Deux vulnérabilités importantes ont été découvertes dans la dernière version d’iOS, le système d’exploitation des iPhone. Les deux failles ont été corrigées par Apple dans la version bêta d’iOS, et le seront de manière complète dans la prochaine mise à jour du logiciel. Les deux failles auraient été activement utilisées dans des tentatives d’espionnage d’un opérateur téléphonique japonais, des employés de services de sécurité en Arabie saoudite et en Israël, et un cadre d’une entreprise suisse. Des cibles qui suggèrent qu’elles pourraient avoir été exploitées par un groupe lié à un état. La dangerosité des failles est jugée sérieuse par plusieurs experts indépendants. L’une d’entre elles est une faille dite « zero click ». Elle peut fonctionner sans que la personne ciblée n’entreprenne aucune action, comme cliquer sur un lien frauduleux.

L’exploitation de la faille, observée pour la première fois en 2019, passait par l’envoi d’un courriel piégé, mais le destinataire n’avait pas besoin de l’ouvrir pour qu’il déclenche la faille. L’analyse des téléphones a posteriori semble par ailleurs montrer que le courriel avait été automatiquement effacé. Les failles dites « zero day », qui n’ont jamais été documentées auparavant, sont rares sur iOS. Elles sont le plus souvent découvertes par des experts qui les revendent sur des marchés spécialisés, où elles s’échangent pour de très fortes sommes. Dans la plupart des cas, l’exploitation de ces failles est un processus complexe et coûteux : la majorité des acheteurs de ce « produit » très particulier sont des services de renseignement, des groupes mafieux ou des entreprises du secteur de l’espionnage.

A Hong Kong, depuis jeudi, les personnes venant de l’étranger (y compris les citoyens de Hong Kong) se voient mettre par les policiers un bracelet au poignet similaire à ceux des détenus en libération conditionnelle. Le dispositif est relié à une application que la personne doit télécharger sur son téléphone avant d’entamer ses deux semaines obligatoires de quarantaine à domicile. L’ensemble permet aux autorités de vérifier en temps réel où il se trouve, pour s’assurer que les personnes rentrant de l’étranger ne propagent pas le coronavirus. Le bracelet alerte les autorités en cas de sortie du domicile Les autorités hongkongaises tiennent des points presse quotidiens sur l’épidémie. Mais c’est en toute discrétion que le recours à ce dispositif relevant normalement de services de l’application des peines a été annoncé, lundi soir dans un communiqué. Environ 5.000 étaient prêts à être utilisés, et 55.000 autres ont été commandés, selon les autorités.

La Corée du Sud, la Chine, Taïwan et Singapour ont tous fait appel à la technologie. Le centre taïwanais de contrôle des épidémie, organe créé dans la foulée de l’épidémie de Sras en 2003, a recours au big data pour rechercher les porteurs potentiels du virus, et surveiller ceux en quarantaine. Ces derniers reçoivent un smartphone doté d’un GPS et sont surveillés par les autorités au travers de l’appli de messagerie Line. Des messages sont envoyés à ceux qui ne respectent pas leur quarantaine. Le tracker est directement relié aux services de police. Les contrevenants risquent un million de dollars taïwanais (30.000 euros) d’amende et la publication de leur nom. La Corée du Sud a une application similaire, mais son utilisation n’est pas obligatoire. Singapour, de son côté, a affecté des enquêteurs à la surveillance des quarantaines, et à la reconstitution des déplacements des malades.

Le projet de loi EARN IT (Eliminating Abusive and Rampant Neglect of Interactive Technologies – Loi sur l’élimination des négligences abusives et rampantes des technologies interactives) est un projet de loi déposé en mars qui vise à réduire les protections légales des applications et des sites Web dont le but déclaré est d’éradiquer l’exploitation des enfants en ligne. Si les entreprises ne respectent pas ces règles, elles pourraient perdre une certaine protection en vertu de l’article 230 de la Communications Decency Act, qui protège les entreprises de toute responsabilité vis-à-vis des publications des utilisateurs. Plusieurs organisations et législateurs s’opposent à cette nouvelle loi. De son côté, Signal a averti mercredi 8 avril qu’une éventuelle adoption de cette loi saperait le chiffrement de bout en bout. Dans un billet sur son blog, Signal a déclaré qu’en cas d’adoption du projet de loi, l’application serait dans l’obligation de quitter le marché américain. En plus de l’ensemble de personne qui, à travers le monde, utilisent Signal, cette application est recommandé par l’armée américain et est également utilisé par des sénateurs américains ainsi que des membres de la Commission Européenne.

