Le 18 novembre, du matériel de surveillance a été découvert dans une voiture. Il s’agit d’un appareil plus grand, avec une balise GPS de la société U-blox, ainsi que d’un appareil d’enregistrement audio, plus petit. Les appareils étaient cachés derrière un revêtement du plafonnier avant. Ils étaient reliés entre eux par un câble électrique et étaient alimentés par l’alimentation du plafonnier arrière. Pour ça, il a été utilisé un adaptateur en Y, apparemment adapté précisément à ce modèle de voiture. L’unité audio était reliée au microphone, déjà existant, du kit mains libres, qui se trouve derrière un cache au-dessus du rétroviseur. Les deux unités étaient enveloppées de mousse et de ruban adhésif toilé probablement pour ne pas faire de bruit lors des mouvements de la voiture.

L’appareil plus grand dispose, entre autres, d’un récepteur GPS « U-blox MAX-M8 », d’un slot pour cartes, avec une carte microSD de 16 Go, d’une puce de téléphonie mobile « U-blox LISA-U230 » avec une carte SIM, ainsi que d’un module d’antenne tripolaire amovible. L’unité plus petite contient un convertisseur de tension, une batterie lithium-ion de 3,7 V et 550 mAh et un petit circuit imprimé. Les différentes pièces sont reliées par une gaine thermorétractable. Sur le petit circuit imprimé on trouve entre autres une carte microSD de 32 Go et une antenne NN01-104 conçue pour la bande de fréquence des 2,4 GHz et qui peut donc transmettre et recevoir des signaux Bluetooth ou WLAN. Il n’y a pas de téléphonie mobile, mais il est possible que des enregistrements audio aient été transmis par WLAN ou Bluetooth à l’appareil plus grand et envoyés par celui-ci, ou qu’ils aient été consultés, à une distance rapprochée, via WLAN ou Bluetooth.

Plus de photos et de détails ici

La police de Santa Clara avait besoin d’informations sur un utilisateur de Signal dans le cadre d’une enquête. Les agents avaient donc demandé à la messagerie le nom, l’adresse postale, le numéro de téléphone, l’adresse IP et même les heures de connexion du suspect. Autant de données que Signal n’a pu délivrer, ne les ayant pas elle-même. La messagerie, chiffrée de bout en bout, ne stocke tout simplement pas les informations personnelles de ses utilisateurs. « Nous voici au second semestre 2021 », a ainsi expliqué Signal sur son blog, « Signal ne sait toujours rien de vous, mais le gouvernement continue de demander. » « Le vaste ensemble d’informations personnelles qui sont généralement faciles à récupérer dans d’autres applications n’existe tout simplement pas sur les serveurs de Signal », rappelle Signal. La messagerie a précisé qu’elle n’avait pas accès aux messages, à la liste de discussion, aux groupes, aux contacts, aux noms de profil ou avatar ou même aux GIF recherchés par ses utilisateurs. Les seules informations qu’elle peut fournir sont la date de création du compte et la dernière connexion de l’utilisateur.

Menée dans le cadre d’Europol en coordination avec Eurojust, une opération a visé le Dark Web. Baptisée « DarkHunTOR », elle a consisté en une série d’actions menées en Australie, Bulgarie, France, Allemagne, Italie, Pays-Bas, Suisse, Royaume-Uni et États-Unis. Aux États-Unis, quelque 65 personnes ont été arrêtées, 47 en Allemagne, 24 au Royaume-Uni, quatre en Italie et quatre aux Pays-Bas. Les forces de l’ordre ont entre autres saisi 26,7 millions d’euros en numéraire et monnaies électroniques, 25 000 comprimés d’ecstasy, 45 armes à feu, etc. En Italie, la police a également fermé des places de marché illégales nommées « DeepSea » et « Berlusconi » qui présentaient à elles deux plus de 100 000 annonces de produits illégaux.

L’opération faisait suite au démantèlement en janvier sous la conduite de la police allemande de la plateforme « DarkMarket », présentée alors par les enquêteurs comme le « plus vaste » point de vente du Dark Web, était lié à un coup de filet remontant à septembre 2019 en Allemagne contre un important hébergeur de services illégaux du Dark Web. Ce datacenter illégal était installé dans un ancien bunker de l’Otan dans le sud-ouest de l’Allemagne.

This, Jane, is the internet

Depuis sa fondation en 2017, l’entreprise Clearview AI moissonne des photos sur le web, et notamment les réseaux sociaux, afin d’alimenter un gigantesque système de reconnaissance faciale. Dans une interview, son PDG a affirmé que la firme aurait passé plus de 10 milliards d’images au crible, et développerait en ce moment de nouveaux outils basés sur l’IA pour les exploiter. En l’occurrence, il s’agirait d’outils de “défloutage” et de “suppression de masque”. Deux concepts qui présentent un point commun : il s’agit d’extrapolations basées sur des données incomplètes. Avec ces nouveaux outils, Clearview AI semble donc plus intrusif que jamais, mais aussi moins fiable, paradoxalement. Clearview AI est utilisé ou a été utilisé par des agences fédérales américaines et des forces de police (dont la police belge, voir notre article) mais aussi des compagnies privées comme Walmart, la NBA ou des opérateurs télécoms majeurs.

