CloudWalk Technology, start-up chinoise, avait besoin d’images de visages de personnes noires pour perfectionner son logiciel de reconnaissance faciale, biaisé jusqu’ici, car reconnaissant mieux les visages clairs. L’accord, qui donne à la start-up chinoise l’accès aux informations biométriques des citoyens zimbabwéens, est entré vigueur le 30 juillet. Le président zimbawéen Mnangagwa a décidé de donner accès aux informations de ses citoyens (sans leur consentement bien entendu), en échange de l’installation de tout un dispositif de surveillance made in China.

CloudWalk Technology n’est pas la seule à voir ses algorithmes modelés par les biais raciaux : d’après une étude du MIT Media Lab publiée en février 2018, les trois principaux logiciels de systèmes de reconnaissance faciale (IBM, Microsoft, Megvii) avaient en moyenne moins de 1 % de chances de se tromper lorsqu’il s’agissait d’un homme blanc, tandis que ce pourcentage grimpait à presque 35 % lorsqu’il s’agissait d’une femme noire. Inacceptable pour la Chine (dont le gouvernement finance CloudWalk Technology à hauteur de 301 millions de dollars), qui veut devenir leader mondial en IA d’ici 2030.

Démonstration de reconnaissance faciale au stand de CloudWalk Technology à la Foire de Shanghaï

Les employés du gouvernement américain, des agences publiques et mêmes les fournisseurs ne pourront utiliser la plupart des équipements de Huawei et de ZTE suite à la promulgation de la loi Defense Authorization Act. En fait, cette loi proscrit l’utilisation d’appareils et d’équipement servant à consulter ou diffuser les données des utilisateurs. De fait, cela touche les smartphones et les routeurs de Huawei et ZTE (et d’une poignée d’autres constructeurs chinois moins connus) ; néanmoins, les clients du gouvernement américain peuvent toujours utiliser des composants qui n’exploitent pas les données d’utilisateurs. En vérité, bien peu d’appareils.

Cette interdiction est la conséquence de plusieurs années de débats touchant à la sécurité nationale américaine. ZTE ne s’en sort pas si mal, le Sénat US ayant d’abord voté une mesure interdisant purement et simplement l’entreprise de travailler avec des constructeurs américains, ce qui lui aurait barré la route de composants indispensables pour ses produits. La Chambre des représentants a finalement revu le projet de loi pour permettre à ZTE de survivre, un texte qui a été accepté par le Sénat.

Un ZTE blade

Ce nouveau type de véhicule de police allemand est équipé d’un système masquant son appartenance à la police. Sa discrétion est alors telle que nous préférons vous mettre en garde.

Tails, « The Amnesic Incognito Live-System », un système d’exploitation très bien sécurisé, intègre dans sa dernière version béta le support des disques chiffrés via Veracrypt. Veracrypt est le successeur de Truecrypt, c’est une application qui permet de chiffrer disques durs internes et externes, clés USB et autres support de mémoire. Veracrypt (et avant lui Truecrypt) est probablement l’un des utilitaires les plus puissants pour le chiffrement sur Windows (sur Linux, on peut lui préférer LUKS). Si Tails intègre nativement le chiffrement LUKS, il était impossible de monter directement un disque veracrypt depuis le système d’exploitation, il fallait donc jusqu’à aujourd’hui passer par un support intermédiaire pour passer des données d’une partition Windows chiffrée avec Veracrypt vers la partition chiffrée de Tails. Tails avait interrogé ses utilisateurs volontaires et il apparaissait que 40% d’entre eu utilisent Veracrypt en plus de Tails.

Concrètement, la partition Veracrypt peut être montée directement depuis l’Utilitaire de Disques (« Disks ») si elle a une extension .hc. Sinon, Tails a développé une application ‘VeraCrypt Mounter’ pour monter les partitions sans extension. Pour télécharger l’image disque intégrant Veracrypt, le lien est ici. C’est une version béta, donc des erreurs peuvent probablement se produire. Les erreurs déjà remontées se trouvent ici. Et les erreurs que vous pourriez découvrir doivent être remontées vers tails-testers@boum.org.

