L’Emirat d’Abou Dhabi sera le premier état à ficher l’ADN de toute sa population. La première étape est de mettre en place l’infrastructure, et d’engager les techniciens de laboratoire, ce qui devrait prendre environ un an. L’objectif est d’échantillonner un million de gens par an, ce qui devrait prendre 10 ans si l’on prend en compte l’évolution de la population. C’est le premier pays à avoir décidé de ficher les empreintes génétiques de l’intégralité de sa population, expatriés, immigrés et ‘visiteurs’ compris, indéfiniment – ou au moins jusqu’à leur mort.

Les tout premiers à être fichés seront les mineurs, au motif que ‘la majeure partie des criminels commencent lorsqu’ils sont jeunes. Si nous les identifions à cet âge, il sera plus simple de les réhabiliter avant qu’ils ne commettent de crimes encore plus graves‘, selon le Dr Ahmed al Marzooqi, responsable de la base de données ADN nationale au ministère de l’Intérieur des Emirats Arabes Unis. D’ailleurs, la base de données nationale a déjà été créée, les kits de prélèvement ont déjà été commandés.

Sur les 4 millions de caméras de surveillance en service en Grande-Bretagne (un Britannique est filmé en moyenne 300 fois par jour), seules 10% seraient utilisées efficacement. Dans un pays dont les rues sont bardées de caméras de surveillance, le dispositif n’est pleinement efficace que s’il y a quelqu’un derrière l’écran. Problème principal: le coût d’un tel déploiement de forces devant les écrans de surveillance. C’est pour parer à ce problème qu’une entreprise privée britannique entend proposer aux détenteurs d’ordinateurs équipés d’un accès Internet de prendre part eux-mêmes à la surveillance et de gagner de l’argent s’ils signalent un délit.

Exemple: un magasin de vêtements possédant au moins une caméra de surveillance verse une vingtaine de livres sterling (20 euros) à Internet Eyes – c’est le nom de la société, littéralement ‘Les yeux d’Internet’. En échange, cette société confie la surveillance des images de sa caméra, en direct, à des internautes volontaires. Internet Eyes s’adresse aux commerces, bureaux, et aimerait séduire les forces de l’ordre ainsi que les municipalités. Un marché à fort potentiel: plus de 4 millions de caméras de surveillance sont en service dans le pays, indiquent les concepteurs du projet.

Derrière leur écran, des Britanniques scrutent le moindre incident. À eux de cliquer sur une touche dès qu’ils détectent un comportement suspect (vol, vandalisme, etc.). Un SMS et une capture d’écran partent alors chez le commerçant. L’internaute peut espérer toucher jusqu’à 1.000 euros, promet Internet Eyes. Pour cela, il faut être rapide, car plusieurs individus peuvent en effet scruter la même caméra au même instant. Seul le premier à cliquer gagne des points, convertis ensuite en livres sterling. Mais tout clic abusif sera puni par une perte de points. Un véritable jeu en ligne.

Un autre moyen de gagner de l’argent consiste pour l’internaute à donner un compte-rendu régulier de ses observations aux entreprises qui, à leur tour, donnent leur avis sur son travail, en échange de quelques points. Le site devrait également afficher une galerie de portraits: tous les individus ayant été arrêtés, avec le nom de l’internaute ayant contribué à leur arrestation. Le système sera d’abord testé en novembre à Stratford-upon-Avon. Il doit être étendu à tout le territoire le mois suivant.

L’anecdote a fait le tour du monde: un employé américain a été licencié parce que son patron avait vu sur Facebook des photos de lui faisant la fête alors qu’il était en congé maladie. Cette fonction de flicage offerte par les réseaux sociaux, déjà bien utilisée par les polices, devient l’objet d’un business. La société US Intelius est ainsi spécialisée dans la collecte de données sur Facebook, MySpace, Flickr etc. Avec un simple nom ou numéro de téléphone, cette société fournit à ses clients des informations sur la personne-cible telle que son passé judiciaire, son domicile et sa valeur, son état civil, etc. ainsi que les liens vers les pages personnelles de la cible.

