Quand le FBI surveille les passagers aériens
Le magazine Forbes a rendu public un dispositif de surveillance développé par le FBI. L'agence de renseignement américaine se sert d'une entreprise tierce pour surveiller les voyageurs qui prennent l'avion en partance ou en provenance des Etats-Unis. Sabre est une société qui fournit un système de réservation de voyages (GDS) et qui représente un tiers du secteur. Sabre collecte des informations sur les passagers comme le numéro de siège mais aussi des informations liées à la réservation d'un hôtel ou d'une voiture par exemple. Autrement dit, elle constitue une porte d'accès vers de nombreux passagers. Dès lors, le FBI qui poursuit une personne peut savoir à quelle heure elle atterrit et où se situe son hébergement. La cueillette est à portée de main des fédéraux.
D'ailleurs, cette entreprise est l'exemple du développement du capitalisme de surveillance. Avant de devenir une entité autonome, Sabre était un programme développé par la compagnie American Airlines au milieu des années 1950. Ce programme est né d'une erreur d'un employé qui a mélangé des réservations de vols qui étaient faîtes à la main par des opérateurs. Suite à cela, American Airlines a décidé d'optimiser le fonctionnement en automatisant une partie cette activité. La compagnie aérienne s'est tournée vers une des entreprises majeures de l'époque dans le domaine de l'informatique : IBM. Le capitalisme de surveillance trouve sa source dans le besoin des entreprises d'améliorer leur productivité en s'appuyant sur le développement de l'informatique. Il a fallu recourir à l'outil informatique pour pouvoir traiter et automatiser le traitement de données.
To make the system more efficient and accurate, American turned to the nascent computer industry, calling on IBM and MIT scientists to build the industry’s first “passenger name record,” a vast database of travel bookings that could be updated and tracked at far greater efficiency.
Aujourd'hui, Sabre est une entreprise côtée au Nasdaq qui traite plus d'un tiers des réservations de voyages aériens dans le monde. C'est donc tout naturellement que le gouvernement américain et le FBI ont frappé à sa porte. Plutôt que d'aller demander des informations sur des individus compagnie par compagnie, les autorités américaines disposent d'un seul interlocuteur. Dans le cadre du All Writs Act, une vieille loi américaine qui permet au gouvernement de soumettre un ordre à une entreprise dans la plus parfaite opacité, Sabre est amenée à fournir au FBI des informations en temps réels sur des suspects.
Après avoir été utilisé pour traquer des fugitifs, les autorités américaines pourraient être amenées à utiliser Sabre dans le cadre de la pandémie du Covid 19.
#SurveillanceCapitalism
Source : Le Monde
Carte bancaires : transformer les données des transactions bancaires en actifs à haute valeur ajoutée
Les paiements par carte bancaire et maintenant par smartphone simplifient le quotidien et se traduisent par une expérience utilisateur améliorée. Cependant, le revers de la médaille – ou plutôt de la pièce – c'est que ces transactions représentent une source d'informations qui trahissent nos comportements d'achats et donc une menace pour notre vie privée.
Les cartes de crédit sont porteuses de nombreuses informations sur les individus. Celles-ci sont utilisées par les commerçants pour améliorer leurs offres, mais elles sont également réassemblées et vendues sur à des acteurs tiers sur le marché des données publicitaires.
L'idée de pouvoir collecter des informations et établir un lien entre les différents achats d'un consommateur n'est pas nouvelle. Dès le début de la seconde moitié du 20ème siècle des initiatives émergent. Mais il manque une infrastructure informatique pour permettre de généraliser la collecte de données liées à des achats.
Ce n’est qu’à partir des années 70, avec l’essor de l’informatique et sous la contrainte des évolutions règlementaires (visant à davantage de transparence), que vont être constituées les premières bases de données conservant un historique standardisé des transactions pour chaque individu listant la date, le montant, le lieu et une brève description de chacune.
A partir des années 80, la démarche s'industrialise. La collecte de données transactions bancaires est devenu un secteur structuré avec des acteurs majeurs comme American Express. Des partenariats entre différents activités et des réseaux bancaires se nouent : hôtels, compagnies aériennes, entreprises automobiles...