Sur le site de Tails, la page réservée à l’intégration de Veracrypt.
Le site de Veracrypt.
Et le site de Tails.

Tails

Les négociateurs du Parlement européen et des Etats membres ont adopté mardi trois règlements visant à développer le système d’information Schengen (SIS), une base de données policière regroupant plus de 70 millions de signalements introduits par 30 pays européens. Le SIS a été créé en 1995 pour contribuer à maintenir la sécurité intérieure, mais aussi à combattre la criminalité transfrontalière et la migration irrégulière dans l’espace Schengen (26 pays dont 22 membres de l’UE).

De nouvelles ‘alertes’ sur les menaces terroristes et les enfants en danger seront notamment ajoutées dans le SIS. Les règles convenues comprennent également un volet visant à améliorer le retour des migrants en situation irrégulière, avec entre autres adopté une obligation pour les pays d’enregistrer dans le SIS toutes les décisions de retour émises. Des règles renforcées sur la protection des données, notamment davantage de moyens de contrôle pour les autorités de protection des données, sont aussi prévues dans le compromis, qui améliore en outre l’accès au SIS pour Europol et l’Agence européenne de garde-frontières et de garde-côtes. L’accord va désormais devoir être adopté de façon formelle par la commission des libertés civiles, le Parlement dans son ensemble et le Conseil avant de pouvoir entrer en vigueur.

L’espace Schengen aujourdhui (en orange, les futurs membres)

Nous avions parlé de la pétition de travailleurs de Google demandant que l’entreprise renonce à offrir ses compétences au Pentagone pour améliorer l’efficacité des drones (voir notre article). Il s’agissait plus précisément, dans le cadre du programme Maven, du logiciel ouvert d’apprentissage automatique TensorFlow qui permettait par exemple d’identifier de manière automatisée des bâtiments, des véhicules ou des humains figurant sur des images. Un contrat à plusieurs dizaines de millions de dollars qui constituait un pas vers les drones-tueurs autonomes.

C’est finalement plus de 4.000 travailleurs de chez Google qui ont signé la pétition et ils ont eu gain de cause: Google a décidé de ne pas renouveler ce contrat avec la Pentagone quand il arrivera à échéance, c’est à dire l’an prochain. Reste que, a priori, des technologies issues du programme Maven ont déjà été utilisées en opération. Cela ne va pas dire que Google renonce à toute relation avec le Pentagone. Ainsi, membre du conseil d’administration d’Alphabet (la maison-mère de Google), Eric Schmidt fait partie du Conseil d’innovation de la Défense, tout comme Milo Medin, l’un des vice-présidents de Google.

Image prise d’un drone-tueur Reaper

PGP est considéré comme l’un des systèmes de chiffrement les plus puissants au monde depuis sa création en 1991. Parmi ses applications, on retrouve le chiffrement des e-mails, généralement réalisé à l’aide de logiciels tiers (Enigmail, Kleopatra, GPA,…) L’annonce il y a une dizaine de jours d’une faille dans PGP a donc provoqué beaucoup d’inquiétudes et de scepticisme. Des chercheurs allemands avaient annoncé une attaque contre PGP, et avaient publié un jour plus tôt que prévu la faille sur le site efail.de, provoquant la colère de certains éditeurs qui utilisent PGP, comme Protonmail qui critiquent que la faille ait été mal communiquée aux éditeurs et que le communiqué de presse ait été très alarmiste puis relayé par un média faisant autorité, le site de l’EFF.

La faille Efail permet à un attaquant de déchiffrer des e-mails dans certains cas précis. Premièrement, l’attaquant doit avoir accès aux e-mails de ses cibles. L’attaquant altère ensuite légèrement le contenu d’un e-mail et l’envoie aux destinataires originels. Lorsque le destinataire déchiffrera le message, une balise html cachée enverra une copie déchiffrée de l’e-mail à la victime, c’est une exfiltration directe. En pratique, le code html appellera un contenu distant (par exemple une image censée être appelée dans le client mail de la victime), et tentera de charger ce contenu depuis son propre site. Si le site de l’attaquant était « secoursrouge.org/ », il ajouterait à l’URL le contenu de l’e-mail, donnant un résultat à peu près similaire à ceci: « secoursrouge.org/LaRéunionSecrèteAuraLieuÀ21h ». L’attaquant pourra donc voir les messages déchiffrés en regardant quelles adresses ont été chargées sur son site. Un second type d’attaque plus complexe et nommé « CBC/CFB gadget » est expliqué sur le site efail.de

Heureusement la faille est déjà patchée dans Enigmail et dans plusieurs autres clients, dont Enigmail, le plus populaire. Pour les plus scrupuleux, il faudra utiliser PGP en ligne de commande et/ou désactiver le rendu HTML de son client e-mail.