Signal

Le 31 mars, en plein confinement, Proximus dont l’État belge est le principal actionnaire, annonce le déploiement d’une 5G light sur des fréquences inutilisées de la 3G, dans 30 communes belges. Cela alors que les enchères pour la 5G n’ont pas encore été ouvertes en Belgique, que les normes diffèrent selon les régions, et que le débat sur les conséquences de la 5G en terme de santé publique est loin d’être fini. Une internaute bruxelloise lance une pétition en ligne qu’elle adresse au gouvernement belge et intitule « Pas de 5G ». Le soir-même, 30.000 personnes l’ont signée. Dix jours plus tard, 105.000 signatures sont recueillies. Mais le 10 avril au matin, ceux qui veulent trouver la pétition se voient dire que la page est introuvable. En réalité, la pétition (dont le texte est encore accessible ici via le cache de Google) a été supprimée parce  « qu’une partie du contenu de votre pétition enfreint le règlement de la communauté ».

Cet épisode met une nouvelle fois en lumière la fragilité des initiatives politiques face aux grandes plateformes Internet – à l’image de Change.org qui, malgré sa mission de « donner à toute personne le pouvoir de créer le changement qu’elle souhaite voir », est avant tout une entreprise commerciale. La plateforme californienne revendique à ce jour 359.920.771 utilisateurs dans 196 pays. Parmi ses sources de profit: la revente des adresses mail des signataires de pétitions et leur profilage en fonction de leurs opinions politiques. Oxfam a reconnu acheter de telles données à Change.org (pour relancer les signataires avec des demandes d’argent). Change peut vendre (ou à déjà vendu) les listes de signataires à des sociétés de publicité au service d’entreprises dénoncées par les pétitions pour définir et affiner des opérations de relations publiques annulant l’effet des dénonciations… Change peut les vendre aussi au au « destinataire de la pétition ». Le règlement européen sur la protection des données entrera en vigueur à la fin du mois de mai 2018 entravera cette politique (un onglet devrait permettre d’activer/désactiver l’autorisation d’utilisation des données) sans la supprimer tout à fait.

L’utilisation de drones visant à rappeler aux gens les mesures de confinement ou à disperser des rassemblements a été signalée dans plusieurs partie du monde. C’est notamment le cas à New-York où un drone, équipé de caméras et de haut-parleurs de la société Spencer Gore survole les passant pour leur rappeler de se tenir à distance les uns des autres. L’utilisation de drones opérés par la police est également généralisée dans les principales villes de France ainsi qu’en Espagne à Madrid. C’est également le cas à Bruxelles (voir notre article). Il arrive également que les autorités fassent appel à des robots comme en Tunisie. À Tunis, un robot à l’apparence d’un petit tank rappelle les mesures de confinement et contrôle les autorisations de sortie. Il est contrôlé à distance par la police tunisienne. En Grande-Bretagne c’est un robot à l’apparence de Dalek (un robot issu de la série Dr. Who) qui rappelle les mesures de confinement.

Un robot tunisien contrôlant une attestation de sortie

Dans le cadre du développement du télétravail par des nombreuses entreprises dû à l’extension de la pandémie, des entreprises ont recours à plusieurs applications offrant des manières originales de surveiller le travail des employés à distance et de leur mettre de la pression: la pandémie et le confinement ne doit pas justifier une baisse du rendement… Une première application appelé « Desk Time » permet de faire des captures d’écran des ordinateurs des salariés, ainsi que de voir quelles applications ils utilisent et calculer la productivité de chacun. Cette application a déjà plus de 184.000 téléchargements. « Sneek », de son côté, passe à un autre niveau, donnant la possibilité d’avoir un « mur de visages » avec les différents salariés où leur photo sera prise toute les 1 à 5 minutes afin de s’assurer qu’ils sont bien en train de travailler. Les patrons peuvent également les appeler à n’importe quel moment sans qu’il y ai moyen de refuser.

Critiqués, les créateurs de « Sneek » prétendent que leur plateforme vise à aider les personnes en télétravail et entretenir les liens avec ceux qui doivent travailler en équipe : « Nous savons que beaucoup de gens penseront que c’est une invasion de la vie privée, on comprend ça à 100 %, et ce n’est pas la solution pour ces gens, mais il y a beaucoup d’équipes qui entretiennent des liens d’amitié et qui veulent rester connectées lorsqu’elles travaillent ensemble », a défendu le cofondateur – sauf que pour ces gens ce sera l’employeur qui décidera si c’est « la solution« .

