Secours Rouge

Abattre le capitalisme, construire la solidarité.

WhatsApp, l’une des applications de messagerie les plus populaires au monde, propriété de Facebook depuis 2014, a annoncé, mardi 29 octobre, avoir déposé plainte contre NSO Group, une société israélienne spécialisée dans les logiciels d’espionnage (voir notre précédent article sur NSO). WhatsApp l’accuse d’avoir contribué au piratage, à des fins d’espionnage, d’une centaine d’utilisateurs de son application.

WhatsApp avait admis en mai avoir été infectée par un logiciel espion donnant accès au contenu des smartphones, et accuse NSO d’avoir ciblé “100 défenseurs des droits humains, journalistes et autres membres de la société civile dans le monde”. En tout, 1.400 appareils ont été infectés du 29 avril au 10 mai, dans différents pays dont le royaume de Bahreïn, les Emirats arabes unis et le Mexique, d’après la plainte déposée devant une cour fédérale. Le logiciel espion pouvait être installé à l’insu de l’utilisateur de l’application grâce à un appel vocal infecté par un pirate : le logiciel espion était installé même si l’utilisateur ne décrochait pas. Une fois installé, ce logiciel permettait de collecter la géolocalisation de sa cible, de lire ses messages et e-mails, et de déclencher à son insu le micro et la caméra de son téléphone. WhatsApp avait annoncé avoir corrigé cette faille le 13 mai.

Le siège de NSO Group

 

 

Il y a quelques jours, nous relayions sur notre site que les iPhones (régulièrement promus par Apple comme bien plus sécurisés que leurs concurrents) avaient été ciblés par des attaques massives indiscriminées durant plus de deux ans, même s’ils étaient en ordre de mises à jour et de patches de sécurité. Ce que le “Project Zero” (la cellule de sécurité de Google qui enquête sur ce genre de failles) n’avait pas révélé en plus de son analyse, ce sont les sites utilisés par les attaquants, ainsi que les cibles. Le magazine TechCrunch a ainsi révélé le 1er septembre que selon ses sources, l’attaque ciblait la communauté Ouïghour de la région du Xinjiang, en Chine, une info qui désigne un suspect évident comme commanditaire de l’attaque. Autre info que Google s’est bien gardée de communiquer: les pages infectées comportaient également des codes malicieux ciblant les appareils sous Windows et sous Android, sans qu’on en sache plus sur l’étendue, l’intensité et le succès de ces attaques là. Ces infections ont fini par toucher des utilisateurs en-dehors de la Chine car les sites infectés étaient indexés par Google, c’est ainsi que le FBI a demandé à Google de retirer les résultats de son moteur de recherche, et finalement comme cela que Google a lui-même enquêté sur ces attaques via le “Project Zero”.

Google, Apple, le FBI, ainsi que le Consulat de Chine à New-York ont tous refusé ” de confirmer ou d’infirmer” la moindre de ces informations. Le rapport technique détaillé des attaques peut-être consulté (en anglais) sur le blog du “Project Zero”.

Les 5 chaines d'escalade de privilège découvertes

Le premier chien de police cloné de Chine, Kunxun, un chien-loup âgé de 8 mois, a passé l’évaluation de chien policier le 22 août et est maintenant prêt à travailler. Début mars, Kunxun est arrivé à la base pour chiens policiers de Kunming, capitale de la province du Yunnan (sud-ouest de la Chine), où il a participé à un programme de formation professionnelle pour chiens policiers. Né le 19 décembre 2018, Kunxun a été cloné de Huahuangma, un chien-loup de Kunming âgé de sept ans, en service au poste de police de Pu’er, dans la province du Yunnan.

Kunxun, le chien-loup cloné

Facebook a payé des centaines de sous-traitants pour transcrire des extraits sonores de conversations de ses usagers, a révélé mardi l’agence Bloomberg. Facebook l’a finalement reconnu mais affirme avoir mis fin à cette pratique. «Tout comme Apple ou Google, nous avons gelé la pratique d’écoute des enregistrements sonores par des humains la semaine dernière». Facebook explique avoir eu l’autorisation de procéder à la transcription de leur conversation par des usagers de son application Messenger. Les sous-traitants vérifiaient si l’intelligence artificielle du réseau interprétait correctement les messages qui avaient été rendus anonymes. Amazon, Apple et Google, qui vendent tous des assistants vocaux, avaient déjà reconnu faire de même pour améliorer les réponses de leurs applications. Apple et Google ont indiqué avoir abandonné la pratique ces dernières semaines. Facebook, qui vient tout juste de payer une amende record de 5 milliards de dollars aux autorités fédérales américaines pour un mauvais usage des données privées de ses usagers, a longtemps nié utiliser des enregistrements audio pour pouvoir mieux cibler ses publicités ou rendre ses pages plus attractives. Le fondateur et PDG du géant des réseaux sociaux avait rejeté l’idée même lors d’une audition devant le Congrès en avril 2018. «Vous parlez d’une théorie du complot qui circule affirmant que nous écoutons ce qui se passe dans votre micro et que nous l’utilisons pour de la pub», avait répondu le milliardaire à une question du sénateur Gary Peters. «Nous ne faisons pas ça».Facebook