Un nouveau projet de loi du gouvernement fédéral prévoit d’obliger les fournisseurs de services de télécommunication de permettre aux forces de l’ordre (police, justice, sécurité de l’Etat…) de déchiffrer ce qui est échangé dans les applications de messageries cryptées de type Whatsapp ou Signal par certains utilisateurs spécifiques. Autrement dit, les fournisseurs de services seront obligés de « désactiver » le cryptage pour des utilisateurs visés par des enquêtes policières et judiciaires.

Le problème généralement soulevé, c’est qu’il n’existe aucun moyen de simplement « désactiver » le cryptage pour certains utilisateurs. Par conséquent, c’est l’ensemble des communications cryptées qui deviendra accessible, et non plus exclusivement celles de personnes qui intéressent la police et la justice. Certains dénoncent que l’affaiblissement du cryptage rendra les Belges beaucoup plus vulnérables aux attaques malveillantes. La protection de la vie privée est aussi évoquée. Cinquante ONG, universités et entreprises impliquées dans la protection de la vie privée et le cryptage ont publié une lettre ouverte contre le projet de loi. L’autorité belge de protection des données a déjà fait part de ses vives préoccupations dans un avis antérieur sur le projet de loi.

Mais surtout et plus fondamentalement, comme de nombreuses propositions de lois du même genre, celle-ci ne semble pas comprendre les techniques et technologies impliquées ni proposer de solution réaliste à son application.

Il y a un an et demi, une liste de clients fuitée établissait que divers services de police et gouvernementaux recouraient à Clearview AI, y compris en Belgique. La nouvelle fut en son temps démentie par la Police Fédérale (voir notre article). Un porte-parole avait à l’époque déclaré qu’à sa connaissance, ce logiciel n’avait jamais été utilisé, qu’il n’y avait aucune preuve qu’il en soit ainsi et qu’on n’envisageait pas de recourir à Clearview AI. Cela apparait comme un mensonge.

En réaction à quelques questions parlementaires, la ministre de l’intérieur a confirmé  que le logiciel de reconnaissance faciale illégal a quand même été utilisé. « En octobre 2019, deux enquêteurs, dans le cadre d’une taskforce Europol d’identification de victimes, ont eu accès à une licence d’essai valable une durée limitée », a reconnu la ministre à la Chambre. Elle insiste cependant sur le fait qu’il ne s’est pas agi d’une utilisation structurelle du logiciel (il s’agirait de « test ») et que la loi belge ne le permet du reste pas. Clearview a collecté et collecte des milliards d’images d’Instagram, Facebook, Twitter et YouTube entre autres et peut ainsi par exemple aisément relier une caméra de surveillance à une identité ou à un profil sur des médias sociaux. Or ces images sont collectées sans autorisation. Aux Etats-Unis notamment, l’entreprise a déjà été mise en accusation, et au Canada, le contrôleur national de la confidentialité déclare que ClearView enfreint la loi (voir notre article).

Une paire de Xaviers, des robots à roues alimentés par l’IA avec des caméras à 360 degrés, se déploieront dans le Toa Payoh Central, très fréquenté par les piétons, pour surveiller la zone à la recherche de “comportements sociaux indésirables” comme fumer, vendre des marchandises à la sauvette, ou sortir en groupes de plus de cinq personnes (interdiction liée aux mesures contre la pandémie). Le robot autonome est équipé de capteurs pour éviter les obstacles de toutes sortes, de caméras pour fournir une puissance vidéo à 360 degrés et d’un tableau de bord pour montrer des détails tels que la batterie du robot et ses signes vitaux. Son itinéraire sera déterminé à l’avance par les agents, qui pourront répondre aux incidents en temps réel grâce à un interphone bidirectionnel intégré au tableau de bord. Le ministre de l’Intérieur de Singapour, K Shanmugam, avait par ailleurs déclaré en août que la cité-État vise à disposer de plus de 200 000 caméras de police d’ici 2030, soit plus du double du nombre actuel.

Il y a quelques jours, nous avons relayé le fait que Protonmail avait fournit des informations à la police française via une demande Europol vers la Suisse, dans le cadre d’une enquête contre les occupant·e·s d’un bâtiment de la place Sainte Marthe, militant·e·s pour le climat. Les adresses IP n’étant effectivement pas enregistrées par défaut par Protonmail, la société a activé l’enregistrement d’IP pour l’adresse e-mail visée par le mandat.