Cet attrait pour les données transactionnelles conduit de nombreuses entreprises à proposer des cartes co-brandées à l’instar du partenariat pionnier, en 1987, entre CitiBank et American Airlines. Pour les compagnies aériennes, hôtels, fabricants automobiles et autres commerçants, ces partenariats leur donnent accès à de précieuses données sur les transactions réalisées par leurs clients.
Ce développement permet de démontrer les limites de l'interprétation du développement du capitalisme de surveillance selon Shoshana Zuboff. D'après la chercheuse, le capitalisme de surveillance serait une évolution du capitalisme qui est apparue au début des années 2000 avec des entreprises comme Google qui constituent leur modèle économique sur la collecte de données personnelles des utilisateurs. Cependant, l'analyse du développement de l'industrie des cartes de crédit démontre que le capitalisme de surveillance n'est pas si récent et qu'il est lié à l'accroissement de l'informatique dans les entreprises dès les années 60 afin de permettre une amélioration et une optimisation de la production. Les industriels détenaient une somme d'informations qu'ils n'étaient pas capables d'exploiter.
Ce que nous considérions comme une industrie était un grand nombre d'informations collectées, mais personne ne savait vraiment comment les utiliser
C'est ce qu'explique plus en profondeur Christophe Masutti dans son livre Affaires privées, aux sources du capitalisme de surveillance, publié chez C&F éditions. Pour résumer, l'industrie a eu besoin d'optimiser sa production en réduisant les coûts, l'informatique a accompagné ce processus. Les GAFAM et toutes les sociétés de la SurveillanceTech n'en sont que les héritiers.
La prochaine fois que vous serez chez un commerçant, payez en liquide ! ;–)
#Tracking #Banque
Source : Linc
L'EFF réalise une cartographie de la surveillance
L'association qui milite pour la défense des libertés numériques a mis en place un nouveau projet : Atlas of Surveillance. Il s'agit d'une carte interactive qui recense les dispositifs de surveillance déployés par les autorités à travers les Etats-Unis. Cette base de données inclut un large panel de dispositifs de surveillance : drones, caméras, lecteurs automatiques de plaques d'immatriculation, reconnaissance faciale...
A ce jour, la carte fournit un accès à 5300 éléments collectés et recensés par des chercheurs. L'EFF met à disposition le jeu de données au format csv. Un glossaire accompagne également la carte interactive et qui explique les différents dispositifs recensés. Enfin, l'EFF invite les internautes à contribuer à alimenter cette base de données pour indiquer d'autres dispositifs de surveillance.
#Cartographie
Source : Atlas of surveillance
Surveillance d'opposants politiques : une activité lucrative répandue
On a appris ce weekend que des militants Catalans ont fait l'objet d'une surveillance politique digne des plus grandes heures de la Stasi. En effet, Roger Torrent, le président du Parlement de Catalogne a annoncé que son téléphone a été espionné par le gouvernement espagnol.
Les révélations du Guardian et d’El Pais « corroborent et confirment nos craintes que contre les militants pro-indépendance, l’état est prêt à utiliser tous les moyens à sa disposition pour s’attaquer à un projet politique légitime », a dit M. Torrent. Selon les deux journaux, deux autres militants indépendantistes ont été ciblés de la même manière au début de 2019.
Cette pratique déployée par des régimes qui doutent de leur légitimité ou de leur pérennité n'est pas nouvelle ni propre à l'Espagne. En France, Médiapart révélait récemment que les militants écologistes engagés dans la bataille du projet d'enfouissement des déchets nucléaires à Bure ont aussi été surveillés par les autorités.
