En juin prochain, Frontex, l’agence de gestion des frontières européennes, tiendra une grande réunion en Espagne, durant laquelle différents fabricants de drones viendront présenter leurs produits. Bien que ces avions avec caméra embarqué aient été créés en tant qu’arme de guerre, l’agence souhaite aujourd’hui les adapter pour la surveillance des frontières. Selon une source de Frontex, aucun de ces appareils n’a été utilisé jusqu’à aujourd’hui par l’agence. Par contre, elle examine actuellement attentivement quelle plus-value les drones apporteraient aux tâches remplies par les gardes frontières des pays membres de l’UE, sachant que ces ‘avions’ seraient capables de surveiller les bateaux en mer sur de plus longues périodes que ce que le matériel actuel ne le permet.

Au début du mois de décembre dernier, les ministres européens des affaires étrangères avaient approuvé un accord transatlantique obligeant les pays européens à fournir des données bancaires aux renseignements américains. Par le biais de l’accès aux informations de la Society for Worldwide Interbank Financial Communication (SWIFT), l’Union Européenne comptait sur les américains pour traiter ces données et lui transmettre les renseignements récoltés. Cet accord permettait en outre aux Etats-Unis de continuer à ‘tracer’ le financement du terrorisme en utilisant les données bancaires collectées par SWIFT, société basée en Belgique et dont 8000 institutions financières utilisent le réseau.

Dernière étape avant que soit mise en oeuvre cette ‘collaboration’, le vote par les eurodéputés, qui a eu lieu aujourd’hui. Depuis plusieurs jours, les américains et plusieurs gouvernements européens effectuaient une intense campagne envers eux afin de faire pencher la balance en faveur de l’accord. Sans succès car les eurodéputés ont mis leur veto à une large majorité (378 voix contre 196) contre ce transfert de données, au nom de la protection des données privées. Ils ont également dénoncé l’unilatéralité de l’accord, qui ne prévoyait pas l’accès pour les pays européens aux données américaines. Les Etats-Unis conserveront néanmoins un accès aux données, sur base bilatérale et dans le cadre d’une procédure plus complexe. De nouvelles négociations devraient être lancées en vue de conclure un accord définitif.

La vidéo ci-dessous date de 2006, mais elle reste une démonstration, voire un exercice pratique, tout à fait salutaire.

Depuis l’attentat manqué sur un avion de ligne Amsterdam-Détroit durant les fêtes de fin d’année, de nombreuses autorités aéroportuaires, notamment aux Etats-Unis, ont pris la décision de se doter de scanners corporels aux contrôles des passagers. Ceux-ci sont capables de détecter sans palpation des articles non-repérables par les portiques de sécurité car ils permettent de voir les personnes comme si elles étaient nues. Ce qui n’a pas manqué de faire s’élever des voix, notamment quant au respect de la vie privée. Les autorités y ont répondu en affirmant qu’il y avait un total respect des personnes sachant que les scanners ne pouvaient ni stocker, ni transmettre ces images.

Aux Etats-Unis, la Transportation Security Authority (TSA) affirme que la machine n’a aucune capacité de stockage et qu’aucune image corporelle n’est stockée, transmise ou imprimée et qu’une fois vue, elle est supprimée. Or, selon des documents obtenus par l’Electronic Privacy Information Center, il apparait que tout ça n’est que mensonge. Sur un rapport du TSA de 2008, il est indiqué que le scanner aura un lecteur read/write de grande capacité pour permettre de télécharger des données. Il fournira également les possibilités de transfert via des outils USB et pourra stocker les données durant une année sur son disque dur.

Le document indique deux modes opératoires. Le ‘mode sélection’ durant lequel le système interdit le stockage et l’exportation des images des passagers et le ‘mode test’ pour lequel il est indispensable d’avoir la capacité de garder les images des non-passagers (cobayes) pour permettre les entraînements des agents et les évaluations. Et c’est là le hic. Le système ne distingue évidemment pas un passager d’un non-passager, les deux sont pour lui, de simples corps humains dans le champs du système. Et évidemment, le document n’indique pas de quelle manière ledit système change de mode. Nous sommes donc en présence de scanners corporels qui peuvent saisir les images scannées des gens en ‘mode test’ et ensuite les exporter soit grâce à des systèmes USB, soit à des transferts IP (qui sont soumis à certaines restrictions de sécurité) ainsi qu’à au moins un système, identifié dans un second document par le gouvernement qui permet de stocker toutes ces images.