Protonmail a depuis réagi à l’information en déclarant avoir agit dans le cadre de ses obligations vis à vis de la loi suisse et de ses propres conditions d’utilisation, qui précisent que les IP ne sont pas enregistrées « par défaut » mais qu’elles peuvent être enregistrées pour des adresses spécifiquement visées par une requête légale. Protonmail suggère à ses utilisateurs et utilisatrices qui auraient des besoins « spécifiques » en matière de vie privée d’utiliser le site .onion, accessible uniquement via TOR. Il est toutefois toujours impossible d’ouvrir un nouveau compte sans devoir fournir un numéro de téléphone ou de carte de crédit.

Les protocoles e-mail sont réputés pour être des technologies fondamentalement difficiles à sécuriser. Auparavant, la seule façon de garantir le chiffrement de ses e-mails était d’utiliser le logiciel OpenPGP, mais là encore avec une immense faille puisque la plupart des méta-données (émetteur, destinataire, sujet, date et heure) sont très difficiles ou impossibles à chiffrer, dû au fonctionnement même des e-mails. En plus de ça, OpenPGP est difficile à utiliser, et encore plus à utiliser collectivement avec des personnes aux compétences informatiques variables. L’arrivée de fournisseurs d’e-mails chiffrés associatifs (comme Riseup) ou commerciaux (comme Protonmail ou Tutanota) a massivement augmenté la facilité d’utilisation du chiffrement des e-mails, comparés aux fournisseurs classiques comme Gmail et Outlook. Le fait que le contenu des e-mails n’ait pas pu être transmis à la police française est donc un point important à noter. Protonmail n’est pas anonyme (pas plus que Tutanota qui peut également être légalement forcé d’enregistrer l’adresse IP d’un utilisateur spécifique, par la justice allemande). L’utilisation d’un bon VPN ou de TOR est la seule façon d’être anonyme vis-à-vis de son fournisseur d’accès à internet ou des sites web visités.

Ces dernières années ont enfin vu se développer de nouveaux protocoles de messagerie chiffrée comme Signal ou Session qui permettent le chiffrement de la quasi-totalité des méta-données par défaut. Contrairement à OpenPGP qui utilise toujours la même clé pour chiffrer, ces nouveaux protocoles utilisent de nouvelles clés pour chaque message.

Malgré le fait que Protonmail est transmis cette information, il est toujours préférable d’utiliser un tel service plutôt qu’un fournisseur d’e-mail classique, en gardant à l’esprit que contrairement à Signal, les méta-données des e-mails ne sont généralement pas chiffrées. En toutes circonstances, sur tous les appareils que vous utilisez (smartphones, tablettes, ordinateurs) et pour toute activité sur le web, nous recommandons fortement l’utilisation d’un VPN réputé en matière de vie privée comme Mullvad, ou de TOR.

Une équipe de chercheurs de l’université Ben Gourion s’est spécialisée dans les attaques dites airgap, ou attaques déconnectées, qui visent des systèmes isolés du réseau global, et donc théoriquement inviolables pour un pirate. Ces chercheurs étaient parvenus, l’an dernier, à espionner une conversation en filmant une ampoule. Depuis, ils sont parvenus à capter le son d’un haut-parleur à distance en filmant sa LED d’alimentation. Dans de nombreux appareils, le voyant d’alimentation est connecté directement à la ligne électrique. L’intensité du voyant est donc corrélée à la consommation d’énergie, qui dépend directement du son émis. En braquant un télescope (muni d’un capteur électro-optique et un convertisseur analogique/numérique) sur la LED choisie, les chercheurs ont pu mesurer les variations de son intensité. Un algorithme a ensuite interprétés ces variations et reconstitué le signal sonore…

Cette technique nécessite de savoir quelle intensité de la LED correspond à quel signal sonore. Pour connaître cette donnée, différente pour chaque appareil, il faut donc construire une courbe de réponse, ce qui implique de pouvoir étudier l’appareil en amont. Mais outre cette restriction, le système fonctionne remarquablement bien : les chercheurs sont parvenus à extraire des phrases intelligibles à une distance de 35 mètres. La technique fonctionne avec des enceintes standard, mais pas seulement. Elle est aussi applicable à des appareils domotiques ou des équipements d’une infrastructure réseau.

Amazon prévoit de déployer un logiciel surveillant le rythme de frappe et les mouvements de souris de ses employés du service client. Ce logiciel, appelé BehavioSec, surveille les mouvements naturels effectués par les employés sur leur clavier ou souris afin de détecter tous les comportements inhabituels. Son développement a couté 360 000 dollars et a notamment été poussé par la généralisation du télétravail.

Un dépôt d’Amazon