Assistance Centre d’Appel ACA est une entreprise spécialisée dans la télésurveillance d’ascenseurs et de parking, ainsi que dans la surveillance de ses salariés. Saisi d’une plainte en juin 2015, la CNIL procède à un contrôle des locaux en novembre 2016. Elle y découvre que la société a mis en place un dispositif de pointage biométrique, recueillant les empreintes digitales des salariés et servant à surveiller leurs horaires, et ce sans autorisation. La CNIL constate également que l’entreprise enregistre les appels téléphoniques sans que les salariés n’en soient informés. Et leurs interlocuteurs ne se voyaient pas préciser ni l’identité du responsable des traitements, ni de leurs droits d’opposition.

Mise en demeure, ACA informe en janvier 2018 avoir pris des dispositions pour se conformer à la loi. En mars, la CNIL mène donc une nouvelle inspection: rien n’a changé. ACA vient de se voir infliger une amende de 10.000 euros.

ACA

Les engins lanceurs d’eau (ELE), couramment appelé canons à eau en France (et auto-pompes en Belgique) se retrouve en première ligne dans les manifestations. Ces canons pulvérisent différents liquides. De l’eau, bien sûr, mais aussi plus généralement des émulsifs. Soit le même liquide mousseux que celui employé par les pompiers, qui peut être coupé avec différents additifs, ajoutés directement dans la citerne. Le plus courant pourrait être un gaz lacrymogène, mais de récents problèmes techniques en ont limité l’usage.

Le 1er mai, à Paris, c’est une mousse très spéciale qui a été utilisée. Le canon projetait ainsi des protéines de viande macérées, mélange de sang séché et d’os broyés, à l’odeur pestilentielle, ce qui a surpris les manifestants. À terme devraient également être mis en œuvre des PMC, des produits de marquages codés, comme l’indique une touche spécifique dans le cockpit des engins. Inodores et invisibles, ils peuvent rester jusqu’à trois semaines sur la peau, beaucoup plus sur les vêtements (voir notre article). Il suffit d’un éclairage ultraviolet pour les mettre en évidence, ce qui est même possible depuis un hélicoptère. Alors qu’il avait été évoqué une possible expérimentation discrète le 1er mai, une analyse en laboratoire d’échantillons de liquides projetés, diligentée par le site Taranisnews, a montré qu’ils n’en contenaient pas. Pour cette fois.

ELE en France

Une faille du Tor Browser a été révélée ce 10 septembre par l’entreprise Zerodium, cette faille est plus précisément liée à l’extension « NoScript » de Mozilla Firefox, installée par défaut, et permet à l’attaquant d’exécuter du code Javascript sur la machine de la cible, même si celle-ci a défini les paramètres de sécurité les plus agressifs (qui désactivent l’exécution de Javascript). Pour utiliser la faille, l’attaquant, qui peut simplement être un site visité par la cible, doit définir le type de contenu de son script comme étant du Json (« notation d’objet javascript », un format textuel), le script peut ensuite être utilisé pour révéler l’adresse IP de la cible ou d’autres informations permettant de l’identifier. La faille ne fonctionne plus à partir de Tor Brower 8.X, car Mozilla Firefox a été mis à jour vers « Quantum », une refonte massive.

Zerodium est une entreprise d’acquisition et de vente de « failles 0Day », qui sont des failles n’ayant fait l’objet d’aucune publication. Il y a un an, Zerodium avait proposé jusqu’à $1.000.000 pour des failles 0Day fonctionnelles permettant d’attaquer Tor ou le système d’exploitation Tails afin de revendre ces failles aux services de police qui voudraient lui acheter.

Si vous utilisez Tor Browser ou Tails Linux, vous devriez mettre à jour avant toute utilisation.

