sousveillance

Le journal de la surveillance

Les services de renseignements lorgnent du côté des URLs

Un nouveau projet de loi de lutte contre le terrorisme et le renseignement est dans les cartons. Il devra être présenté au Parlement à la mi-juillet. Une note confidentielle du gouvernement révèle que le tour de vis sécuritaire se profile. En effet, ce projet se traduirait par un renforcement des pouvoirs accordés à l'algorithme chargé de déceler les menaces terroristes. Pour y parvenir, l'algorithme devrait absorber plus de données personnalisées et en particulier les URLS.

Ils souhaitent que l’algorithme puisse aussi s’attaquer aux adresses dites « URL », connues sous le nom « d’adresses Web ». Ces dernières sont enregistrées par chaque utilisateur lors d’une consultation Internet ou d’une recherche sur les réseaux sociaux.

Les URLS peuvent être bavardes et nous trahir. En effet, on peut déduire les centres d'intérêt d'une personne en fonction des URLS. Si vous allez sur Wikipedia.org, on ne sait pas trop ce que vous cherchez ni quelles sont vos orientations politiques. En revanche, si vous allez sur https://fr.wikipedia.org/wiki/Victor_Serge et que l'on croise cette donnée avec d'autres requête, on pourra déduire par inférence vos opinions politiques. Cependant, cela peut également créer un faux positif et vous collez une étiquette qui ne vous correspond pas. C'est particulièrement le cas pour des journalistes, des chercheurs ou des avocats qui souhaitent se documenter dans le cadre de leur activité.

Avec ce projet, c'est une étape supplémentaire de la surveillance qui pourrait être franchie. Même la CNCTR ne semble pas favorable à cette disposition.

Pour la CNCTR, en effet, « l’adresse URL » n’est pas une simple donnée technique de communication, comme le pensent les services. Pour elle, il s’agit de données personnelles puisqu’elles délivrent des indications de « contenu » sur nos recherches. Une lecture jugée, au sein de l’Etat régalien, comme « restrictive ».

Une fois de plus, pour pécher un poisson le gouvernement souhaite privilégier l'usage d'un chalutier quitte à menacer la vie privée et les libertés de l'ensemble de la population. La pêche massive des services de renseignements n'empêchera malheureusement pas le terrorisme et fait de chaque citoyen une menace potentielle qu'il convient de surveiller.

Les technologies de chiffrement sont nos meilleurs atouts contre les regards indiscrets.

#Renseignement #BoîteNoire

Source : Le Monde

Royaume-Uni : veuillez décliner votre identité pour boire une bière

Au Royaume-Uni, les bars et les restaurants sont autorisés à rouvrir en veillant à respecter les gestes barrières pour limiter la propagation du coronavirus. Mais le gel hydroalcoolique et la distanciation physique ne suffisent pas. En effet, le gouvernement a publié un décret qui invite les propriétaires des pubs à collecter des informations personnelles sur leurs clients et de les transmettre au service chargé du suivi de l'épidémie rattaché à l'assurance-maladie britannique (NHS Test and Trace).

The government says pubs, restaurants and cafes – as well as hotels, museums, cinemas, zoos and hairdressers when they reopen – should collect information about every single person who has visited.

Les établissements doivent donc collecter le nom, le numéro de téléphone, la date, l'heure d'arrivée et de départ. Si c'est un groupe d'individus, seule une des personnes peut le faire. Si la démarche de contact tracing peut s'entendre pour essayer d'identifier rapidement des foyers de contamination, cette décision menace également la vie privée des individus. On sait à quelle fréquence vous allez boire un verre et quelles sont vos habitudes de déplacement. Par ailleurs, la transmission de certaines données comme le numéro de téléphone peut conduire à une véritable intrusion dans la vie privée des individus :

“With a phone number, you can search social media for that person’s accounts. You can upload the information to advertising micro-targeting tools. And you can harass people: stalk them, commit fraud or identity theft, spam them.”

Il est impératif que cette collecte soit strictement limitée dans le temps et que les données soient supprimées rapidement. D'après le décret, les données sont stockées pendant 21 jours et fournies au NHS que si c'est nécessaire. Le risque de cette mesure est d'aboutir à une situation de surenchère sanitaire dans laquelle la patron d'un bar pourrait vouloir collecter encore plus d'informations par peur d'être accusé de ne pas avoir permis d'identifier un éventuel foyer de contamination.

