Après des semaines de déni, le gouvernement grec a dû reconnaître que les services de Renseignements (l’EYP) ont espionné un eurodéputé, et probablement des journalistes en infectant leurs téléphones avec un logiciel d’espionnage, le Predator. Tout commence le 28 juin dernier, un eurodéputé socialiste soumet alors son téléphone portable au service spécialisé du Parlement européen pour détecter l’éventuelle présence de logiciels illégaux. Dès le premier contrôle, un lien suspect lié à l’outil de surveillance de Predator a été détecté. Predator est commercialisé par la société Cytrox, basée à Skopje, en Macédoine du Nord. Cette start-up a été rachetée en 2019 par un ancien officier israélien spécialisé dans le cyber espionnage, Tal Dilian. Cytrox dispose désormais de bureaux en Israël et en Hongrie. Tal Dilian a intégré Cytrox dans sa galaxie de sociétés qui proposent ses services aux gouvernements, Intellexa. Il vise à concurrencer l’autre groupe israélien, NSO.

Predator utilise les failles de sécurité des smartphones qui utilisent le système IOS (Apple) ou Android (Google). Il suffit que l’utilisateur clique sur un lien envoyé par la messagerie WhatsApp pour que le mouchard s’installe et commence à récolter des données. Cytrox utilise de faux comptes sur les réseaux sociaux et de faux sites pour inciter les cibles de ses clients à cliquer sur un lien contaminé. Selon Meta, plus de 50.000 de ses utilisateurs ont été ciblés par le logiciel espion. Ils ont été avertis individuellement. Le groupe a supprimé quelque 300 comptes Instagram et Facebook créés par Cytrox. Ils étaient utilisés pour obtenir des informations sur les cibles, les approcher et les infecter. Le groupe a également supprimé 1500 comptes qui avaient envoyé des liens contaminés vers des cibles.

Il faut souligner que les pays les plus avancés technologiquement disposent des ressources au sein de l’appareil d’État pour développer leur propre logiciel espion sur mesure, sans passer par une société commerciale. Pegasus ou Predator peuvent être vus comme des solutions proposées aux États qui ne disposent pas des fonds ou de l’expertise nécessaire à ce développement interne d’outils de surveillance.

Si une personne de l’État d’Australie occidentale contracte le covid-19, elle doit rester en quarantaine à domicile pendant sept jours, tout comme ses contacts proches. La police vérifie leur localisation en envoyant périodiquement des SMS et exige l’envoi d’un selfie dans les 15 minutes. La technologie de reconnaissance faciale et le suivi GPS sont utilisés pour déterminer si la personne qui a pris le selfie est effectivement chez elle. Si cela n’est pas fait, la police frappe rapidement à votre porte avec une amende potentiellement lourde. L’application G2G, créée par la start-up technologique locale Genvis, a été utilisée par plus de 150 000 personnes dans l’État depuis son lancement en septembre 2020. La même technologie, fournie par des entreprises différentes, a été testée dans les États de Nouvelle-Galles du Sud, de Victoria, d’Australie-Méridionale et de Tasmanie.

D’autre part, le ministère australien de l’Intérieur a commencé à constituer une base de données nationale de reconnaissance faciale en 2016 – et semble prêt à la mettre en œuvre. En janvier, un appel d’offres a été lancé pour trouver une entreprise chargée de « construire et déployer » les données. L’Australie se prépare à utiliser la reconnaissance faciale pour permettre l’accès aux services gouvernementaux. Et les agences de sécurité publique pressent pour avoir accès à ces outils. La plupart des gouvernements des États ont fourni les permis de conduire de leurs résidents à la base de données centrale, qui stocke également les photos des visas et des passeports. En 2019, un projet de loi a été proposé pour réglementer la technologie de reconnaissance faciale – mis au placard après qu’un examen par une commission parlementaire ait constaté qu’elle n’offrait pas de protections adéquates de la vie privée.

Cops using G2G info.

A la mi-juillet, la police métropolitaine de Londres (MET) a déployé un système de reconnaissance faciale en direct (LFR) à Oxford Circus. Le système LFR monté sur un véhicule a été installé à l’extérieur de la station de métro et a scanné les données biométriques d’environ 15 600 personnes. Sur ces 15 600 personnes, quatre étaient des « vraies alertes », et trois personnes ont été arrêtées par la suite. La police a déclaré dans un communiqué : « Cette technologie contribue à la sécurité des Londoniens et sera utilisée pour retrouver les personnes recherchées pour des infractions violentes et graves, ainsi que celles faisant l’objet d’un mandat d’arrêt non exécuté émis par le tribunal ». L »utilisation de la LFR est depuis longtemps controversée, et son utilisation par les forces de police britanniques a déjà été jugée illégale.