Tout récemment, c'est le journaliste Marocain, Omar Radi, qui a fait l'objet de plusieurs interrogatoires par la police marocaine. Son téléphone a également été surveillé et écouté. On pourrait poursuivre et dresser un inventaire à la Prévert. La méthode n'est pas nouvelle et surtout elle représente désormais un marché fructueux. Parmi toutes ces affaires d'écoute, le nom d'une entreprise revient régulièrement. Il s'agit de l'entreprise Israélienne NSO. Elle a fait sa renommée avec un logiciel qui permet de mettre sur écoute un téléphone : Pégasus. Ce logiciel coûte plusieurs millions de dollars et n'est vendu qu'à des organisations étatiques. Cela fait plusieurs années que cet outil de surveillance de militants ou d'opposants politiques existe. En 2016, Le Monde en dressait déjà un portrait.
Surveillés de tous les pays, unissez-vous ! ;–)
#Politique
Quand Twitter aide la police à surveiller des militants du mouvements Black Lives Matter
The Intercept vient de publier une enquête qui révèle que la société Dataminr, spécialisée dans l'intelligence artificielle et l'analyse de données, aurait contribué à aider la police de plusieurs états américains à surveiller les manifestants qui ont participé au mouvement de lutte contre les violences policières Black Lives Matter.
the company has facilitated the surveillance of recent protests, including nonviolent activity, siphoning vast amounts of social media data from across the web and converting it into tidy police intelligence packages
Pour y parvenir, la société Dataminr analyse les tweets qui sont publiés sur la plateforme de Jack Dorsey et communique ensuite les informations aux autorités. Bien évidemment, l'entreprise nie cette pratique et a déjà affirmé par le passé que le tracking et la surveillance d'activistes était formellement interdite et inacceptable.
The company sought to assure the public that attempts to monitor its users for purposes of surveillance were strictly forbidden under its rules, and that any violators would be kicked off the platform. For example, then-VP Chris Moody wrote in a company blog post that “using Twitter’s Public APIs or data products to track or profile protesters and activists is absolutely unacceptable and prohibited.”
Les promesses n'engagent que ceux qui y croient et Dataminr s'est appliquée à donner du sens à cet adage. L'enquête de The Intercept démontre que l'entreprise, malgré ses déclarations, continuait à bénéficier de son accès privilégié à Twitter pour communiquer des informations à la police comme par exemple un rassemblement, le parcours d'une manifestation ou l'organisation qui est à l'initiative d'un événement :
In so doing, it used to great effect its privileged access to Twitter data — despite current terms of service that explicitly bar software developers “from tracking, alerting, or monitoring sensitive events (such as protests, rallies, or community organizing meetings)” via Twitter.
Dataminr se défend évidemment de collaborer avec les forces de police et d'être un acteur de la surveillance des manifestants. Pour l'entreprise, collecter et fournir des tweets sur des citoyens ne s'apparente pas à de la surveillance mais plutôt à une forme de collecte d'informations “idéologiquement neutre”.
Wilcox’s defense of Dataminr was based mostly on a sort of linguistic distinction: that relaying data to the police isn’t a form of surveillance, but a form of ideologically neutral newsgathering
Mais le cynisme de l'entreprise ne semble pas s'arrêter à ce genre d'euphémisme. Un des responsables de l'entreprise explique que cette activité n'est absolument pas contraire aux libertés individuelles. Selon lui, le fait de collecter des informations sur des événements politiques ne contribue pas à porter atteinte à la liberté d'expression ni à celle celle de se rassembler. Même quand ils sont pris en flagrant délit, ils continuent de nier. Quand on leur montre une capture d'écran d'un tweet transmis à la police de Minneapolis concernant l'emplacement exact d'un groupe de manifestants, les représentants de l'entreprise se défendent en expliquant qu'ils ont souhaité avertir les autorités des problèmes de circulation que cela provoquait et non les manifestants.
Cette rhétorique n'est qu'un verni pour couvrir la malhonnêteté de l'entreprise et son rôle dans la surveillance des manifestants.
In response to a screenshot copy of the tweet Dataminr forwarded to Minneapolis police regarding the exact location of a group of protesters, McGee claimed that this was flagged for the department because it showed traffic problems, not protesters. “Alerts on an intersection being blocked are news alerts, not monitoring protests or surveillance,” said McGee.
Le capitalisme de surveillance a encore de beaux jours devant lui.