Image d’un scanner corporel

La société Taser, connue pour ses pistolets à impulsion électrique appréciés par les forces de l’ordre, a annoncé ce week-end la prochaine mise sur le marché d’un nouveau système de surveillance des téléphones portables. Ce dispositif, le plus complet selon ses concepteurs, sera disponible dès l’été prochain aux Etats-Unis. Cette application permet de prendre de fait le contrôle du téléphone visé. La personne qui le surveille voit apparaître un tableau de bord sur son ordinateur ou son propre portable. A partir de là, elle dispose des plein-pouvoirs: autoriser ou non les appels entrants, passer en revue les SMS, mails, vidéos,… avant réception, bloquer totalement l’usage de l’appareil, répondre elle-même à un appel avant que cela ne sonne chez le destinataire, et, last but not least, écouter les conversations. Les téléphones dotés d’un GPS pourront également apparaître sur une carte afin de pouvoir localiser leur propriétaire. Ce logiciel, en vente libre, coûtera entre dix et trente dollars selon les options choisies.

Le CCTV (Close Circuit TeleVision) est un système de caméras disposées dans un espace public dans le but de le surveiller. De nombreuses villes se sont dotées de ce système en vue de prévenir la criminalité et surtout d’opérer un contrôle social, notamment des mouvements de foule. Depuis le début des années 90, ils se sont multipliés, en dépit de leur nuisance flagrante du respect de la vie privée, les caméras filmant en continu. De plus, depuis plusieurs années sont publiés de nombreux rapports esquissant leur inefficacité. En effet, le CCTV peut actuellement collecter une masse très importante de données, mais une quantité minime d’entre elles sont utilisables.

Une équipe d’informaticiens experts vient de mettre au point une nouvelle génération de CCTV appelée ‘Samurai’. Ce programme est capable d’identifier et de traquer les individus agissant de manière ‘suspecte’ dans la foule. Il utilise des algorithmes pour profiler l’attitude de la personne et pour étudier comment elle se comporte habituellement dans cet environnement. Il prend également en compte les changements de lumière, ce qui permet de traquer la personne même si elle sort du champs d’une caméra vers une autre. Enfin, il peut étudier les chemins que la personne suivie serait susceptible de prendre et poursuivre une cible alors qu’elle bouge dans la foule en utilisant la silhouette de la personne, ses bagages et les personnes qui l’accompagnent. Les systèmes actuels de vidéo-surveillance sont programmés, selon un expert, de manière très rigide, avec des règles strictes prédéfinies. Il affirme que ‘Samurai’ est LA solution pour détecter les comportements ‘anormaux’ et surtout pour pouvoir suivre un très grand nombre de personnes à travers l’utilisation de multiples caméras coordonnées entre elles dans l’espace public. D’autant plus que des opérateurs (humains) pourront déterminer ce qui doit être considéré comme suspect et que le logiciel pourra garder cet élément en mémoire.

En mai 2008, des policiers du monde entier, dont des Français, sont invités par Microsoft, pour découvrir, dans les locaux de Microsoft, à Redmond, COFEE (Computer Online Forensic Evidence Extractor), un outil permettant d’aider les forces de l’ordre a mettre à mal les sécurités installées dans Windows Vista. Un stage de luxe qui regroupe le FBI, Interpol, l’armée. Parmi les ‘cours’, comment récupérer des preuves sous Hotmail ou sous Windows. Parmi les possibilités, le programme COFEE.

Le matériel est simple, une clé USB et un programme capable de trouver différentes données cachées sur un disque dur. Un programme aux 150 commandes qui permet de retrouver toutes données liées à une affaire en un temps record. Décryptage des mots de passe, analyse des activités sur la toile, et cela par un policier qui n’a plus besoin d’être un expert. Bref, rien de révolutionnaire, ce type d’outil existait depuis longtemps mais Microsoft semble avoir réuni tout ce petit monde sous le même programme. Des milliers de clés de ce type sont déjà en action dans 15 polices de par le monde. Microsoft les offre. ‘Nous investissons beaucoup de temps et d’argent dans la mise au point de ces nouveaux outils, mais notre but n’est pas d’en tirer des profits en argent. Nous le faisons afin de nous assurer qu’Internet demeure un endroit sécurisé‘ confiait Brad Smith, de chez Microsoft. A noter que cette clé permet de passer outre le chiffrement ‘Bitlocker’ mis en place par Microsoft dans Windows Vista. Il suffit aux enquêteurs de brancher la clé sur la machine allumée du suspect pour utiliser l’un des 150 outils mis à disposition avec COFEE. En moins de 30 minutes, la clé enregistre les données dites ‘sensibles’ pour les enquêteurs.