La société conceptrice de sonnettes intelligentes Ring, propriété d’Amazon, s’est associée à plus de 2 000 agences de police et à près de 500 services de pompiers, soit un chiffre multiplié par cinq par rapport à 2009. Toutes ces entités sont à même de demander des données de surveillance à Amazon, qui se garde le droit d’y répondre favorablement selon la situation (voir notre article). Mais dans ce cadre, Ring a fourni des images de surveillance aux forces de l’ordre, sans mandat ni consentement des propriétaires desdites sonnettes, à onze reprises au cours de l’année 2022. Par ailleurs, Ring a refusé de s’engager à ce que les sonnettes intelligentes n’exploitent jamais la technologie de reconnaissance vocale intégrée aux produits et a refusé l’arrêt automatique de l’enregistrement audio par défaut lorsqu’une séquence vidéo est enregistrée.

Le polygraphe (« détecteur de mensonge ») est une technique particulière d’interrogatoire policier faisant l’objet d’un enregistrement audiovisuel et permettant de vérifier la véracité de déclarations, au travers d’une procédure psychophysiologique, grâce à l’enregistrement des variations des paramètres physiologiques (respiration, battements du coeur, pression sanguine, transpiration) sous la forme de graphiques. Le résultat obtenu constitue une aide à l’enquête mais, en raison de la marge d’erreur (10% selon les policiers) il doit être étayé par d’autres éléments. Il est donc considéré en Belgique comme « preuve additionnelle » alors qu’en France, il n’a aucune valeur juridique. L’audition réalisée à l’aide du polygraphe se déroule en trois phases et prend 3 à 4 heures où des questions « fermées » (appelant à une réponse par « oui » ou par « non ») sont posées.

Chaque année, près de 500 tests sont réalisés par la police belge avec le polygraphe. Cet appareil utilisé pour la première fois en Belgique dans l’enquête sur les tueries du Brabant. Une section particulière (« POLY ») dédiée à cette technique existe au sein du service « Sciences du comportement »  (GWSC) de la Direction centrale de la police technique et scientifique (DJT) de la police fédérale. Le modèle actuellement utilisé est le Lafayette Instrument (modèle LX-6), c’est aussi Lafayette Instrument qui conçoit et produit le logiciel.

Le LX-6 de Lafayette Industrie

Profitant de la fusillade dans l’école primaire d’Uvalde, au Texas, et des critiques sur la lenteur de l’intervention policière, la société Axon, qui mis au point le Taser, avait annoncé la semaine passée qu’elle commençait le développement du drone-taser. Le projet d’un drone de police équipé d’un Taser était déjà dans les cartons de l’entreprise, mais le PDG et fondateur d’Axon avait déclaré qu’il irait de l’avant, que l’option du drone-taser devait être envisagée pour la sécurité des écoles.

Cette annonce a fait scandale et lundi 5 juin, neuf membres du comité d’éthique, un groupe d’experts reconnus dans les domaines de la technologie, de la police et de la vie privée, ont annoncé leur démission, affirmant qu’ils avaient « perdu confiance dans la capacité d’Axon à être un partenaire responsable ». Mardi 6 juin, hier donc, Axon faisait un pas en arrière en annonçant qu’elle mettait un terme à ses projets de développement du drone-taser.

Le drone-laser d’Axon

Plusieurs pays développent des services de répression transnationale online. Cette répression va bien au-delà du simple cyberespionnage et utilise diverses techniques relevant du piratage, de la désinformation et du harcelement. La Russie, Israël, la Chine, la Turquie, l’Iran, le Rwanda, l’Arabie Saoudite opèrent de la sorte pour réduire au silence, dissuader ou décrédibiliser leurs opposants. Même si l’existence de ces services ne fait pas de doute (certains ont même une existance reconnue), leur action reste toujours anonyme. Il est difficile de distinguer le troll professionnel du cybernaute ordinaire fan de Poutine ou d’Erdogan, puisque le premier prend soin de se faire passer pour le second. Le harcèlement en ligne peut prendre diverses formes: menaces, désinformation, polémiques oiseuses, attaques contre la crédibilité, etc.

Une autre technique consiste a effectuer massivement des « signalements » des messages sur les médias sociaux, ce qui entraîne des suppressions ou des suspensions de compte. Exploitant le mode de fonctionnement des outils de modération de contenu automatisés, tels que l’utilisation d’algorithmes, cette technique peut conduire à la suppression ou au blocage des comptes militants. Ne sont pas uniquement signalés les messages postés par la cible mais aussi des messages ou commentaires postés leur communauté ; au besoin, des messages provocateurs sont postés (typiquement un commentaire antisémite pour faire fermer un site pro-palestinien).

