Dans une mise à jour de la version beta de l’application, publiée ce mardi soir et disponible pour les utilisateurs au Royaume-Uni, l’application Signal permet à présent d’envoyer une crypto-monnaie, le « Mobilecoin », développé depuis 2017, notamment par Moxie Marlinspike, le fondateur et développeur principal de Signal. Hier soir également, Signal mettait à jour les sources de Signal-Server, qui n’avaient pas été publiées depuis plusieurs mois. On devine maintenant que c’était la préparation de cette nouvelle fonctionnalité qui a justifié pour Signal de ne pas publier les sources du côté serveur. Notons que les sources des applications Android/iOS suffisent heureusement à garantir la sécurité des messages.

« Signal Payments » présente le Mobilecoin comme la première crypto-monnaie supportée par la plateforme (avant d’autres ?). La décision peut surprendre puisque des cryptomonnaies bien établies, et très sécurisées existent depuis plusieurs années, notamment le Monero. Mobilecoin est d’ailleurs largement inspiré du Monero (ainsi que du protocole de consensus Stellar) mais comporte des différences majeures avec celui-ci : le mobilecoin est « pré-miné », il y a donc 250 millions de pièces (tokens) existantes et il n’y en aura jamais plus. Ce pré-minage pose la question de savoir qui détient les pièces et comment elles ont été/seront distribuées. Signal défend l’utilisation du Mobilecoin car c’est une cryptomonnaie pensée pour l’utilisation sur des smartphones, qui nécéssite peu de puissance de calcul, aux transactions très rapides (quelques secondes). Mobilecoin est également critiquée pour sa dépence à la technologie « d’enclave sécurisée » SGX d’Intel, réputée vulnérable depuis plusieurs années, mais prévoit de cesser de l’utiliser dans le futur, et ne baserait pas ses fonctions sécuritaires de base sur cette technologie. Enfin, le Mobilecoin ne peut pour l’instant être acheté qu’auprès d’exchanges de crypto-monnaies  ce qui rend son acquisition compliquée par le commun des mortels.

Des envois de crypto-monnaies aussi simples qu’un message Signal ? Nous n’en sommes pas encore là, et les développeurs de Signal et de Mobilecoin devront répondre à de nombreuses question d’ici là, mais à l’heure où les campagnes de solidarité sont systématiquement censurées par les plateformes de paiement (Stripe, Paypal, Pot Commun,…) et de crowdfunding, la fonctionnalité montre tout de suite son intérêt. « Signal Payments » n’est disponible pour l’instant qu’au Royaume-Uni, avec un numéro +44, et sur le canal de mises à jour beta, la fonctionnalité peut-être désactivée entièrement.

De nombreux utilisateurs abandonnent actuellement WhatsApp et migrent vers Signal. Cette migration est causée par les nouvelles conditions d’utilisation de WhatsApp qui impose aux utilisateurs de partager certaines données avec Facebook. Parmi les données qui seront collectées par Facebook, on trouve notamment “l’heure, fréquence et durée de vos activités et interactions”, “vos adresses IP et d’autres données comme les codes géographiques des numéros de téléphone et votre localisation générale (ville et pays)” ou encore “votre photo de profil”. Les utilisateurs qui refuseraient ce partage risquent de voir leur compte supprimé le 8 février. Les changements de condition d’utilisation ne sont pas exactement les mêmes en Europe qu’ailleurs pour cause du Règlement Général de Protection des Données (RGPD), mais Whatsapp y récolte comme partout une quantité abusive de données sur ses utilisateurs.

Dès le 7 janvier, Signal enregistrait une explosion des inscriptions. Quelques jours plus tard, Signal s’imposait comme l’application la plus téléchargée sur Android et iOS un peu partout dans le monde. En 2020, la Mozilla Foundation avait désigné Signal “application de communication la plus sécurisée”. Signal, en effet, reste la meilleure application de messagerie sécurisée et nous conseillons depuis des années son utilisation (voir nos articles ici et ici). Plus d’infos sur Signal ici.

