Plusieurs pays développent des services de répression transnationale online. Cette répression va bien au-delà du simple cyberespionnage et utilise diverses techniques relevant du piratage, de la désinformation et du harcelement. La Russie, Israël, la Chine, la Turquie, l’Iran, le Rwanda, l’Arabie Saoudite opèrent de la sorte pour réduire au silence, dissuader ou décrédibiliser leurs opposants. Même si l’existence de ces services ne fait pas de doute (certains ont même une existance reconnue), leur action reste toujours anonyme. Il est difficile de distinguer le troll professionnel du cybernaute ordinaire fan de Poutine ou d’Erdogan, puisque le premier prend soin de se faire passer pour le second. Le harcèlement en ligne peut prendre diverses formes: menaces, désinformation, polémiques oiseuses, attaques contre la crédibilité, etc.

Une autre technique consiste a effectuer massivement des « signalements » des messages sur les médias sociaux, ce qui entraîne des suppressions ou des suspensions de compte. Exploitant le mode de fonctionnement des outils de modération de contenu automatisés, tels que l’utilisation d’algorithmes, cette technique peut conduire à la suppression ou au blocage des comptes militants. Ne sont pas uniquement signalés les messages postés par la cible mais aussi des messages ou commentaires postés leur communauté ; au besoin, des messages provocateurs sont postés (typiquement un commentaire antisémite pour faire fermer un site pro-palestinien).

D’autres techniques nourrissent une véritable guerre émotionnelle et psychologique, génératrice de paranoïa et d’anxiété, comme celle consistant à poster les informations personnelles de la cible dans des annonces en ligne sollicitant des services sexuels. Les attaques contre les opposantes ont souvent une composante sexiste (diffusion de photos et de vidéos intimes, authentiques ou fabriquées, insultes sexistes, menaces de viol etc.). Enfin, les piratages et attaques par déni de service distribué (DDoS), programmés pour empêcher ou entraver l’accès aux sites web, font également partie des techniques utilisées contre les militants et les dissidents à l’étranger.

DuckDuckGo fait partie de ces entreprises qui ont construit leur réputation sur la base d’une politique basée sur la protection des données personnelles et des libertés numériques. La protection contre les trackers est un argument phare de DuckDuckGo, qui l’affiche en bonne place sur sa page d’accueil… Mais il a été découvert que l’application mobile du navigateur DuckDuckGo permet à certains sites de Microsoft de contourner entièrement le blocage du pistage de l’utilisateur. Le navigateur bloque effectivement les trackers d’autres géants comme Google, mais fait une exception pour Bing et LinkedIn, deux domaines qui appartiennent directement à Microsoft. Gabriel Weinber, le PDG et fondateur de DuckDuckGo, a du reconnaitre que  “Pour le blocage des trackers qui ne relèvent pas de la recherche, nous bloquons la plupart des trackers tiers (…) Malheureusement, notre accord avec Microsoft nous empêche d’aller plus loin sur les propriétés de Microsoft”. DuckDuckGo reste de loin préférable à Google, mais ça la fout mal quand meme.

Selon une enquête du Conseil irlandais pour les libertés civiles (ICCL), basée sur des chiffres publics, mais aussi certaines sources confidentielles portant sur l’ampleur du RTB (real-time bidding), Google et les autres grands acteurs tech nous géolocalisent presque en permanence. Particulièrement en cause, le RTB qui est un type de publicité reposant sur la mise aux enchères d’un espace de diffusion.

Concrètement, lorsqu’un utilisateur consulte une page web avec un encart publicitaire, son profil est automatiquement analysé par différents annonceurs potentiels, qui ont alors accès à plusieurs informations le concernant, et notamment sa géolocalisation. En croisant un certain nombre de données, les entreprises se livrent alors à une vente aux enchères, qui déterminera par la suite quelle publicité afficher en fonction du profil utilisateur, et du prix mis sur la table. Cette opération ne prend que quelques centaines de millisecondes.

Google partagerait ainsi 71 milliards de géolocalisations RTB en Europe chaque année. Un Européen est donc géolocalisé en moyenne 376 fois par jour. Et ce chiffre est de moitié inférieur à celui enregistré aux États-Unis, où aucun règlement ne garantit la sécurité des données en ligne. Selon l’ICCL, ces résultats sont d’autant plus inquiétants qu’ils pourraient être loin de la réalité. Les chiffres du rapport indiquent en effet qu’il s’agit là d’une “estimation basse”, qui n’inclut pas les diffusions RTB de Facebook ou Amazon.

