Un rapport officiel de la Commission européenne propose d’intégrer des “portes dérobées” dans presque tous les appareils électroniques, du smartphone à la voiture en passant par la télévision connectée pour faciliter l’accès de la justice aux données qu’ils contiennent. Aujourd’hui, dans pas moins de 85% des enquêtes criminelles en Europe, les “preuves numériques” jouent un rôle important. Il ne s’agit pas seulement des données stockées sur des ordinateurs ou des communications, mais aussi par exemple quand la domotique enregistre quelles lumières sont allumées dans la maison. Obtenir ces preuves n’est pas toujours facile.  Les fabricants renforcent la sécurité de leurs appareils, par exemple en “chiffrant” les données, les rendant ainsi illisibles sans mots de passe.

Un groupe d’experts comprenant des représentants de l’agence européenne de police Europol a donc récemment recommandé à la Commission européenne, dans un rapport, d’installer des “portes dérobées” légales dans tous les appareils intelligents. Sur base de ce rapport, la Commission européenne va enquêter sur ce à quoi devraient ressembler ces portes dérobées. Elle souhaite notamment se pencher sur le “décryptage” des informations sensibles. Par exemple, Europol devrait recevoir un logiciel lui permettant de consulter toutes les données. Quel que soit l’appareil utilisé, “tant que la cybersécurité et les droits fondamentaux sont garantis”.

16 milliards de comptes ont été divulgués, un record sans précédent dans l’histoire, provenant de plateformes comme Apple, Google, Facebook, Telegram, GitHub, des services VPN et même des portails d’agences gouvernementales. C’est le résultat d’une série d’attaques à grande échelle utilisant un logiciel malveillant de type infostealer, actif depuis début 2025. Les données ont été collectées à partir des appareils des utilisateurs infectés, puis compilées dans des fichiers et distribuées sur des forums de cybercriminalité. La majorité des données exposées étaient totalement inédites, n’ayant jamais été divulguées auparavant. Les données sont clairement structurées, avec des URL complètes, des identifiants et des mots de passe, ce qui permet aux pirates de les exploiter facilement pour accéder à des comptes ou mener des attaques ciblées.

La principale source de l’incident a été identifiée comme étant un logiciel malveillant de type voleur d’informations, donc conçu pour infiltrer discrètement les systèmes des utilisateurs et collecter les données stockées dans le navigateur, telles que les informations de connexion, les cookies, les jetons de session et bien d’autres données sensibles. Infostealer se propage rapidement, est difficile à détecter et exploite les habitudes d’utilisation de mots de passe faibles et répétitifs et les utilisateurs qui n’ont pas mis en œuvre de mécanismes d’authentification modernes.

En Inde, un dispositif controversé est censé aider à la résolution de certaines affaires policières : le Brain Electrical Oscillation Signature profiling (BEOS) ou « profilage de la signature des oscillations électriques cérébrales ». Les policiers équipent le suspect à l’aide d’un casque à électroencéphalogramme (EEG) et le soumettent à l’écoute de courtes phrases en lien avec le crime. En enregistrant l’activité cérébrale de l’individu, les enquêteurs espèrent assister à l’activation de certaines zones du cerveau permettant de révéler un souvenir et donc, une « connaissance expérientielle » du crime.

La méthode permet en théorie d’analyser plusieurs types d’ondes cérébrales reflétant l’activation de réseaux neuronaux en lien avec la mémoire autobiographique. Autrement dit, il s’agit de savoir si le suspect a réellement vécu le fait qui lui est reproché. Les recours au BEOS se comptent par centaines et ce, depuis son apparition en Inde au début des années 2000 sous l’impulsion du psychologue clinicien Champadi Raman Mukundan et sa société Axxonet. Or, bien que le fruit de cette méthode ne soit pas recevable comme preuve directe depuis 2010 et la parution d’un arrêt de la Cour suprême du pays, l’influence sur les décisions de justice est bien présente. De plus, le BEOS a tendance à dépasser les frontières indiennes depuis quelques années.