En février 2019, Nijeer Parks a été accusé d’avoir volé des bonbons à l’étalage et d’avoir tenté de heurter un policier avec une voiture à Woodbridge, dans le New Jersey. La police l’avait identifié à l’aide d’un logiciel de reconnaissance faciale. Parks a passé 10 jours en prison et a payé environ 5.000 $ pour se défendre. En novembre 2019, l’affaire a été classée pour manque de preuves. Parks, 33 ans, poursuit maintenant la police, le procureur et la ville de Woodbridge pour arrestation et emprisonnement abusifs et violation de ses droits civils: il était à 50 km du lieu de l’incident au moment de celui-ci. Il est la troisième personne connue pour avoir été arrêtée sur la base d’une erreur des dispositifs de reconnaissance faciale. Dans les trois cas, les personnes identifiées par erreur par la technologie étaient des hommes noirs.

Le 10 décembre, l’entreprise israélienne Cellebrite, qui vend des produits d’exfiltration de données de smartphone aux forces de l’ordre (voir notre article), a annoncé avoir trouvé une solution pour déchiffrer l’application Signal. « Déchiffrer les messages et les pièces jointes envoyés par Signal a été impossible… jusqu’à maintenant », pouvait-on lire dans une note de blog supprimée depuis. Derrière des explications techniques sur une récupération de clé secrète, Cellebrite annonçait en réalité qu’elle pouvait lire vos textes en ayant en possession de votre téléphone… déverrouillé. Ce que n’importe qui aurait pu faire simplement en ouvrant l’application pour consulter les messages. Bref, un grand « effet d’annonce », largement relayé, pour ce qui n’est en réalité qu’une petite amélioration rendant l’exportation des données plus confortable à partir du moment où l’on a déjà un accès total au téléphone…

Ce vendredi 4 décembre 2020 sont parus trois décrets du Ministère de l’Intérieur concernant le fichage de la population. Trois bases de données différentes sont concernées : le « fichier de prévention des atteintes à la sécurité publique (PASP) », le fichier « Enquêtes administratives liées à la sécurité publique (EASP) « , et celui relatif à la « Gestion de l’information et prévention des atteintes à la sécurité publique (GIPASP) ». Les services pourront recueillir des informations sur l’opinion des personnes surveillées, leurs pseudonymes sur les réseaux sociaux, des données de santé, sans enjeu de sécurité publique. Ces données sont accessibles à des agents des services, tout policier ou gendarme, aux procureurs, aux agents pénitentiaires. Ces nouveaux dispositifs de surveillance ont été élaborés afin de mieux surveiller toute personne « pouvant porter atteinte à l’ordre public ».

Suite au rapport annuel du comité R (Organe parlementaire contrôlant les services de renseignements en Belgique), on peut apprendre que le recours aux méthodes de recherche exceptionnelle est en augmentation pour la période courant de 2018 à 2019. Sous ce terme est regroupé les méthodes les plus sensibles de collecte de renseignement : surveillance de lieux privés, écoute de ligne téléphonique, collecte de données bancaires et intrusion dans un système informatique.

L’utilisation de ce type de méthodes est passé de 344 à 449 pour le compte de la Sûreté de l’État, de 28 à 76 pour l’organe militaire que constitue le Service général du renseignement et de la sécurité (SGRS). En 2019, la Sûreté a mis sur écoute 255 lignes téléphoniques, introduit 48 ordinateurs et observé ou pénétré 29 lieux non-accessibles au public. Au SGRS, on dénombre 40 cas d’écoute téléphonique et 20 dossiers de collecte d’informations bancaires. A coté de cela, on constate une diminution de 12 % de l’utilisation des méthodes « ordinaires » (essentiellement l’identification d’un numéro par les opérateurs téléphoniques) mais il n’est pas clair si cette tendance est la même pour les méthodes « spécifiques » (données d’un voyage privé ou encore localisation d’une personne par le biais de la géolocalisation d’un appareil électronique, …)