Lors de l’arrestation des membres du Secours Rouge le 5 juin dernier, les médias ont fait grand cas des communications cryptées entre la section belge du SRI et le secrétariat international de Zurich, et interceptées par la police. Un an et demi plus tard, les services spécialisés de la police fédérale ne sont toujours pas parvenu à décrypter ces mails…

Le cryptage des mails ne fait pas partie de la culture militante en Belgique, alors qu’il est extrêmement répandu en Allemagne ou en Suisse, et alors qu’en Belgique même, il est courant dans le domaine commercial et bancaire. Il est important de généraliser les techniques de cryptage. Crypter toutes les communications politiques, même les plus banales, est essentiel pour tous ceux qui veulent éviter de nourrir les fichiers policiers.

Le logiciel utilisé par le Secours Rouge International est le classique PGP (Pretty Good Privacy). Philip Zimmermann, son développeur, a mis PGP en libre téléchargement en 1991. Le gouvernement a ouvert une enquête contre lui pour violation des lois limitant l’exportation pour les produits cryptographiques aux seuls clients validés par le gouvernement US. Zimmermann a développé PGP dans un souci de droit à la vie privée et de progrès démocratique: ‘PGP donne aux gens le pouvoir de prendre en main leur intimité. Il y a un besoin social croissant pour cela. C’est pourquoi je l’ai créé. (…) Si l’intimité est mise hors la loi, seuls les hors-la-loi auront une intimité. Les agences de renseignement ont accès à une bonne technologie cryptographique. De même les trafiquants d’armes et de drogue. Mais les gens ordinaires et les organisations politiques de base n’avaient pour la plupart pas eu accès à ces technologies cryptographiques de ‘qualité militaire’ abordable. Jusqu’à présent.‘

PGP est un logiciel de chiffrement et de signature de données utilisant la cryptographie asymétrique mais également la cryptographie symétrique. Il est d’une extrême facilité d’emploi. Il est basé sur un processus appelé ‘public-key’ (‘clé publique’). Tout utilisateur dispose d’une clé privée (une série de caractère, idéalement plus de 20, choisis par lui) et d’une clé publique produite par le programme et liée à la première par un algorithme complexe. La clé publique peut être transmise sous forme de ‘pièce jointe’, dans le corps d’un mail, par clé USB, disque, ou n’importe quel support de données. Elle peut être interceptée et connue sans nuire à la qualité du cryptage.

L’utilisateur communique donc sa clé publique à tous ceux qui doivent lui envoyer un message crypté. Ceux-ci cryptent leur mail ou leur document (traitement de texte, image, tableur) qu’ils lui destinent avec sa clé publique (ce qui se fait en deux ‘clics’). Pour décrypter, l’utilisateur tape dans le logiciel sa ‘clé privée’, connue de lui seul. A l’inverse, pour envoyer un message crypté, l’utilisateur doit disposer de la clé publique de son correspondant. Une fois qu’il a crypté le message, seul le correspondant pourra le décrypter avec sa ‘clé privée’. Même le crypteur n’est pas en mesure de décrypter son message.

Dans le cadre du week-end d’étude anti-répression co-organisé av ec le CLEA, le COI et le CAS, le Secours Rouge organise une formation à l’utilisation de PGP. Si vous apportez votre ordinateur portable, vous pourrez vous faire installer PGP et faire des essais de cryptage jusqu’à ce que vous en maîtrisiez la technique (dix minutes suffisent…). Si vous apportez une clé USB, vous pourrez avoir une copie du programme pour l’installer chez vous (version Linux, PC ou Apple).

Dimanche 10h-12h, Espace Morichar, 29-33 Place Morichar 1060 St Gilles, entrée gratuite.

Les Britanniques, pas plus que les Américains, n’ont jusqu’ici de carte d’identité. On a appris au Royaume-Uni la création d’une carte d’identité similaire aux 51.000 d’ores et déjà délivrées aux ressortissants étrangers qui travaillent ou étudient au Royaume-Uni. Elle comporte les noms, prénoms, date de naissance, caractéristiques physiques, empreintes digitales de son titulaire, mais aussi s’il a le droit à des aides de l’Etat, le tout étant sécurisé au moyen d’une puce électronique RFiD (sans contact) censée rendre la carte d’identité ‘impiratable’.