La question de la modalité de collecte est cruciale. Si le recueil de données se fait à partir d'un formulaire à déposer dans une boîte, cela pourrait limiter les risques d'exposition des données. Elles seront saisies par le bar et transmises au NHS. En revanche, si cette tâche est automatisée par l'intermédiaire d'une application, le risque de fuites de données est plus grand. L'accès pourrait être accordé à des tiers ce qui représenterait une menace supplémentaire sur la vie privée des clients.

Comme l'évoque Wired, le caractère non obligatoire constitue le terreau de l'échec de cette mesure. En effet, il est fort probable que les clients donnent des faux noms ou de fausses informations.

Ce système de déclaration contribue à nous habituer à devoir sacrifier notre anonymat pour des activités ordinaires qui ne nécessitent pas de justifier son identité. L'étau de la société de contrôle se ressert encore un peu plus.

#Covid

Source : Wired

Données de santé : le hub de l'enfer de Microsoft

C'est bien connu les promesses n'engagent que ceux y croient. Et le PDG France de Microsoft vient une fois de plus de nous confirmer cet adage. Sur le plateau de BFMTV, Carlo Purassanta a déclaré que le projet de plateforme de centralisation des données de santé des Français, pour lequel Microsoft est pressenti, serait ultra sécurisé. L'infrastructure serait chiffrée et par conséquent Microsoft n'aurait pas accès à nos données de santé.

"le niveau de sécurisation, par exemple, que nous avons mis en place sur le Health data Hub (…) est tellement complexe, qu'en fait, nous on ne voit aucune donnée" assure-t-il. "C'est crypté et tout est dans les mains du ministère. Donc il n'y a aucune possibilité que quelqu'un vienne regarder l'information d'une personne spécifique. C'est anonymisé, crypté (sic)..

Tout d'abord, un type qui emploie le mot crypté au lieu de chiffré a tout d'un commercial qui essaie de refourguer sa came en s'appuyant sur la naïveté du client. Au mieux, il ne connait pas son dossier. Au pire, il sait très précisément qu'il vend du vent.

Au-delà de l'aporie linguistique du PDG, des éléments du dossier soulignent le caractère mensonger de ses propos. En effet, Médiapart expliquait récemment dans un article que l'hébergeur de la plateforme Health Data Hub disposait d'une copie des clés de chiffrement de la plateforme. Autrement dit et pour paraphraser Purassanta : “Donc il y a toutes les possibilités que quelqu'un vienne regarder l'information d'une personne spécifique”.

La Cnil s’inquiétait par ailleurs également de la manière dont sont gérées les clefs de chiffrement, permettant de déchiffrer les données, dont une copie sera conservée « par l’hébergeur au sein d’un boîtier chiffrant, ce qui a pour conséquence de permettre techniquement à ce dernier d’accéder aux données »

Ensuite, le PDG voudrait nous faire croire que le modèle économique de Microsoft serait concentré uniquement sur l'infrastructure et en aucun cas la donnée. Cet argument s'inscrit dans la stratégie conduite par Microsoft pour se faire oublier du sigle GAFA(M). Mais il n'en est rien. La plateforme Health Data Hub représente un enjeu important pour Microsoft pour renforcer l'intelligence artificielle qu'elle alimente à coup de big data. Le secteur médical est un domaine fortement concurrentiel dans lequel Google, Apple et Microsoft se livrent une bataille pour conquérir des parts de marchés.

Enfin, le choix de privilégier Microsoft à l'heure des discours de Cédric 0 sur la souveraineté numérique a de quoi surprendre. En étant pieds et poings liés à une entreprise américaine, la France fait le choix de se soumettre à la souveraineté numérique américaine. Par ailleurs, il ne faut pas oublier que les entreprises américaines sont soumises au Patriot Act et au Cloud Act. Autrement dit, elles sont dans l'obligation de laisser une porte d'entrée à l'administration américaine qui souhaiterait surveiller ses alliés ou d'éventuels ennemis. Le contrat qui est prévu dans le cadre du Health Data Hub prévoit un transfert des données en dehors de l'Union européenne. Autrement dit, nos données de santé se retrouveront sur le sol américain.

Le contrat prévoit en effet que des données peuvent être transférées par l’hébergeur dans certains cas, sauf indication contraire.

#Santé #HealthDataHub

Source : BFMTV

Ils construisent des murs, nous bâtirons des ponts

La société de contrôle se dote d'outils de surveillance à des fins de politique anti-immigration. Aux États-Unis, la startup Anduril propose ses services à l'administration Trump pour lui permettre de réaliser son projet de construction de mur à la frontière avec le Mexique. L'entreprise déploie un mur virtuel de surveillance des frontières doté de capteurs pour analyser les mouvements aux alentours. Les caméras s'appuient sur une intelligence artificielle supposée être capable de faire la différence entre un animal et un humain qui tenterait de passer la frontière. Il ne s'agirait pas de gâcher une balle en tirant sur un coyote...