L’ONG Access Now, qui défend un accès libre au Web, vient de publier son rapport pour 2019, qui met en avant les nouvelles modalités de coupure de l’accès à internet par certains gouvernements. De nombreux gouvernements ont pris l’habitude de fermer de plus en plus internet, souvent pour étouffer la dissidence politique et presque toujours en période de contestation sociale ou d’élections. L’ONG a compté un nombre record de 213 coupures brutales en 2019 (75 en 2016, 196 en 2018). Cette méthode est devenue récurrente dès lors que les gouvernements veulent véritablement isoler des régions entières, ainsi la décision prise par le premier ministre indien le 5 août 2019 de couper l’accès au web dans les régions à tendance séparatiste du Jammu et du Cachemire. Le rapport décortique les justifications apportées par les gouvernements pour étayer leur politique répressive. Là, on observe que la lutte contre les « fausses nouvelles » et les « discours haineux » sont utilisées comme des excuses pour consolider la censure et les coupures massives.  On peut demander une copie du rapport 2019 d’Access en écrivant à l’adresse : melody@accessnow.org

Mercredi 19 févier, la Commission européenne a dévoilé son plan pour redessiner l’avenir digital de l’Union européenne. Ce plan vise à rattraper le retard pris par l’Europe en la matière en s’attelant à deux chantier stratégiques : L’intelligence artificielle et l’utilisation des données. Des rumeurs qui avaient filtré dans la presse, prêtaient à la Commission l’intention d’établir un moratoire de 3 à 5 ans sur l’utilisation de la reconnaissance faciale à des fins d’identification. Il n’en est finalement rien. La Commission souhaite simplement « lancer un large débat sur les circonstances qui pourraient justifier des exceptions à l’avenir ».

Même brisé, brûlé, fondu, percé, noyé, cuit, le smartphone peut quand même livrer ses secrets selon le NIST, l’agence technologique du département du Commerce des États-Unis. Même s’il ne peut être allumé ou branché à un ordinateur, un téléphone mobile très endommagé garde bien souvent en mémoire les données enregistrés sur ses circuits imprimés. Le NIST a utilisé une cinquantaine de téléphones sous Android et iOS, ajoutant et supprimant des données au fil de leur utilisation, puis a tenté d’en détruire certains. Ses techniciens ont ensuite principalement pratiqué deux méthodes pour récupérer les données « supprimées ». La première, celle du “J-Tagging”, consiste à retrouver le “tap” ou port d’accès de test de l’hardware de l’appareil. Chaque circuit intégré (des téléphones autres que des iPhones) respecte un “JTAG”, un standard de fabrication. Celui-ci se caractérise par un port spécial, utilisé uniquement par les fabricants pour tester le fonctionnement des circuits intégrés. Les experts du NIST et de la police scientifique sont capables de détourner ce “tap” pour accéder à l’ensemble des données gravées sur le circuit grâce à des logiciels d’interprétation. L’autre méthode dite du “chip-off” consiste à broyer les puces présentent sur un circuit intégré pour atteindre ses broches et ainsi atteindre le circuit intégré sous-jacent. Ces méthodes physiques ont donné accès à bien plus d’informations que si un logiciel d’extraction avait été utilisé.

Les services de police aux États-Unis accordent une grande importance à la possibilité d’accéder aux données contenues dans les smartphones (voir notre article) ces données pouvant notamment être utilisées comme preuves devant un tribunal. Si les enquêteurs semblent parvenir à accéder aux données contenues dans les iPhones, l’opération serait de plus en plus difficile en ce qui concerne le cryptage Android (jusqu’à il y a un an la situation était inversée). Par exemple, Cellebrite, l’une des sociétés les plus importantes que les agences gouvernementales embauchent pour craquer des smartphones, possède un outil de piratage qui peut pénétrer dans n’importe quel iPhone,  y compris l’iPhone X. L’outil extrait des données telles que les enregistrements GPS , des messages, des journaux d’appels, des contacts et même des données provenant d’applications spécifiques telles qu’Instagram, Twitter, LinkedIn, etc.

Cependant, ce même outil de cracking Cellebrite a beaucoup moins de succès avec le cryptage Android installé sur des modèles de smartphone couramment utilisés. Par exemple, l’outil n’a pas pu extraire de données de médias sociaux, de navigation Internet ou de GPS à partir d’appareils tels que le Google Pixel 2 et le Samsung Galaxy S9. Dans le cas du Huawei P20 Pro, le logiciel de craquage n’a littéralement rien obtenu. Notons cependant que le cryptage Android n’est pas à toute épreuve. Le processus nécessite simplement plus de main-d’œuvre, de temps et de ressources.