Jusqu’alors, la carte d’identité ne devait être obligatoire que pour les seuls immigrés extra-européens, et les salariés des aéroports. Face aux protestations des syndicats, seuls les étrangers devront finalement en être dotés. Mais le gouvernement a déployé une stratégie pour pousser les Britanniques à demander la nouvelle ID (en présentant celle-ci comme nécessaire pour les déplacement à l’étranger). Dès 2012, les volontaires obtiendront la carte d’identité biométrique. Les habitants de l’agglomération de Manchester et le nord-ouest de l’Angleterre pourront le faire dès le début de l’année prochaine. D’ici la fin de l’année, 75.000 cartes devraient ainsi avoir été délivrées. Le coût du projet: 5,4 milliards de livres (6,4 milliards d’euros).

Les informations contenues dans la carte seront conservées dans une base de données, le National Identity Register, répertoriant 50 données personnelles, qu’elles soient biométriques (photo d’identité, empreintes digitales, etc.), administratives (adresse, n° de sécurité sociale, n° de passeport et de permis de conduire), ou autres. Le simple fait de ne pas notifier un changement d’adresse pourra valoir aux contrevenants une amende de 1000 livres (1180 euros).

Adam Laurie est une figure du monde de la sécurité informatique, et donc des hackers, mais aussi la bête noire de ceux qui veulent faire rimer papiers d’identité sécurisés et puces électroniques RFiD (sans contact). En 2006, il avait mis 48 heures à lire (et donc à ‘pirater’) les données contenues dans la puce RFiD ‘sécurisée’ du passeport électronique britannique. En 2007, il avait mis 4 heures… Il vient de mettre 12 minutes seulement à pirater la future carte d’identité britannique. Muni de son téléphone mobile et d’un ordinateur portable, Adam Laurie a d’abord cracké l’algorithme de sécurité de la puce RFiD ‘sécurisée’, copié toutes les données qu’elle contenait, avant de cloner la carte d’identité en… 12 minutes. Petit détail: il a aussi réussi à modifier toutes les données de la carte clonée: nom, caractéristiques physiques, empreintes digitales, droits aux prestations sociales… Afin de signer son exploit, il a ajouté, à l’intention des autorités, cette petite dédicace: Je suis un terroriste. Tirez à vue.

Rappelons qu’à la différence du nouveau passeport belge, la carte d’identité électronique belge ne contient pas de puce RFiD. Il s’agit d’une carte à puce à insérer dans un lecteur relié à un PC. Les données enregistrées sur la carte sont les données habituelles d’identification (nom, prénoms, date et lieu de naissance, nationalité de la personne), mais également un historique des résidences de la personne, le numéro de la carte, le numéro d’identification du Registre National de la population, la commune d’émission, le type de carte, la langue, la date de délivrance et la date d’expiration de la carte. La carte pourra à terme intégrer des données biométriques et permettre l’authentification à distance pour des échanges administratifs et commerciaux, mais tel n’est pas le cas à l’heure actuelle.

La réglementation prévoit que chaque titulaire d’une carte d’identité électronique peut avoir accès et consulter à tout moment les données enregistrées sur sa carte auprès de la commune dans laquelle il est inscrit aux registres de la population. Chaque titulaire d’une carte dont les certificats de signature et d’identité sont activés peut également consulter à tout moment les informations le concernant qui figurent au Registre National des personnes physiques. Les personnes concernées pourront, à n’importe quel moment, via le portail fédéral, prendre connaissance de leurs dossier, y compris afin de savoir qui a consulté leurs données, à quel moment et pourquoi, suivre le traitement de leurs dossier, et modifier elles-mêmes certaines données. Hors obligation légale ou réglementaire, la consultation des données d’identification qui figurent sur la carte d’identité électronique ne peut être effectuée qu’avec l’autorisation expresse de son détenteur.

Voir le site des opposants à la nouvelle carte d’identité britannique

La société Taser a annoncé hier lundi le lancement d’une nouvelle version de son pistolet à impulsion électrique controversé, capable désormais de tirer à trois reprises sans devoir être rechargé. Le Taser X3 ‘améliorera l’efficacité et la sécurité par rapport aux précédentes générations de Taser‘, a assuré dans un communiqué Rick Smith, directeur général de Taser International, une compagnie basée dans l’Arizona (sud-ouest). ‘C’est l’arme manuelle la plus sophistiquée jamais fabriquée‘, a-t-il ajouté, précisant que le pistolet peut enregistrer davantage d’informations que le modèle antérieur, le Taser X26, lancé en 2003 et largement utilisé par les services de police, aux Etats-Unis et en Europe. Plusieurs cas de décès après un tir de Taser ont été enregistrés notamment aux Etats-Unis.