Anduril has been working with CBP since 2018, and it’s secured additional contracts with groups like the US Marine Corps and UK Royal Navy. Its sentry towers use a variety of sensors, including LIDAR, to capture data. An AI system called Lattice then analyzes it to distinguish between different kinds of moving objects. The goal is to detect humans crossing the US border while minimizing the number of false alarms from animals. Anduril has also produced other technology like a battering-ram drone that is not part of the CBP contract.

Tout cet argent dépenser dans des outils de contrôle et de surveillance pourrait être utilisé pour pouvoir accueillir décemment les populations qui abandonnent leur pays d'origine. Mais ce n'est pas le choix que fait le capitalisme de surveillance.

#caméra #Vidéosurveillance

Source : The Verge

Vidéosurveillance partout, liberté nulle part

C'est l'été, on sort d'une période de confinement, on a envie de profiter de l'extérieur et de partager un moment convivial en terrasse. Afin de protéger les clients du soleil, les bars et les cafés déploient souvent des parasols. Toutefois, la protection contre le soleil n'est pas la seule fonction qu'on peut attribuer aux parasols. En effet, ils servent aussi à se protéger des caméras de vidéosurveillance. C'est la découverte incongrue du jour. La police de la ville de Nivelles en Belgique a demandé aux terrasses de replier leurs parasols afin de pouvoir surveiller les badauds. Elle avance l'argument de la sécurité sanitaire et du respect des gestes barrières comme la distanciation physique.

La semaine dernière, nous avons constaté des regroupements de personnes dont le nombre était supérieur à celui fixé par les normes d’hygiène, explique Pascal Neyman, le chef de corps. Et ces regroupements trop importants, voire ces débordements, se déroulaient sous les parasols, là où l’on ne pouvait pas les visualiser avec nos caméras. La fermeture des parasols en soirée nous permet d’observer le bon respect des mesures sanitaires et de la distanciation sociale sur la Grand-Place et en terrasses.

Aujourd'hui, c'est pour observer le respect des distances entre les individus. Demain ce sera peut-être pour surveiller la présence de SDF ou de migrants et les éloigner des places publiques...

A défaut de pouvoir se promener avec un parasol, on peut toujours prendre un parapluie pour se protéger des regards indiscrets.

#Vidéosurveillance #Covid

Source : NextInpact

Équateur : la gestion de la pandémie donne lieu à une collecte irraisonnée de données

L'ONG Human Rights Watch alerte sur la gestion de la crise du coronavirus par le gouvernement équatorien. Pour lutter contre l'épidémie, le gouvernement collecte et traite une quantité incroyable de données personnelles sur les patients contaminés ou ceux qui ont été en contact. Le pays a les mains libres pour collecter massivement des données car il n'y a aucune législation pour protéger les données personnelles collectées par le gouvernement.

However, Ecuador does not have legislation to protect the personal data the government collects. A draft bill submitted by President Lenín Moreno to the National Assembly in September 2019 is pending before one of the legislative commissions.

En l'absence de garde-fou, le gouvernement a donc un boulevard pour collecter des informations sous prétexte de lutter contre la propagation du virus. Justement pour y parvenir, le président équatorien a publié un décret le 16 mars autorisant le gouvernement à utiliser des “plateformes de téléphonie mobile et satellite pour surveiller la localisation des personnes placées en quarantaine”. Le lendemain un autre décret a été publié pour autoriser la surveillance de personne suspectées d'avoir le Covid en inspectant le GPS de leur smartphone.

In a virtual news conference on March 17, Interior Minister María Paula Romo said that the decree authorized satellite tracking of people suspected of having Covid-19 to ensure they are complying with isolation requirements. She said that the government’s tracking technology can provide information about where a person is located through using the GPS on their smartphones.

Pour enfoncer le clou, la Cour constitutionnel du pays a déclaré que les décrets et les mesures de surveillance mises en place par le gouvernement étaient conformes à la Constitution. En l'absence d'une loi protégeant la vie privée des citoyens, ce n'est pas très compliqué de parvenir à cette conclusion.