Le siège de la Sûreté de l’État

La zone de police Bruxelles-Capitale/Ixelles et celle de Montgomery ont conclu un accord de coopération permettant à la première de mettre à disposition de la seconde une Unité d’assistance spéciale (UAS) pour des opérations dangereuses. Cet appui sera donc de deux ordres : soit urgent, comme dans une situation de crise telle qu’un Fort Chabrol (une situation où un individu, généralement armé se retranche dans un immeuble), soit planifié, comme une perquisition renforcée. Dans le premier cas, l’UAS sera mis à disposition 24 heures sur 24 et sept jours sur sept. L’accord de coopération entre les deux zones de police bruxelloises a été conclu le 30 octobre et est entré en vigueur le 1er novembre. Il fera l’objet d’une phase de test jusqu’à la fin de l’année.

Policiers de l’unité d’assistance spéciale (UAS) de la police de Mons-Quévy

Les évolutions technologiques permettent d’ores et déjà d’implanter des moyens de géolocalisation RFId indétectables à l’œil et au toucher dans les fibres textiles. Ces nouveaux textiles deviennent intelligents et sont géolocalisables par un GPS, une empreinte thermique ou une empreinte magnétique. Cela signifie que les vêtements, les tentes, ou les matériels qui comportent des tissus, des fibres peuvent être « infectés » et donc repérables.

Selon la ministre française des Armées, Florence Parly, plusieurs études dans ce domaine ont été lancées cette année en France, pour un coût de 1,2 million d’euros.  « Nous sommes évidemment disposés à accentuer cet effort d’innovation en fonction des propositions que nous feront les industriels français du textile, en lien avec le ministère de l’industrie puisqu’il s’agit d’un sujet dual » [dual = militaire ET civil], a-t-elle indiqué lors du débat sur les crédits de la mission « Défense », à l’Assemblée nationale, le 30 octobre. Les progrès sont tels dans le domaine qu’une proposition de loi vise à considérer que les textiles « de toute nature » soient dorénavant considérés comme des « équipements de défense ou de sécurité au sens (très contraignant, notamment quant au fournisseur) de l’article L1113-1 du code de la commande publique »

Amazon a dévoilé son nouvel outil biométrique: Amazon One. Ce lecteur d’empreinte capture une image de la paume de la main à plusieurs centimètres de distance et en seulement quelques secondes. Des lecteurs Amazon One n’ont été pour l’instant déployés que dans deux magasins semi-automatisés Amazon Go à Seattle, aux États-Unis. Pour les utiliser pour la première fois, il faut qu’un client ait un compte Amazon sur lequel les identifiants de sa carte bancaire sont déjà enregistrés. Devant le lecteur Amazon One, il doit d’abord présenter sa carte puis sa paume afin que les serveurs d’Amazon associent les deux.

Une vidéo tournée à Minsk montre deux policiers brandissant des matraques et un manifestant recroquevillé sur le sol alors que des passants demandent bruyamment sa libération. L’un des agents se tourne vers la caméra, seuls ses yeux visibles derrière une cagoule, et en quelques secondes, un ordinateur produit la photo et les données personnelles du policier. La vidéo, qui a recueilli plus d’un million de vues, a été publiée sur YouTube le 24 septembre par Andrew Maximov, un artiste numérique américain né à Minsk. Il veut montrer comment l’intelligence artificielle peut être utilisée pour démasquer les forces de l’ordre impliquées dans la violente répression des manifestants depuis la réélection contestée de Loukachenko le 9 août dernier. Naturellement, ce qui est possible pour identifier un policier l’est pour identifier un manifestant…

<iframe width= »528″ height= »297″ src= »https://www.youtube.com/embed/FAJIrnphTFg » frameborder= »0″ allow= »accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture » allowfullscreen></iframe>