Lire l’étude de l’ICCL

Le télétravail connaît une croissance exponentielle depuis le début de la pandémie et s’accompagne d’un usage de plus en plus fréquent, par les employeurs, d’une cybersurveillance des salariés à distance. La vente de logiciels de contrôle à distance a ainsi augmenté de plus de 500% depuis le début de la pandémie. Un de ces logiciels, “Hubstaff”, peut prendre une capture d’écran de l’ordinateur du salarié toutes les cinq minutes, ou suivre les données GPS des téléphones des employés ciblés. Un autre, CleverControl, qui promet sur sa page d’accueil “d’augmenter la productivité et la détection des fainéants”, peut enregistrer les frappes et les clics de souris du télétravailleur, les sites visités, la durée de ces visites, les conversations des employés par l’intermédiaire du micro de l’ordinateur professionnel et même prendre des photos via la webcam. Ces logiciels sont souvent présentés comme faciles à (dés-)installer à distance et à l’insu du principal concerné.

La pratique est surtout répandue aux États-Unis, où elle est beaucoup moins encadrée qu’en Europe. L’usage de ces logiciels n’est pas légal au regard de la législation belge actuelle. En France, la Commission nationale de l’informatique et des libertés (Cnil) prévoit quelques garde-fous comme l’obligation d’informer les représentants du personnel en cas d’application de ces mesures de surveillance. En revanche, la messagerie Slack, très répandue au sein des entreprises belges et françaises, permet déjà de mesurer les échanges entre collègues et leur activité sur la plateforme et de conserver des statistiques précises sur son utilisation. Slack, en outre, ne supprime aucun message mais, pire, autorise les administrateurs “Plus” à consulter les données sur tous les canaux, dont les messages directs entre collègues, et à les exporter.

Politiciens, avocats et militants, au moins 65 indépendantistes catalans ont été espionnés avec le logiciel Pegasus installé à leur insu sur leurs téléphones portables. Presque tous les piratages de téléphones se sont produits entre 2017 et 2020. Parmi les personnes visées figurent l’actuel président régional catalan Pere Aragoné (qui était au moment des faits numéro deux de la région), les ex-présidents régionaux Quim Torra et Artur Mas, ainsi que des eurodéputés, des députés du parlement régional catalan et des membres d’organisations civiles indépendantistes. Carles Puigdemont, qui avait fui en Belgique pour échapper à la justice espagnole après la tentative de sécession de la Catalogne en octobre 2017, n’a pas été directement espionné mais nombre de ses proches, dont son épouse. En juillet 2020, le président du parlement régional catalan, Roger Torrent, avait déjà affirmé avoir été espionné par l’État espagnol via Pegasus, une accusation niée par le gouvernement central.

À l’été 2021, une enquête avait révélé que le logiciel Pegasus avait permis d’espionner les téléphones de journalistes, d’hommes politiques, de militants ou de chefs d’entreprises de différents pays, dont le président français, Emmanuel Macron. Pegasus permet, une fois installé dans un téléphone mobile, d’espionner l’utilisateur de l’appareil, accédant à ses messageries, ses données, ou activant l’appareil à distance à des fins de captation de son ou d’image.

D’ici quelques années, les législateurs européens pourraient aussi décider de créer une gigantesque base de données destinée à la reconnaissance faciale. Centralisant des millions de photos d’Européens et Européennes, le projet pourrait pousser à un niveau encore jamais atteint cette technologie.
Pensé dans le cadre du projet de loi Prüm II, l’échange automatisé de données dans le cadre de la coopération policière vise notamment à la création d’un système de reconnaissance faciale automatisé qui faciliterait le travail des forces de l’ordre européennes.

Une première version du texte Prüm avait obtenu dès 2005 la signature de sept pays européens, dont la France. Cette dernière a rapidement été adoptée, permettant la création d’un fichier centralisé de profils ADN dans le cadre de la modernisation judiciaire européenne. Concrètement, Prüm II devrait éteindre le champ d’action de son prédécesseur, en autorisant aussi l’intégration de profils de reconnaissance faciale. Il ne s’agirait en fait pas de surveiller la population civile, mais plutôt de créer un répertoire des personnes déjà inculpées (et de celles à venir) à l’échelle européenne. Avec la reconnaissance faciale dite rétrospective, il sera “seulement” possible de comparer des images trouvées sur des caméras de surveillance, des téléphones ou des papiers d’identité, à un fichier européen de personnes ayant déjà eu affaire à la justice.