Comme beaucoup de pays, l'Equateur a cédé au solutionnisme technologique en développant une application pour tenter d'endiguer l'épidémie. A l'image du reste de la politique intrusive, l'appli recueille également beaucoup de données sur les individus : nom, prénom, année de naissance, carte nationale d'identité, numéro de téléphone, email, adresse. Elle peut même tracker un utilisateur quand il n'utilise pas l'application. On voit bien que le gouvernement équatorien n'est pas familier du principe de minimisation des données collectées et de la finalité d'un traitement de données.

To use the application, users must provide their name, year of birth, national identity document, phone number, e-mail, and geolocated address. The scope of information required appears to run counter to the principle of data minimization, under which only the data that is necessary and directly related to the stated purpose of the app should be processed and it should not be held or used for other purposes, Human Rights Watch said.

Pour couronner le tout, le ministre de la santé est habilité à modifier à tout moment les conditions générales d'utilisation du service afin de permettre aux autorités d'utiliser les données sans recueillir le consentement des utilisateurs.

Encore un exemple de la stratégie pied dans la porte où un gouvernement s'empare de technologies de contrôle dans un contexte d'urgence. Cette fuite en avant technologie contribue à conditionner la population à être surveillée y compris en dehors des périodes de crise sanitaire. Malgré le recours aux outils numériques, le virus continue à se répandre. Le choix de la surveillance n'est probablement pas celui qui garantit la sécurité d'un pays.

#Covid #ContactTracing

Source : Human Rights Watch

Équateur : la gestion de la pandémie donne lieu à une collecte irraisonnée de données

L'ONG Human Rights Watch alerte sur la gestion de la crise du coronavirus par le gouvernement équatorien. Pour lutter contre l'épidémie, le gouvernement collecte et traite une quantité incroyable de données personnelles sur les patients contaminés ou ceux qui ont été en contact. Le pays a les mains libres pour collecter massivement des données car il n'y a aucune législation pour protéger les données personnelles collectées par le gouvernement.

However, Ecuador does not have legislation to protect the personal data the government collects. A draft bill submitted by President Lenín Moreno to the National Assembly in September 2019 is pending before one of the legislative commissions.

En l'absence de garde-fou, le gouvernement a donc un boulevard pour collecter des informations sous prétexte de lutter contre la propagation du virus. Justement pour y parvenir, le président équatorien a publié un décret le 16 mars autorisant le gouvernement à utiliser des “plateformes de téléphonie mobile et satellite pour surveiller la localisation des personnes placées en quarantaine”. Le lendemain un autre décret a été publié pour autoriser la surveillance de personne suspectées d'avoir le Covid en inspectant le GPS de leur smartphone.

In a virtual news conference on March 17, Interior Minister María Paula Romo said that the decree authorized satellite tracking of people suspected of having Covid-19 to ensure they are complying with isolation requirements. She said that the government’s tracking technology can provide information about where a person is located through using the GPS on their smartphones.

Pour enfoncer le clou, la Cour constitutionnel du pays a déclaré que les décrets et les mesures de surveillance mises en place par le gouvernement étaient conformes à la Constitution. En l'absence d'une loi protégeant la vie privée des citoyens, ce n'est pas très compliqué de parvenir à cette conclusion.

Comme beaucoup de pays, l'Equateur a cédé au solutionnisme technologique en développant une application pour tenter d'endiguer l'épidémie. A l'image du reste de la politique intrusive, l'appli recueille également beaucoup de données sur les individus : nom, prénom, année de naissance, carte nationale d'identité, numéro de téléphone, email, adresse. Elle peut même tracker un utilisateur quand il n'utilise pas l'application. On voit bien que le gouvernement équatorien n'est pas familier du principe de minimisation des données collectées et de la finalité d'un traitement de données.

To use the application, users must provide their name, year of birth, national identity document, phone number, e-mail, and geolocated address. The scope of information required appears to run counter to the principle of data minimization, under which only the data that is necessary and directly related to the stated purpose of the app should be processed and it should not be held or used for other purposes, Human Rights Watch said.

Pour couronner le tout, le ministre de la santé est habilité à modifier à tout moment les conditions générales d'utilisation du service afin de permettre aux autorités d'utiliser les données sans recueillir le consentement des utilisateurs.

Encore un exemple de la stratégie pied dans la porte où un gouvernement s'empare de technologies de contrôle dans un contexte d'urgence. Cette fuite en avant technologie contribue à conditionner la population à être surveillée y compris en dehors des périodes de crise sanitaire. Malgré le recours aux outils numériques, le virus continue à se répandre. Le choix de la surveillance n'est probablement pas celui qui garantit la sécurité d'un pays.