Le mode d’exfiltration directe de Efail

Saint-Ghislain, en province du Hainaut, la police a testé un véhicule permet de surveiller les grands rassemblements pendant les festivités de l’Ascension. La vitesse du véhicule atteint les 45 km/h. A l’intérieur de l’engin, léger, électrique et silencieux, un policier est placé dans un habitacle qui peut s’élever à 4 mètres, il peut voir à 360 degrés à l’aide de quatre caméras. En France, plusieurs polices municipales l’utilisent déjà. Le véhicule est reconnu et a reçu les autorisations au niveau européen, il reste à voir au niveau belge quelles sont les dispositions qui doivent être remplies pour l’utiliser sur la voie publique. Le test va durer une semaine.

L’engin en test à Saint-Ghislain

Suite aux affrontements du 1er Mai à Paris, il est à nouveau question de l’utilisation prochaine, par la police et la gendarmerie françaises, de produits de marquage codés (PMC) pour identifier les « fauteurs de trouble ». Ces marqueurs chimiques incolores et inodores peuvent être mêlés à des gaz lacrymogènes ou à l’eau des autopompes et être pulvérisés, sans que les cibles ne s’en aperçoivent, sur les habits et sur la peau. Il n’y a plus qu’à faire passer les individus soupçonnés sous une lampe à ultraviolet qui fait apparaître les traces éventuelles de PMC qu’ils portent sur eux. Les PMC demeurent détectables jusqu’à quatre semaines après leur projection sur la peau, et même plusieurs mois après sur les vêtements, en dépit des lavages. Ils disposent d’un codage propre à chaque marqueur.

A l’origine conçus pour lutter contre la contrefaçon, les PMC sont de plus en plus fréquemment utilisés dans le domaine de la sécurité. Plusieurs centre commerciaux en ont déjà un usage régulier, notamment pour identifier des braqueurs. Certains musées les vaporisent sur des œuvres : le voleur, sans même s’en apercevoir, s’imprègne ainsi de la substance, unique et tracée, et peut donc être confondu aisément.

Lire le rapport scientifique sur les PMC de février 2017 sur le site de l’Institut de recherche criminelle de la Gendarmerie Nationale

Marquage au PMC

L’armée américaine, dans le cadre de son programme de développement d’armes non létales, le Joint Non-Lethal Weapons Program, a révélé un prototype de laser capable de produire des sons. Ce Laser-Induced Plasma Effect, ne diffuse pas ces bruits à partir d’un enregistrement: il les produit lui-même. Il s’appuie sur un laser femtoseconde qui produit des impulsions ultra-courtes pendant 10 à 15 secondes. Lors de ce laps de temps, le laser frappe les électrons des molécules d’air pour créer un champ de plasma: une matière constituée de charges électriques libres très sensible aux effets électromagnétiques. Ce champ est ensuite traversé par un deuxième nanolaser dont les impulsions permettent de générer du bruit et de la lumière.

La différence de cette solution par rapport à un haut-parleur type LRAD déjà utilisés par les polices (voir notre article) ? Au lieu de “sortir” d’une enceinte, elle produit les sons à un point spécifique et distant dans l’espace. Si bien que les personnes situées entre la cible et l’arme n’entendent rien des bruits qu’elle produit. En fonction de sa taille, l’appareil pourrait générer des sons à une distance de 5 à 30 kilomètres. D’ici trois ans, le laboratoire espère pouvoir produire non plus de simples sons mais des mots intelligibles ou des imitations de sons précis. En simulant par exemple le bruit d’une balle.

Voir la vidéo de démonstration[->]

Le Laser-Induced Plasma Effect