#BlackLivesMatter
Source : The Intercept
Météo France : tempête sur nos données personnelles
Le (très bon) site Pixel de tracking a analysé le fonctionnement de l'application de Météo France. Le résultat est sans appel : évitez de l'utiliser si vous tenez à protéger votre vie privée.
La démonstration débute avec l'installation de l'application sur l'appareil. Ayant besoin de l'autorisation d'accéder à la géolocalisation, l'appli de Météo France demande l'accord à l'utilisateur. Une politique de confidentialité doit être ensuite acceptée. Cette dernière précise :
"En cliquant sur "Je refuse tout", vos données ne sont pas collectées et les publicités affichées le sont de façon aléatoire sans aucun rapport avec vos comportements et/ou déplacements. Vous pouvez à tout moment retirer votre consentement en exerçant vos droits."
.
Spoil : même lorsque vous n'utilisez pas l'appli, Météo France cherche à accéder à votre position géographique.
A peine l'application ouverte, Pixel de tracking découvre une myriade de trackers qui ont commencé à le pister : Facebook, Google, Smart AdServer (une solution de monétisation publicitaire) et Madvertise (qui fait la même chose que Smart AdServer). Mais c'est cette dernière qui est le plus problématique et qui s'assoit sur le principe du recueil du consentement de l'utilisateur :
Madvertise est ainsi co-responsable (avec Météo-France) des appels publicitaires vers Google et Smart AdServer. Si l'on regarde le détail des données envoyées à mobile.mng-ads.com (rappel, j'ai refusé toute collecte de données personnelles, et je n'ai cliqué sur aucun écran), on voit 7 requêtes fuitant mes coordonnées GPS (longitude, latitude), permettant de connaître précisément mon domicile
Le tracking ne se limite pas à ces services. En poursuivant la navigation dans l'appli de Météo France, Pixel de tracking s'aperçoit que de nouveaux traceurs apparaissent. Pour une une application développée pour le compte d'un établissement public administratif, on a de quoi être surpris de ce choix et de la violation assumée du RGPD.
Comment faire pour s'en protéger ?
- Ne pas utiliser l'application
- Regarder par la fenêtre pour voir le temps qu'il fait
- Ecouter la radio
Ou plus sérieusement :
Utilisez une appli bloquant les traqueurs afin d'être mieux protégé contre la surveillance sur les applications telles que Météo France : DNSCloak, Adguard ou NextDNS sur iOS.
#appli #tracking
Source : Pixel de tracking
Futurapolis : Tous trackés pour notre santé ?
Dans le cadre de son événement Futurapolis, Le Point a organisé un live autour des questions de surveillance dans le contexte de l'épidémie de coronavirus. Pendant près d'une heure, Baptiste Robert (@fs0c131y), Olivier Tesquet (@oliviertesquet), Romain Gonzalez et Guillaume Grallet débattent des conséquences sur nos données de santé des choix des pouvoirs publics pour lutter contre l'épidémie.
Ce live est l'occasion de faire une synthèse des questions qui ont animé les défenseurs de la vie privée depuis le début du confinement. La stratégie du solutionnisme technologique du gouvernement a entamé la confiance d'une partie de la population méfiante à l'égard de l'utilisation d'une application de contact tracing. Les invités du live ont également analysé les traces que la gestion de la crise laisse et l'atteinte irrémédiable de nos libertés individuelles à cause de l'effet cliquet. Des mesures ont été prises dans le cadre de l'état d'urgence sanitaire puis ont été introduites par la suite dans le droit commun. Olivier Tesquet établit un parallèle avec l'état d'urgence terroriste de 2015 qui a été prorogé 6 fois et dont un certain nombre d'éléments ne relèvent plus d'un état d'exception. A ce propos, cet article de Médiapart démontre ce processus et comment les principales mesures temporaires deviennent pérennes au détriment des libertés fondamentales.