La société israélienne Cellebrite a vendu à la police russe la technologie permettant de pirater le téléphone sur lequel le mot de passe est défini. Actuellement en Russie, des manifestations sont organisées contre la fraude électorale à Moscou et l’interdiction des candidats de l’opposition.  Lors de ces actions, les téléphones portables sont largement utilisés. Grâce à cette technologie, la police peut pénétrer dans le téléphone des manifestants arrêtés en masse (voir notre article), accéder aux réseaux sociaux et lire tous les messages dans des messageries instantanées. La société Cellebrite a déclaré à ce propos : “La société développe une technologie permettant aux forces de l’ordre de lutter contre le terrorisme et les crimes graves. La société vend uniquement à des entités juridiques autorisées et applique les lois de différents pays.”  Une des sociétés israéliennes de cybersécurité avait déjà aidé les autorités saoudiennes à surveiller le téléphone du journaliste d’opposition Khashoggi, assassiné par les services saoudiens (voir notre article).

Le dispositif de Cellebrite

La biométrie comportementale est une technologique de cyber-sécurité et de cyber-flicage qui identifie les personnes par la façon dont ils font ce qu’ils font – plutôt que par qui ils sont (reconnaissance faciale, empreinte digitale…), ce qu’ils savent (questions secrètes, mots de passe) ou ce qu’ils ont pour s’identifier (code éphémère envoyé par SMS…). Chaque personne a une façon qui lui est propre de déplacer une souris, taper sur un clavier ou sur un téléphone, et la biométrie comportementale est capable de mesure et d’analyser ces schémas.

La société israélienne BioCatch a développé un logiciel qui vérifie 500 bio-comportements et paramètres cognitifs et physiologiques pour créer des profils d’utilisateurs uniques et une présence web personnalisée pour chaque utilisateur de sites bancaires et commerçants. Elle vend ses produits de détection aux banques et à ses autres clients dans le monde entier. Elle développe maintenant des outils capables de détecter quand une personne effectue des opérations anormales et anxiogènes par l’étude de centaines de ces petits signaux comportementaux très subtils. Chaque signal est un indicateur très faible mais leur combinaison est opérante.

 

Schémas de scrolling sur tablette

La police de Londres (Metropolitan Police Service ou The Met) a investi dans le système de reconnaissance faciale Neoface, acheté directement à la société japonaise NEC et soutient depuis l’intégration de sa technologie de reconnaissance faciale que sa marge d’erreur est quasiment négligeable (une seule erreur sur 1000 cas). Mais un rapport indépendant fourni par des chercheurs de l’Université de l’Essex à Sky News, établit que dans 81 % des cas, la technologie identifie des personnes innocentes comme étant des suspects alors qu’ils ne figurent sur aucune liste de personnes recherchées. Il apparait que la police du Met défendait son outil en utilisant une méthode très “particulière”: elle mesure l’exactitude en comparant les correspondances réussies et non les correspondances réussies avec le nombre total de visages traités…

Signalisation de la reconnaissance faciale expérimentale à Londres

Signalisation de la reconnaissance faciale expérimentale à Londres

Le Canada et les Pays-Bas ont lancé mercredi un projet pilote permettant aux voyageurs de ne pas présenter leur passeport. A la place, ils doivent posséder une application sur leur téléphone, qui contient l’ensemble de leurs données personnelles. Ce test, baptisé Know Traveller Digital Identity (“Identité connue du voyageur”, en français), est dirigé par le Forum Économique Mondial (FEM).

Sur les liaisons Montréal-Amsterdam et Toronto-Amsterdam, les passagers peuvent ainsi stocker sur leurs téléphones l’ensemble des informations personnelles contenues sur leur passeport. Comment ces données sensibles sont-elles protégées. Il s’agit d’un registre décentralisé, public mais surtout infalsifiable, utilisant la technologie blockchain et permettant de garantir la fiabilité des informations. L’identité des passagers sera confirmée par reconnaissance faciale à leur arrivée dans chaque aéroport.

Contrôle à l'aéroport de Montréal

Contrôle à l’aéroport de Montréal

Des propositions demandant une interdiction de vendre sa technologie de reconnaissance faciale aux forces de l’ordre, ainsi qu’une étude indépendante sur les usages de la technologie Rekognition, ont été rejetées lors de l’assemblée générale d’Amazon. Ces motions présentées par des actionnaires inquiets des menaces possibles pour la vie privée et les droits civiques liées à cette technologie. Ils faisaient notamment valoir que plusieurs services de police testent ce système qu’Amazon aurait proposé à la police aux frontières, susceptible de s’en servir pour surveiller les migrants.

L’an dernier, dans une lettre ouverte, plus de 30 groupes militants dirigés par l’American Civil Liberties Union (ACLU) avaient exhorté Amazon à cesser de fournir sa technologie de reconnaissance faciale à la police. Des travailleurs d’Amazon avaient fait la même demande (voir notre article)Des enquêtes ont montré que de tels programmes sont sujets à erreur, en particulier lorsqu’il s’agit d’identifier des personnes non blanches. Les militants arguent en outre du fait que ces systèmes permettent de constituer une importante base de données d’informations biométriques qui peuvent être utilisées de façon abusive.

San Francisco est devenue la semaine dernière la première ville des Etats-Unis à interdire l’utilisation de la technologie de reconnaissance faciale par la police et d’autres agences gouvernementales.

Les performances de Rekognition

Les performances de Rekognition