Début novembre, un fichier archive circulait sur le net avec, à l’intérieur, une image de COFEE. Colmatée depuis, la fuite finit de se répandre sur Internet. Mais le mal est fait. Si la diffusion de l’utilitaire a été bloquée, des pirates en ont profité pour développer une contre-application qui permettait de se débarrasser des ‘trous’ exploités par COFEE et qu’ils ont nommée DECAF (Detect and Eliminate Computer Assisted Forensics). Téléchargeable sur leur site decafme.org, cette application s’adressait à des utilisateurs avancés. Yahoo en avait parlé. Mais le 18 décembre, un petit message intitulé Gamer Over sur le site de DECAF, nous apprend que le but était simplement d’attirer l’attention du public sur la sécurité et que les versions téléchargées sont désormais inopérantes…

Logo de DECAF

En vue de la tenue des Jeux Olympiques l’an prochain à Vancouver, la police de la ville vient d’acquérir un LRAD (Long Range Acoustic Device). Le LRAD est une arme non-léthale sonore utilisée pour contrôler les foules. Récemment, ce dispositif a été utilisé lors du sommet du G20 de Pittsburgh (photo), ou lors des manifestations du mouvement de résistance au Honduras. Il y est apparu que le fait de se trouver à proximité d’un tel engin pouvait s’avérer extrêmement douloureux, causer des dommages auditifs et gêner temporairement la vision. A l’origine, le LRAD est un engin de guerre utilisé notamment en Irak, et pour avertir les navires de guerre américains de l’approche de navires ennemis, sa portée pouvant atteindre trois kilomètres. Les autorités canadiennes ont en outre acheté cet appareil acoustique à longue portée sans qu’aucun test de sécurité n’ait été effectué au Canada, qu’il n’y a eu aucune approbation de l’usage de l’arme par aucune agence indépendante des services de police du pays et que cette arme n’a même jamais été utilisée dans un scénario de manifestation au Canada.

LRAD à Pittsburgh

Dans quelques jours va s’ouvrir à Copenhague, et pour deux semaines, le sommet onusien sur le climat. L’occasion pour les militants écologistes de faire entendre leurs arguments (l’apogée de la mobilisation sera la manifestation internationale le 12 décembre), mais aussi pour le gouvernement danois d’instaurer un nouveau cadre juridique répressif.

Le 26 novembre, le parlement a ainsi adopté une nouvelle loi renforçant les pouvoirs de la police dans le cadre des manifestations. Cette loi donne à la police de vastes pouvoirs en matière de détention provisoire et étendent les peines de prison pour les actes de désobéissance civile. Concrètement, la police danoise aura la possibilité d’arrêter les manifestants pendant une durée de 12 heures si elle les soupçonne de vouloir enfreindre la loi. La garde à vue pour les étrangers est portée à 72 heures, contre 48 pour les danois. Au-delà de celle-ci, si elle considère qu’ils ont entravé le bon déroulement de son travail, elle pourra les détenir pendant 40 jours, sur simple décision d’un procureur. Quant à l’amende sanctionnant les actes de désobéissance civile (notamment le regroupement après dispersion d’une manifestation), elle s’élèvera à 403 euros, et pourra atteindre 603 euros si la police estime qu’il y a eu rébellion lors de l’interpellation.

Un avocat danois donne un exemple d’application de cette loi: ‘si des manifestants étrangers louent un autocar pour se rendre à une manifestation légale au centre de Copenhague, la police aura la possibilité d’arrêter l’autocar et tous les passagers, même si ceux-ci ont des intentions pacifiques, uniquement parce qu’elle estimera que l’endroit où se rend l’autocar va être le lieu d’affrontements’.

A la mi-novembre, quatre pays de l’Union Européenne s’étaient opposés au projet d’accord entre l’UE et les Etats-Unis permettant l’utilisation des données bancaires lors des enquêtes antiterroristes. L’Allemagne, l’Autriche, la France et la Finlande évoquaient la protection des données privées pour refuser l’accès aux autorités américaines aux informations de la Society for Worldwide Interbank Financial Communication (SWIFT), société de transferts interbancaires internationale basée à La Hulpe, en Belgique (photo).

Malgré tout, les ministres européens des affaires étrangères ont approuvé hier l’accord transatlantique qui verra donc les pays européens obligés de fournir des données privés bancaires aux renseignements américains. Par une admission tacite du fait que les agences européennes de renseignement ne sont pas capables de surveiller les transactions suspectes, les ministres européens ont donc entendu la demande américaine. Un expert proche du dossier avait récemment affirmé que ‘l’Europe ne disposait pas des compétences techniques pour interpréter ces données‘. Avec cet accord, l’UE compte donc sur les américains pour traiter ces données et lui transmettre les renseignements récoltés. A noter qu’il n’y a aucun accord réciproque pour que les agences de renseignements européennes puissent extraire des informations des bases de données américaines. SWIFT devra donc dorénavant communiquer le nom, le numéro de compte, l’adresse, le numéro d’identification nationale et d’autres données personnelles aux autorités américaines dès qu’il y a un soupçon que la personne soit, de quelle que manière que ce soit, impliquée dans une ‘activité terroriste‘.

Siège de SWIFT