Les débats et analyses suscités par la loi Loppsi en France recèlent parfois d’agréables surprises. L’usage de spywares, exploits Zero Day, rootkits et autres outils d’eavesdroping par la police risque de voir se généraliser les contre-mesures les plus pointues. Les premières opérations de ‘dissuasion’ d’Hadopi pourront, par exemple, servir à établir des métriques instructives quant à la généralisation des pratiques de chiffrement systématique: stockage, communications mail, transmissions de fichiers. Et si un public d’adolescents se met à crypter en PGP, à chatter en VPN et à P2Piser en stégano, on peut aisément imaginer que les véritables réseaux illégaux en viendront à employer des techniques un peu plus efficaces. Les services de police seront-ils encore en mesure de développer un ‘ver Loppsi’ aussi discret qu’efficace? Et quand bien même cela serait possible, cette généralisation de l’usage des techniques de chiffrement aurait pour résultat l’occultation de quasiment toutes les communications, et pour conséquence une intensification des actions policières sur l’ensemble de la population internaute. Tant que les usagers du Net ne subissent pas la pression d’une suspicion ambiante, ils ne cherchent pas systématiquement à préserver leurs données avec des moyens disproportionnés. En stigmatisant la ‘petite délinquance’ du téléchargement avec des moyens disproportionnés, Hadopi pousse les téléchargeurs et surtout les non-téléchargeurs (qui sont, aux termes de cette loi, responsables techniques et pénaux de leurs installations) à renforcer leurs protections… et donc à noyer les services d’écoutes sous un déluge de bruit. Il y avait un ‘avant Hadopi’ où l’on pouvait distinguer les communications protégées des entreprises, des services d’Etat (aisément identifiables) et… les autres, suspects par nature. Il y aura un ‘après Hadopi’, où la confusion provoquée par la surprotection des informations interdira toute discrimination des flux à surveiller, et renforcera ainsi le camouflage des réseaux illégaux. De là à en tirer la conclusion paradoxale qui consiste à dire qu’Hadopi limite potentiellement l’efficacité de la Loppsi et favorise le développement des réseaux illégaux…

Rod A. Beckstrom vient d’être nommé Président de l’Icann (Internet Corporation for Assigned Names and Numbers), principal organisme de gestion et de régulation d’Internet et notamment des grands ‘top level domains’, ou suffixes des adresses Internet. Beckstrom était précédemment cyber-patron du Department for Homeland Security, le DHS américain, puis directeur du National Cyber Security Center. On est très loin des premiers gourous universitaires qui présidaient aux destinées de l’Icann dans les années 80.

Voici un an que la compagnie israélienne Camero a mis au point le Xaver (400 ou 800), une caméra portable, qui grâce à des signaux infrarouges permet de regarder à travers des murs épais, y compris du béton armé (mais pas à travers une paroi de métal telle celle d’un containeur de transport maritime). La caméra envoie des signaux radars à très haute fréquence, ce qui permet de voir en temps réel ce qui se passe à travers un mur et tout ceci en 3D. L’appareil visionne des images 3D issues d’un radar UWB (ultrawide band ou ondes ultra longues) breveté. Le terminal portatif léger génère des informations en 3 dimensions d’objets et de formes vivantes à travers diverses formes d’obstacles solides, tels que des murs, des toitures, etc. La portée actuelle de Xaver est de 25 mètres et on prédit une portée de 300 mètres d’ici quelques années. L’appareil a depuis été produit en série et acheté par plusieurs services de sécurité parmi lesquels ceux du Canada.

Le Xaver

Vidéo de démonstration de l’appareil (version 800)

Pour en savoir plus

Le 31 octobre 2008, Michèle Alliot-Marie, ministre de l’Intérieur, remettait en mains propres à un habitant de l’Oise le premier passeport nouvelle génération. L’Etat français s’était engagé en avril de la même année, par décret, à délivrer où qu’on se trouve sur le territoire, une pièce d’identité de ce type ‘à partir du 28 juin 2009‘. Il s’agit de transcrire dans la loi française une directive européenne de 2004.