#Covid #Santé
Source : Futurapolis
Les kits de développement (SDK), ces aspirateurs à données personnelles
Qui dit smartphone, dit applications. Qui dit applications, dit kits de développement. Ces trousses de développement logiciels (SDK) sont des boîtes à outils mises à disposition des développeurs afin de leur permettre de gagner du temps et de développer une application à moindre coût. En tant qu'utilisateur, vous avez certainement été confronté à ce genre de solution sans vous en rendre compte. En effet, une appli qui vous propose de vous connecter par l'intermédiaire de Facebook ou de Google utilise un SDK de ces deux GAFAM. Ou bien cela peut-être le cas avec une appli de météo qui va vous géolocaliser pour vous indiquer le temps qu'il fait à l'endroit où vous êtes.
Bien évidemment, les entreprises qui fournissent des SDK ne le font pas toujours par philanthropie. Elles ponctionneront leur dîme en collectant des données sur les utilisateurs de l'application finale. Les données en question sont la localisation, l'identifiant de l'appareil etc... Les SDK implémentés dans les applis font office de cheval de Troie et transmettent les données à tiers. Cela permet ainsi de construire des profils d'utilisateurs afin d'afficher de la publicité ciblée.
Here’s where the tracking comes in. The data your device’s app sends to a third party can be used to build a profile of the app’s user, which advertisers can then use for targeted ads. You likely don’t even know what data is leaving your device, how it can be used to track you, or where it’s going.
Le journaliste de Recode établit une comparaison entre les SDK et les cookies déposés quand on navigue sur des sites web. La plupart de nos activités en ligne sont trackées et monétisées. C'est exactement ce qui se produit avec les SDK mais de manière plus étendue dans la mesure où les applis sont installées directement sur nos appareils. Et si on peut configurer son navigateur pour bloquer les cookies, c'est plus difficile de bloquer les SDK.
Tracking via SDK is firmly, perhaps inextricably, entrenched in the app ecosystem. In this way, it’s similar to the internet. Pretty much everything we do online has been tracked and monetized since the start (see: cookies). Because apps are on the device itself, rather than accessed through a website — and because we now use apps for so many different things and carry the device they’re on around with us throughout the day — they’re able to collect a ton of information about us.
Afin de se protéger, les entreprises qui développent des SDK intrusives expliquent qu'aucune donnée identifiant directement l'utilisateur n'est collectée et leur accorde la possibilité de refuser la collecte dans les paramètres de l'appli. Mais ces arguments ne tiennent pas la route car d'une part les données anonymisées peuvent être dé-anonymisées, et d'autre part, la montagne de données détenues par les data brokers peuvent confondre une personne par inférence.
“The amount of data they have about us is unbelievable,” Sadeh said. “Brokers basically reassemble all this data, and they’re pretty good at it.”
Les marges de manœuvre pour se prémunir contre ce tracking sont limitées. On peut paramétrer les autorisations strictement nécessaires pour utiliser une appli. C'est le fameux exemple de l'application lampe-torche qui demande d'accéder à la géolocalisation ou aux contacts. On peut également s'appuyer sur les évolutions législatives. Mais c'est le jeu du chat et de la souris. Les entreprises spécialisées dans le ciblage publicitaire trouvent des contournements techniques voire juridiques pour continuer à nous tracker. Enfin, la meilleure alternative consiste peut-être à utiliser des applis dont on a vraiment besoin et de réfléchir à deux fois avant d'en installer une nouvelle. Avec des outils comme Exodus Privacy, il est facile d'identifier les trackers et les demandes d'autorisation illégitimes. Dans la mesure du possible, on peut aussi installer des applications depuis des magasins alternatifs comme F-Droid où l'on peut télécharger des applis expurgées de certains trackers.
#Tracking #smartphone #appli
Source : Recode
Régie des transports marseillais : extension du domaine de l'écoute
La régie de transports en commun de la cité phocéenne souhaite diversifier son dispositif de vidéoprotection. Actuellement équipés de caméras, la régie souhaite adjoindre l'ajout de micros dans les bus pour pouvoir comprendre ce qui s'est passé en cas d'incident. C'est bien évidemment l'argument de la sécurité des voyageurs et des conducteurs qui est mise en avant. Et cela semble difficile de vouloir être contre la sécurité des personnes.
