyée aux agents de sécurité pour demander aux clients suspectés de commettre un nouveau délit de quitter les lieux.

"The point of the whole operation, the report states, was to alert security personnel of someone entering the store that had exhibited past criminal activity, so that they may be asked to leave to help prevent theft or crime. But Reuters’ interviews with former employees and managers illustrate how the system was used to racially profile customers."

Dans ce contexte, le dispositif de surveillance préjuge des actions des individus en s'appuyant sur des actes passés et les catalogue définitivement comme criminels en faisant peu de cas du principe de présomption d'innocence. En outre, si une personne a effectivement commis un délit par le passé et qu'elle s'est acquittée de sa dette auprès de la société par l'intermédiaire d'un jugement, cette dernière sera éternellement comptable de ses actes. On assiste donc à l'élaboration d'une criminalisation ethnique qui stigmatise une partie de la population.

#Videosurveillance #ReconnaissanceFaciale

Source : L'Usine Digitale / The Verge

La police de San Francisco utilise un réseau de caméras privées pour surveiller des manifestants

L'EFF a mis la main sur des mails qui prouvent que la police de San Franciso (SFPD) a noué un partenariat avec un tiers pour accéder à distance à son réseau de caméras afin de surveiller des individus ayant participé aux manifestations en soutien au mouvement Black Lives Matter.

But a report from the Electronic Frontier Foundation, a digital privacy advocacy group, shows that the San Francisco Police Department gained remote access to this private camera network for days at a time during protests in late May and early June.

Bien que problématique, le fait que la police utilise des outils de surveillance de masse pour identifier un ou quelques individus dans des manifestations n'a rien de nouveau. Cependant, au regard du contexte législatif de San Francisco, les méthodes de la police locale ont de quoi interroger. En effet, depuis une modification récente de sa législation, San Francisco a interdit à la police de pouvoir surveiller en direct les individus. Les forces de l'ordre doivent respecter une procédure spécifique pour obtenir un accès à des dispositifs de surveillance appartenant à un tiers. Or en l'espèce, la SFPD est allée frapper directement à la porte de l'entreprise qui gère le réseau de caméras.

'The police can’t monitor it live, it’s actually against the law in San Francisco,” Larsen told ABC7. “They have to make a request just like anybody else.”

Le recours à ce genre de méthodes pour tenter d'identifier un individu ou un groupe de personnes pose réellement la question de la violation de la vie privée et des libertés fondamentales des personnes qui exercent leur droit à manifester. A travers ces enregistrements vidéos, ces derniers peuvent être identifiés et la participation à un mouvement de contestation peut leur être reproché. La présence de dispositifs de surveillance et d'identification peut dissuader des personnes à participer à des manifestations par peur de représailles.

#Videosurveillance #BlackLivesMatter

Source : San Francisco Public Press

RATP : souriez, vous êtes surveillés !

Médiapart a publié un article dans lequel le média expose au grand jour les projets de vidéosurveillance et d'intelligence artificielle portés par la RATP. Dans un souci de transparence, le journal a décidé de saisir la CADA pour faire respecter les droits des usagers et dénoncer les projets opaques de la régie des transports.

La RATP avait déjà été épinglée pour des expérimentations de reconnaissance faciale dont plusieurs ont avorté. La dernière en date est issue d'un partenariat avec l'entreprise Datkalab (connue pour son expérimentation de caméras déployées à Nice pour repérer les passants qui ne portent pas de masque).

Plusieurs entreprises ont déjà approché la RATP qui est un terrain de jeu privilégié pour tester les algorithmes de reconnaissance faciale. En effet, la fréquentation importante des stations comme Châtelet-les-Halles où 750 000 personnes transitent par jour ainsi que le nombre de caméras (50 000) représentent un test idéal pour mesurer l'efficacité de la reconnaissance faciale. A la lecture de l'article de Médiapart, on apprend également que la RATP a son propre “lab” dédié à l'usage de la vidéosurveillance.

En 2020, la RATP franchit un nouveau cap en créant son « Lab’IA Vidéo » au sein de la station Châtelet-Les Halles, la plus fréquentée du réseau avec 750 000 visiteurs journaliers. Avec ce projet, la régie entend « mettre son vaste réseau de caméras de vidéoprotection au service des voyageurs » et poursuivre une dynamique de collaboration avec des entreprises du secteur.

Comme à chaque fois, l'argument invoqué, pour justifier le déploiement de la reconnaissance faciale ou de ses expérimentations, est la sécurité des voyageurs. Ou du moins le sentiment de sécurité...

Au passage, l’objectif du projet tel que défini par le service communication s’avère bien flou : « Améliorer le sentiment de sécurité pour nos voyageurs

#Videosurveillance

Source : Mediapart