Une démonstration de l’attaque:

Very easy to reproduce the Zerodium Tor Browser 7.x NoScript bypass vulnerability https://t.co/k78ejoavWl #TorBrowser #vulnerability pic.twitter.com/k1mUJZUo77

— x0rz (@x0rz) 10 septembre 2018

Faille critique de Tor Browser

La technologie de reconnaissance faciale en temps réel de la police de South Wales (Pays de Galles), connu aussi sous le nom de système AFR Locate, aurait été spectaculairement améliorée grâce à un nouvel algorithme fourni par l’entreprise technologique japonaise NEC. Sur les 44 468 visages scannés par les forces de l’ordre puis analysés par le logiciel de reconnaissance faciale en marge du « Biggest Weekend » qui s’est déroulé dans la ville de Swansea en mai dernier, il n’y aurait eu que dix faux positifs.

Une version moins récente de ce logiciel avait été utilisée l’an dernier à Cardiff, lors de la finale de la Ligue des Champions (voir notre article). À cette occasion, près de 170 000 personnes avaient afflué aux abords du stade de la ville et AFR Locale avait identifié 2470 suspects potentiels, dont 2297 faux positifs : il se trompait dans 92 % des cas. Le système AFR Locate aurait déjà permis à Cardiff l’arrestation de 16 entre le 31 mai et le 22 décembre 2017 et de 13 autres personnes entre le 3 et le 24 juin 2018. Au total, cette technologie de reconnaissance faciale en temps réel aurait déjà conduit à l’arrestation de plus de 450 personnes depuis juillet 2017.

Une des camionnettes du système

Cent trente-six ans après sa création par le Français Alphonse Bertillon, la police technique et scientifique (PTS) organise son congrès mondial à Lyon du 27 au 31 août. Pour cet évènement, pas moins de 800 spécialistes seront réunis pour échanger, débattre et analyser leurs différentes méthodes de recherche et d’investigation. L’enquête sur l’affaire Maëlys sera au cœur de toutes les discussions. La PTS a fourni un immense travail pour détecter les plus petites taches de sang, même recouvertes auparavant par des produits chimiques. Cette semaine, ce sera aussi l’occasion pour les scientifiques du monde entier d’échanger leurs différentes innovations comme le portrait-robot génétique. Cette technique à la pointe de la technologie se base sur les traces d’ADN recueillies sur une scène de crime. Grâce à elles, la police scientifique peut dresser le portrait-robot d’un suspect.

PTS

CloudWalk Technology, start-up chinoise, avait besoin d’images de visages de personnes noires pour perfectionner son logiciel de reconnaissance faciale, biaisé jusqu’ici, car reconnaissant mieux les visages clairs. L’accord, qui donne à la start-up chinoise l’accès aux informations biométriques des citoyens zimbabwéens, est entré vigueur le 30 juillet. Le président zimbawéen Mnangagwa a décidé de donner accès aux informations de ses citoyens (sans leur consentement bien entendu), en échange de l’installation de tout un dispositif de surveillance made in China.

CloudWalk Technology n’est pas la seule à voir ses algorithmes modelés par les biais raciaux : d’après une étude du MIT Media Lab publiée en février 2018, les trois principaux logiciels de systèmes de reconnaissance faciale (IBM, Microsoft, Megvii) avaient en moyenne moins de 1 % de chances de se tromper lorsqu’il s’agissait d’un homme blanc, tandis que ce pourcentage grimpait à presque 35 % lorsqu’il s’agissait d’une femme noire. Inacceptable pour la Chine (dont le gouvernement finance CloudWalk Technology à hauteur de 301 millions de dollars), qui veut devenir leader mondial en IA d’ici 2030.

Démonstration de reconnaissance faciale au stand de CloudWalk Technology à la Foire de Shanghaï

Les employés du gouvernement américain, des agences publiques et mêmes les fournisseurs ne pourront utiliser la plupart des équipements de Huawei et de ZTE suite à la promulgation de la loi Defense Authorization Act. En fait, cette loi proscrit l’utilisation d’appareils et d’équipement servant à consulter ou diffuser les données des utilisateurs. De fait, cela touche les smartphones et les routeurs de Huawei et ZTE (et d’une poignée d’autres constructeurs chinois moins connus) ; néanmoins, les clients du gouvernement américain peuvent toujours utiliser des composants qui n’exploitent pas les données d’utilisateurs. En vérité, bien peu d’appareils.