Cependant, le recours à des micros pour essayer de savoir ce qui a pu être dit en cas d'agressions, dans des affaires de frottements ou d'attouchements témoigne de l'impuissance des dispositifs de vidéoprotection
On peut entendre les cris, de type insultes ou menaces », ce qui peut, dans certains cas, apporter un élément de preuve, notamment « dans les affaires d’attouchements ou de frottements qui ont souvent lieu quand la densité de clients est importante. Le geste de l’agresseur est parfois difficile à repérer à l’écran. Dans ce cas, un cri de la victime peut nous permettre d’identifier l’auteur »
Autrement dit, cet enregistrement pourrait servir de preuve et d'identification d'individus mais n'aura pas protégé la victime potentielle puisque le délit aura été commis. Les enquêteurs se serviraient juste de l'enregistrement dans le cadre de l'enquête. C'est donc un dispositif de vidéoprotection qui ne protège pas. En outre, la preuve de l'inefficacité du dispositif est apportée par l'adjoint au directeur de la sûreté qui explique :
« Notre orientation n’est pas de mettre des micros partout. Il est exceptionnel qu’ils nous apportent quelque chose, car ils n’ont pas une grande portée, et les rames sont bruyantes. En milieu de rame, aucune chance qu’on vous entende, par exemple ».
Ce genre de mesures contribuent à diffuser un pseudo sentiment de sécurité et participe à habituer les individus à être entourés d'objets capables de capter leur image, leur voix et d'autres attributs qui peuvent les caractériser. Enfin, une fois de plus, une entreprise profite de la zone grise législative pour étendre des dispositifs de surveillance et influence le débat en prônant l'argument de la sécurité au détriment des droits et des libertés des individus.
#Vidéoprotection
Source : La Gazette des communes
Clearview AI : une enquête sur l'entreprise sulfureuse spécialisée dans la reconnaissance faciale
L'entreprise Clearview AI a fait couler beaucoup d'encre en début d'année. Elle propose une solution de reconnaissance faciale à des autorités ou des services de police. Plutôt discrète au départ, elle a commencé à faire parler d'elle notamment en raison de la méthode utilisée pour alimenter son intelligence artificielle. En effet, elle a tout simplement siphonné les photos qu'elle trouvait sur le web et les réseaux sociaux. Elle est parvenue ainsi à collecter près de 3 milliards de photos. Autrement dit, Clearview AI serait capable de reconnaître une bonne partie de la population mondiale à partir d'une simple photo. Avec une telle base de données et dans un contexte de déploiement continu des outils de contrôle et de surveillance, les autorités sont forcément sensibles à ce genre de dispositifs.
Mais le développement de Clearview AI risque de prendre un peu de plomb dans l'aile car les organismes britannique et australien de protection des données ont annoncé avoir engagé une action commune contre l'entreprise.
L’enquête se concentrera sur « l’utilisation par l’entreprise de données “scrappées” [c’est-à-dire récupérées automatiquement depuis Internet] et biométriques des individus », ont-elles précisé dans un communiqué commun. Ces deux autorités de protection des données ont noué par le passé des accords leur permettant de mener des enquêtes conjointes.
Ce n'est pas tout car l'entreprise a également essuyé un autre revers outre-Atlantique. Clearview AI n'a plus le droit de vendre sa techno sur le sol canadien en raison de la politique de confidentialité plutôt douteuse de l'entreprise.
Fin de partie pour Clearview AI au Canada. L’entreprise ne vendra plus sa technologie de reconnaissance faciale dans le pays d’Amérique du Nord, selon le gouvernement.
Ces déconvenues sont de maigres consolations face au développement général des outils destinés à contrôler la population ou des groupes d'individus. Mais ce n'est pas ce qui suffira à mettre un coup d'arrêt définitif à cette fuite en avant technologique. Ce n'est pas d'un débat sur les avantages et les risques dont la société civile a besoin. Il faut interdire purement et simplement le recours à ces outils qui grignotent toujours un peu plus les libertés individuelles et habituent les individus à se soumettre à des technologies de contrôle.
#ReconnaissanceFaciale
Source : Le Monde