D’autres techniques nourrissent une véritable guerre émotionnelle et psychologique, génératrice de paranoïa et d’anxiété, comme celle consistant à poster les informations personnelles de la cible dans des annonces en ligne sollicitant des services sexuels. Les attaques contre les opposantes ont souvent une composante sexiste (diffusion de photos et de vidéos intimes, authentiques ou fabriquées, insultes sexistes, menaces de viol etc.). Enfin, les piratages et attaques par déni de service distribué (DDoS), programmés pour empêcher ou entraver l’accès aux sites web, font également partie des techniques utilisées contre les militants et les dissidents à l’étranger.

DuckDuckGo fait partie de ces entreprises qui ont construit leur réputation sur la base d’une politique basée sur la protection des données personnelles et des libertés numériques. La protection contre les trackers est un argument phare de DuckDuckGo, qui l’affiche en bonne place sur sa page d’accueil… Mais il a été découvert que l’application mobile du navigateur DuckDuckGo permet à certains sites de Microsoft de contourner entièrement le blocage du pistage de l’utilisateur. Le navigateur bloque effectivement les trackers d’autres géants comme Google, mais fait une exception pour Bing et LinkedIn, deux domaines qui appartiennent directement à Microsoft. Gabriel Weinber, le PDG et fondateur de DuckDuckGo, a du reconnaitre que  “Pour le blocage des trackers qui ne relèvent pas de la recherche, nous bloquons la plupart des trackers tiers (…) Malheureusement, notre accord avec Microsoft nous empêche d’aller plus loin sur les propriétés de Microsoft”. DuckDuckGo reste de loin préférable à Google, mais ça la fout mal quand meme.

Selon une enquête du Conseil irlandais pour les libertés civiles (ICCL), basée sur des chiffres publics, mais aussi certaines sources confidentielles portant sur l’ampleur du RTB (real-time bidding), Google et les autres grands acteurs tech nous géolocalisent presque en permanence. Particulièrement en cause, le RTB qui est un type de publicité reposant sur la mise aux enchères d’un espace de diffusion.

Concrètement, lorsqu’un utilisateur consulte une page web avec un encart publicitaire, son profil est automatiquement analysé par différents annonceurs potentiels, qui ont alors accès à plusieurs informations le concernant, et notamment sa géolocalisation. En croisant un certain nombre de données, les entreprises se livrent alors à une vente aux enchères, qui déterminera par la suite quelle publicité afficher en fonction du profil utilisateur, et du prix mis sur la table. Cette opération ne prend que quelques centaines de millisecondes.

Google partagerait ainsi 71 milliards de géolocalisations RTB en Europe chaque année. Un Européen est donc géolocalisé en moyenne 376 fois par jour. Et ce chiffre est de moitié inférieur à celui enregistré aux États-Unis, où aucun règlement ne garantit la sécurité des données en ligne. Selon l’ICCL, ces résultats sont d’autant plus inquiétants qu’ils pourraient être loin de la réalité. Les chiffres du rapport indiquent en effet qu’il s’agit là d’une “estimation basse”, qui n’inclut pas les diffusions RTB de Facebook ou Amazon.

Lire l’étude de l’ICCL

Le télétravail connaît une croissance exponentielle depuis le début de la pandémie et s’accompagne d’un usage de plus en plus fréquent, par les employeurs, d’une cybersurveillance des salariés à distance. La vente de logiciels de contrôle à distance a ainsi augmenté de plus de 500% depuis le début de la pandémie. Un de ces logiciels, “Hubstaff”, peut prendre une capture d’écran de l’ordinateur du salarié toutes les cinq minutes, ou suivre les données GPS des téléphones des employés ciblés. Un autre, CleverControl, qui promet sur sa page d’accueil “d’augmenter la productivité et la détection des fainéants”, peut enregistrer les frappes et les clics de souris du télétravailleur, les sites visités, la durée de ces visites, les conversations des employés par l’intermédiaire du micro de l’ordinateur professionnel et même prendre des photos via la webcam. Ces logiciels sont souvent présentés comme faciles à (dés-)installer à distance et à l’insu du principal concerné.

La pratique est surtout répandue aux États-Unis, où elle est beaucoup moins encadrée qu’en Europe. L’usage de ces logiciels n’est pas légal au regard de la législation belge actuelle. En France, la Commission nationale de l’informatique et des libertés (Cnil) prévoit quelques garde-fous comme l’obligation d’informer les représentants du personnel en cas d’application de ces mesures de surveillance. En revanche, la messagerie Slack, très répandue au sein des entreprises belges et françaises, permet déjà de mesurer les échanges entre collègues et leur activité sur la plateforme et de conserver des statistiques précises sur son utilisation. Slack, en outre, ne supprime aucun message mais, pire, autorise les administrateurs “Plus” à consulter les données sur tous les canaux, dont les messages directs entre collègues, et à les exporter.