Cette interdiction est la conséquence de plusieurs années de débats touchant à la sécurité nationale américaine. ZTE ne s’en sort pas si mal, le Sénat US ayant d’abord voté une mesure interdisant purement et simplement l’entreprise de travailler avec des constructeurs américains, ce qui lui aurait barré la route de composants indispensables pour ses produits. La Chambre des représentants a finalement revu le projet de loi pour permettre à ZTE de survivre, un texte qui a été accepté par le Sénat.

Un ZTE blade

Ce nouveau type de véhicule de police allemand est équipé d’un système masquant son appartenance à la police. Sa discrétion est alors telle que nous préférons vous mettre en garde.

Tails, « The Amnesic Incognito Live-System », un système d’exploitation très bien sécurisé, intègre dans sa dernière version béta le support des disques chiffrés via Veracrypt. Veracrypt est le successeur de Truecrypt, c’est une application qui permet de chiffrer disques durs internes et externes, clés USB et autres support de mémoire. Veracrypt (et avant lui Truecrypt) est probablement l’un des utilitaires les plus puissants pour le chiffrement sur Windows (sur Linux, on peut lui préférer LUKS). Si Tails intègre nativement le chiffrement LUKS, il était impossible de monter directement un disque veracrypt depuis le système d’exploitation, il fallait donc jusqu’à aujourd’hui passer par un support intermédiaire pour passer des données d’une partition Windows chiffrée avec Veracrypt vers la partition chiffrée de Tails. Tails avait interrogé ses utilisateurs volontaires et il apparaissait que 40% d’entre eu utilisent Veracrypt en plus de Tails.

Concrètement, la partition Veracrypt peut être montée directement depuis l’Utilitaire de Disques (« Disks ») si elle a une extension .hc. Sinon, Tails a développé une application ‘VeraCrypt Mounter’ pour monter les partitions sans extension. Pour télécharger l’image disque intégrant Veracrypt, le lien est ici. C’est une version béta, donc des erreurs peuvent probablement se produire. Les erreurs déjà remontées se trouvent ici. Et les erreurs que vous pourriez découvrir doivent être remontées vers tails-testers@boum.org.

Sur le site de Tails, la page réservée à l’intégration de Veracrypt.
Le site de Veracrypt.
Et le site de Tails.

Tails

Les négociateurs du Parlement européen et des Etats membres ont adopté mardi trois règlements visant à développer le système d’information Schengen (SIS), une base de données policière regroupant plus de 70 millions de signalements introduits par 30 pays européens. Le SIS a été créé en 1995 pour contribuer à maintenir la sécurité intérieure, mais aussi à combattre la criminalité transfrontalière et la migration irrégulière dans l’espace Schengen (26 pays dont 22 membres de l’UE).

De nouvelles ‘alertes’ sur les menaces terroristes et les enfants en danger seront notamment ajoutées dans le SIS. Les règles convenues comprennent également un volet visant à améliorer le retour des migrants en situation irrégulière, avec entre autres adopté une obligation pour les pays d’enregistrer dans le SIS toutes les décisions de retour émises. Des règles renforcées sur la protection des données, notamment davantage de moyens de contrôle pour les autorités de protection des données, sont aussi prévues dans le compromis, qui améliore en outre l’accès au SIS pour Europol et l’Agence européenne de garde-frontières et de garde-côtes. L’accord va désormais devoir être adopté de façon formelle par la commission des libertés civiles, le Parlement dans son ensemble et le Conseil avant de pouvoir entrer en vigueur.

L’espace Schengen aujourdhui (en orange, les futurs membres)