Sauf que la biométrie a ses adversaires, et que ces derniers reprochent à Paris d’avoir fait du zèle. Notamment en exigeant huit empreintes au lieu de seulement deux, comme le prévoit la directive, et en centralisant les données sur quinze ans. La Commission nationale de l’informatique et des libertés (Cnil) avait d’ailleurs donné un avis défaborable il y a un an. Le 5 juin 2008, elle écrivait: ‘Les finalités de simplification administrative et de lutte contre la fraude documentaire ne sauraient à elles seules justifier la création d’un tel fichier, dès lors qu’aucune mesure particulière n’est prévue pour s’assurer de l’authenticité des pièces d’état civil fournies. Ainsi, rien n’interdira de se présenter sous une fausse identité ou une identité usurpée pour obtenir un passeport. La Commission a donc estimé que la conservation dans un fichier central des photographies et des empreintes digitales était disproportionnée au regard des finalités du fichier‘.

Six mois après l’apparition du premier passeport biométrique, la généralisation de cette pièce d’identité en France a du plomb dans l’aile. De plus en plus de maires résistent au gouvernement et aux préfectures. Pas toujours par idéologie, mais… parce que la mesure plomberait le gagne-pain des artisans-photographes de leur ville. Plainte à l’échelle européenne et recours devant le Conseil d’Etat… L’API, association très critique, bataille ainsi contre la permission faites aux municipalités de faire les photos en mairie. Sur les 2.000 mairies où le dispositif était censé entrer en vigueur de façon anticipée, un tiers est déjà réfractaire. Ce 19 mai, l’API affirme ainsi totaliser 650 courriers d’édiles qui refusent de faire les photos en mairie.

En Suisse, le vote sur le passeport biométrique a constitué l’un des scrutins les plus serrés de l’histoire du pays. C’est par 5.504 voix d’écart seulement (pour 1,9 million de votants) que le peuple a dit oui dimanche à un nouveau passeport à puce. Selon les premiers chiffres concernant les votes des suisses de l’étranger a manifestement participé à faire pencher la balance.

Les passeports biométriques ont vu le jour en Belgique vers la fin de l’année 2004, faisant de la Belgique l’un des pays précurseurs dans le domaine. Ces passeports identifiables à leur logo sur la face avant de la couverture possèdent une puce électronique (située dans la couverture arrière du passeport) qui contient des informations personnelles sur le porteu : photo d’identité, signature manuscrite, nom, prénoms, numéro de passeport, sexe, date de naissance, lieu de naissance, lieu d’émission du document, autorité ayant délivré le document, dates d’émission et d’expiration. Cette puce est interrogeable à distance (environ 10cm avec un lecteur disponible dans le commerce) mais le standard émis par l’Organisation de l’Aviation Civile Internationale (OACI) prévoit l’utilisation de moyens cryptographiques pour protéger l’accès à distance à ces informations. Il faut selon le standard lire les deux lignes codées (Machine Readable Zone) en bas de la première page du passeport pour obtenir l’accès au contenu de la puce électronique. Le but est d’empêcher la lecture des données personnelles à quiconque ne possédant pas le passeport entre les mains.

On se souviendra qu’en Belgique, une équipe de recherche en cryptographie de l’Université Catholique de Louvain a mis au jour de graves faiblesses dans le passeport biométrique belge, le seul type de passeport distribué depuis fin 2004 en Belgique. Les travaux menés à Louvain-la-Neuve durant le mois de mai 2007 ont montré que les passeports belges émis entre fin 2004 et juillet 2006 ne possèdent aucun mécanisme de sécurité pour protéger les informations personnelles contenues dans la puce électronique du passeport. Quant à ceux émis après juillet 2006, ils bénéficient de mécanismes de sécurité, mais ceux-ci se révèlent insuffisants. Cela signifie que quiconque muni d’un petit dispositif électronique de lecture, facile et peu coûteux à se procurer, peut voler le contenu de passeports alors qu’ils sont encore dans la poche de leur victime et, donc, à l’insu de celle-ci. Photo d’identité et signature manuscrite font partie des informations menacées.

Pour en savoir plus sur les défauts des passeports belges