#Covid #ContactTracing

Source : Human Rights Watch

Reconnaissance faciale : le CEPD demande un moratoire

L'organisme européen de contrôle des données, CEPD, réclame un moratoire sur l'utilisation de la reconnaissance faciale dans les lieux publics. D'après la CNIL européenne, la législation n'est pas suffisamment adaptée à cette technologie de contrôle.

L'une des raisons qui motive cette décision du CEPD est l'expérience amère qu'a vécue le directeur de l'institution Wojciech Wiewiórowski. En effet, il a fait l'objet d'une surveillance à plusieurs reprises et a été échaudé.

J'ai été au moins deux fois dans des situations où j'ai été pisté de cette manière. J'ai ressenti cela comme une intrusion dans ma vie privée et dans mon intimité

C'est tout de même malheureux de devoir passer par l'expérience personnelle pour mesurer combien cette technologie est intrusive et porte atteinte à la liberté des individus. En étant déployée dans l'espace public et nous nous sentons épiés et nous allons consciemment ou inconsciemment tenter de nous conformer à une norme sociale pour éviter de paraître suspects. Sans compter que la technologie de reconnaissance faciale discrimine d'autant plus fortement les personnes racisées.

Plus qu'un moratoire, c'est l'arrêt définitif et permanent de la reconnaissance faciale qu'il faut demander.

#ReconnaissanceFaciale

Source : L'Usine digitale

Épidémies : les données personnelles des Coréens conservées indéfiniment

Le gouvernement coréen vient de reconnaître qu'il conservait en permanence les données personnelles des patients atteints par un virus lors de précédentes épidémies qui ont ravagé le pays notamment celle du MERS en 2015.

South Korea has acknowledged it is permanently keeping data on patients from a previous virus epidemic

Pourtant, la loi coréenne en matière de protection de la vie privée oblige le gouvernement à devoir supprimer les informations collectées sur sa population. Ces données incluent les noms, l'âge, le sexe, profession et d'autres coordonnées.

A l'heure de l'épidémie de coronavirus et du déploiement de solutions de traçages numériques comme les applications mobiles, il y a de quoi s'interroger sur la conservation et l'utilisation de ces données. Une partie de la population a accepté de sacrifier une part de sa liberté au profit de sa sécurité. Mais en cas de résurgence du virus (ou d'un autre), la population se sera conformée à des outils de contrôle sans que cela ne garantisse sa sécurité.

#Covid #ContactTracing

Source : NPR

Méconnaissance faciale : une technologie de surveillance viciée

La reconnaissance faciale a du plomb dans l'aile. Depuis le sursaut citoyen de dénonciation des violences policières incarnées par le mouvement Black Lives Matter, plusieurs villes américaines comme Boston ou Los Angeles ont annoncé l'arrêt de l'utilisation de cette technologie par la police. Cet outil de contrôle pose de façon évidente des problèmes en matière de vie privée. Comment faire pour s'opposer à la captation de son visage ? Mais c'est aussi une technologie qui n'est pas neutre et reproduit des biais racistes. Dans la ville de Détroit, un noir américain a fait l'objet d'une arrestation parce que l'algorithme de reconnaissance faciale l'a confondu avec une autre personne recherchée par les autorités.

Robert Williams a passé trente heures en détention parce qu’un logiciel avait jugé identique la photo de son permis de conduire et l’image d’un voleur de montres capturée par des caméras de surveillance, selon cette plainte, rapportée par l'AFP.

Cependant, ces bévues ne suffisent pas à mettre un coup d'arrêt général au développement de cette technologie. On la retrouve partout, en particulier dans les transports en commun. L'argument de la sécurité des voyageurs est souvent mise en avant par les pouvoirs publics ou les régies de transports. A São Paulo, on hésite pas de prendre les voyageurs pour des pigeons en leur vendant un outil de surveillance respectueux de la vie privée. En effet, la direction de la compagnie de transports en commun explique :

Le cadre de la future réglementation générale sur la protection des données a été le modèle utilisé pour ce projet, qui n'utilisera pas de base de données contenant des informations personnelles ni n'enregistrera d'informations personnelles, la priorité étant la sécurité des passagers de METRO.

Tout n'est pas perdu, on peut tromper la reconnaissance faciale. Dans son livre Hacker Citizen, Geoffrey Dorne fournit une astuce en mode DIY pour “aveugler” les caméras de surveillance.
D'autres astuces sont également présentées sur le site Make

#ReconnaissanceFaciale #BlackLivesMatter

Source : ZDnet