Depuis plusieurs années, au moins une cinquantaines de villes, municipalité ou entreprises de transports publics autorisent des entreprises à déployer et tester des dispositifs de vidéosurveillance algorithmique sur la population. Ces dispositifs se caractérisent par l’ajout d’une couche d’algorithme aux caméras de vidéosurveillance dans le but de rendre automatique l’analyse des images captées par caméras, jusqu’à présent réalisée par des humains. De tels dispositifs rendent notamment possible une analyse quasi-immédiate de toutes les pancartes dans les manifestations afin de détecter celles au contenu illégal (une analyse qui prend en temps normal des centaines d’heures). Ils pourraient également permettre de suivre à la trace une personne sur toutes les caméras d’une ou plusieurs villes. D’une manière générale, ces dispositifs augmentent considérablement les capacités des forces de répression qui ont besoin de beaucoup de moyens humains pour analyser les données à leur disposition.

En janvier 2022, la Commission Nationale de l’Informatique et des Libertés (CNIL) a demandé aux industriels du secteur de lui faire des retours sur l’usage de ces technologies et ce « afin d’accompagner leur déploiement ». Dit autrement, la CNIL accepte le déploiement de ce type de technologie à grande échelle sur le territoire français. Plus d’infos ici et ici.

Un dispositif de surveillance audio a été retrouvé à la bibliothèque anarchiste Libertad à Paris. Le dispositif était caché à l’intérieur de l’imprimante-photocopieuse de la bibliothèque. Il était composé de deux micros, d’une antenne, d’un transformateur, d’une batterie, d’un boîtier contenant une carte électronique, d’une carte SD de 64 Go et d’une carte SIM du fournisseur de téléphonie mobile Orange. Il s’agissait d’un dispositif de surveillance de modèle RB800 commercialisé par l’entreprise italienne Innova.

Une caméra militaire raccordée à un routeur et des batteries lithium a été découverte sous un filet de camouflage à l’entrée du bourg de Sevreau, près de Niort. Elle était orientée vers le domicile du père de Julien Le Guet, le porte-parole du collectif « Bassines non merci ! ». Ce collectif s’oppose, depuis plusieurs années, au nom de la protection de l’environnement, à la construction de grandes réserves d’eau pour les agriculteurs des Deux-Sèvres. C’est le chien d’un ami qui a flairé une caméra, sortant à peine du sol, recouverte de ronces et d’herbe, reliée à un routeur Pepwave et à deux mallettes renfermant des batteries lithium de haute technologie Accuwatt, dissimulées dans un fossé, sous une bâche et un filet de camouflage. Accuwatt est reconnue dans l’étude et la conception de batteries communicantes (tous réseaux RS 485, LoRa, SigFox, 4G, 5G, Iridium) toutes technologies avec une compétence particulière pour les batteries lithium militarisées à destination des forces de police, gendarmerie et tous groupes opérationnels. Il s’agit d’un fournisseur historique des ministères de l’Intérieur, de la Défense, de l’OTAN ainsi que des plus grands donneurs d’ordres civils de l’industrie française.

d’autres photos ici

Une équipe internationale de chercheurs français, israéliens et australiens vient de développer une technique capable d’identifier des utilisateurs sur la base d’une “empreinte” laissée par le GPU (puce disposée sur la carte graphique) de leur système. Sur une chaîne de production, il est impossible d’obtenir deux éléments parfaitement identiques. Au niveau des cartes graphiques, cela se traduit par de petites variations au niveau des performances. Souvent négligeables en pratique, elles peuvent toutefois être quantifiées par des outils d’analyse très précis.

C’est ce qui a été exploité par ces chercheurs qui ont développé un script qui fait tourner des petits bouts de code sur des sous-unités précises du GPU. Or, à cause des petites différences liées au processus de production, chaque sous-unité affiche des performances très légèrement différentes. Ces dernières sont alors compilées pour en extraire une sorte d’empreinte digitale unique. Celle-ci permet ensuite d’identifier individuellement une unité… et donc théoriquement de suivre l’utilisateur à la trace. Et cela concerne aussi les appareils équipés de cartes dédiées que de GPU intégrés, comme les smartphones, Chromebooks, et autres appareils plus modestes. Et comme il s’agit d’une empreinte basée presque entièrement sur des paramètres physiques, elle est particulièrement stable, et donc exploitable sur une longue durée.

pour en savoir plus

Les différences de performances entre deux GPU, synthétisées sous forme de graphique