Pourtant, le protocole de la méthode est assez lunaire. En effet, le BEOS implique l’écoute par le suspect de phrases énoncées par les enquêteurs eux-mêmes, se basant sur leur propre version des faits. Or, il existe un fort risque d’orienter la perception de l’individu et surtout, d’induire chez ce dernier une charge émotionnelle capable d’influer sur son activité cérébrale. Il n’existe aucune preuve que la « connaissance expérientielle » relève d’un vrai souvenir ou d’une confusion mentale. La possibilité de lire électriquement un souvenir est douteuse. Aucun protocole n’encadre la phase de création et d’écoute des fameuses phrases prononcées par les enquêteurs. Surtout, aucune étude digne de ce nom n’a fait l’objet d’une publication dans une quelconque revue scientifique.

La JOC Bruxelles et TechnopoliceBXL organisent une conférence qui abordera les enjeux liés aux smartphones et à la surveillance. Elle abordera différentes stratégies de réduction des risques qui permettent de complexifier le travail de la police, alors qu’à travers l’Europe, la répression s’est intensifiée depuis le 7 octobre. La conférence traitera aussi des entreprises israéliennes prépondérantes sur le marché des logiciels espions, les universités, l’armée et les services de renseignements israéliens. La présentation complète de la conférence. Ce mercredi 4 juin, à 19h, rue d’Anderlecht 4, 1000 Bruxelles

Tous les processeurs Intel à partir de la 9e génération sont concernés par cette nouvelle faille de sécurité. Les experts de l’école polytechnique de Zurich ont identifié une variante inédite des attaques Spectre, connues pour leur capacité à exploiter les mécanismes d’optimisation des puces électroniques. Cette découverte remet en question l’efficacité des mesures de protection déployées par Intel depuis 2018. La faille permet d’extraire des informations critiques stockées dans les zones les plus protégées de la mémoire du processeur, notamment le noyau du système d’exploitation. « Les mesures d’atténuation matérielles d’Intel contre ces types d’attaques ont tenu bon pendant près de 6 ans », soulignent les chercheurs, qui ont néanmoins réussi à les contourner.

La vulnérabilité contourne efficacement les mesures de sécurité eIBRS (enhanced Indirect Branch Restricted Speculation) et IBPB (Indirect Branch Prediction Barrier), déployées par Intel pour se prémunir contre les attaques Spectre v2. Ces protections, considérées comme la stratégie de défense standard, se révèlent inefficaces face à cette nouvelle technique. Alerté en septembre dernier par l’équipe de recherche suisse, Intel a rapidement développé une série de mises à jour pour corriger cette vulnérabilité, mais ces mesures s’accompagnent d’une dégradation des performances pouvant atteindre 2,7 %.

A grands coups de captures d’écran sauvages, les « smart TV » enregistrent tout ce que le téléspectateur regarde, permettant aux fabricants de dresser un portrait-robot très précis de chaque utilisateur. En France, plus de 9 TV vendues sur 10 sont des smart TV, ces écrans sont bourrés de fonctionnalités. Une fonction équipe toutes ces télés, elle n’est jamais mise en avant par les constructeurs et les vendeurs : l’ACR ou la « reconnaissance automatique de contenu » (automatic content recognition). Le procédé est simple : plusieurs fois par seconde, la télévision opère une capture d’écran et l’envoie sur les serveurs du fabricant. Tout peut être capturé, les séries regardées, les photos de vacances lues sur un lecteur DVD, un documentaire YouTube. Ces informations permettent, à de gigantesques bases de données, de déterminer, précisément, ce que l’utilisateur regarde, pendant combien de temps, etc. La technologie est identique à celle qu’a développée l’application Shazam, qui permet de reconnaître (à peu près) n’importe quel morceau de musique. Shazam a proposé un service d’ACR aux fabricants de TV dès 2011.

Connaître les vidéos regardées sur YouTube, le contenu sur Netflix ou, simplement, quels appareils sont connectés à la TV permet de dresser un portrait-robot extrêmement précis de l’utilisateur. On en déduit son emploi du temps, son statut socioprofessionnel, ses opinions politiques, son orientation sexuelle ou encore son identité de genre. Autant d’informations sensibles qui sont utilisées pour suggérer du contenu. L’ACR n’est pas le seul outil pour collecter un maximum de données, ces écrans disposent de micros permettant le contrôle vocal de ceux-ci. Le mois dernier, LG a annoncé un partenariat avec Zenapse, une société qui analyse les images récoltées à l’aide d’une IA capable de déterminer l’émotion des spectateurs. Un vrai flicage qui rappelle le livre « 1984 » de Georges Orwell.

La police et les agences fédérales ont trouvé un nouveau moyen de contourner les lois limitant l’usage de la reconnaissance faciale : un modèle d’IA qui peut suivre les personnes à l’aide d’attributs tels que la taille du corps, le sexe, la couleur et la coupe de cheveux, les vêtements et les accessoires. L’outil, appelé Track et développé par la société Veritone, est utilisé par 400 clients, dont des services de police d’État et locaux et des universités partout aux États-Unis. Le système est également en pleine expansion au niveau fédéral : les procureurs américains du ministère de la Justice ont commencé à utiliser Track pour les enquêtes criminelles en août dernier.

Ryan Steelberg, PDG de Veritone, explique franco l’origine de Track : « Si nous ne sommes pas autorisés à suivre les visages des gens, comment pouvons-nous contribuer à identifier potentiellement des criminels ou des comportements ou activités malveillants ? » En plus de suivre les individus là où la reconnaissance faciale n’est pas légalement autorisée, explique Steelberg, Track permet de suivre les personnes lorsque les visages sont masqués ou non visibles. C’est le premier exemple d’un système de suivi non biométrique utilisé à grande échelle aux États-Unis.

À l’été 2025, la gendarmerie française va déployer le DT46, un drone à voilure fixe de moyenne endurance. Le drone est encore en cours d’expérimentation par la Section expérimentation drone moyenne endurance (SEDAME) des Forces aériennes de la gendarmerie nationale (FAGN). Conçu par la société française DELAIR, il viendra compléter la gamme de drones en dotation, en apportant une capacité de surveillance prolongée, performante et modulable. Le DT46 peut voler 6 heures durant pour un rayon d’action maximum de 100 kilomètres. Il a un double mode de mise en œuvre : décollage vertical ou lancement en mode avion, et peut emmener jusqu’à 5 kilos de charge utile, permettant l’intégration de capteurs optiques ou d’autres dispositifs embarqués selon les besoins.

Voici le quatrième épisode de la série d’articles tirés de la remarquable brochure « Technologie et prison » (ici le pdf)  réalisée par Carapatage que nous livrons en feuilleton. Aujourd’hui, la réalité virtuelle.

Aux États-Unis, les casques de réalité virtuelle sont utilisés pour préparer la sortie des prisonniers de longue peine. Au Colorado, des personnes, qui ont été enfermées mineures dans les années 80-90, ont passé 3 ans à porter régulièrement des casques de réalité virtuelle pour découvrir une version numérique du monde qui les attend dehors. On simule d’abord des décors, des rues, des intérieurs, pour qu’elles puissent constater à quel point le monde a changé. Puis, on leur apprend à utiliser les outils informatiques, internet ou le téléphone. Non pas en leur filant un ordi ou un téléphone, ce serait trop simple, mais plutôt en simulant dans le casque de réalité virtuelle un ordi et un téléphone. On leur apprend à gérer leur budget ou encore, on les met dans un bar où un type menace de se bagarrer avec elles et on leur demande comment réagir. En Californie, il est aussi utilité comme alternative aux permissions de sortie : les prisonniers peuvent « visiter » Paris ou la Thaïlande en VR (photo).

Ce casque est aussi utilisé dans l’État de Washington pour faire suivre à moindre coût aux prisonnières des ateliers virtuels de formation à la mécanique auto. Le géant de la sous-traitance carcérale, Global Tel Link (GTL), veut étendre le concept, notamment pour organiser des visites virtuelles dont on imagine facilement qu’elles pourraient remplacer des visites réelles. La visioconférence a d’ailleurs été permise à des détenu·es pour remplacer les parloirs qui avaient été supprimés lors de l’épidémie de Covid.

Cette technologie est aussi promue comme un moyen de lutter contre la récidive. Parmi les récentes expérimentations, on trouve des casques de réalité virtuelle destinés à des auteurs de violences conjugales où le spectateur se met tour à tour dans la peau du conjoint violent, de sa compagne et de leur petit garçon. Une phase test d’un an a débuté en octobre dernier avec une trentaine de détenus à Lyon, Meaux (avec des personnes condamnées et suivies en milieu ouvert) et Villepinte (en milieu fermé).