Une équipe de recherche au Canada, a récemment mis en évidence une faille de sécurité qui permet de suivre les déplacements de certains objets — et par extension, des personnes qui les portent — à travers un mur. L’appareil, baptisé Wi-Peep, est un petit circuit imprimé muni d’une interface Wi-Fi et de quelques autres capteurs tout ce qu’il ya de plus courants (l’ensemble du matériel nécessaire coûte moins de 20 $ et un programmeur avec un minimum d’expérience peut en concevoir le logiciel).  Lorsqu’un réseau est contacté, l’appareil en question ne peut s’y connecter que s’il est authentifié — si l’utilisateur dispose du mot de passe. Dans le cas contraire, le réseau ne reste pas complètement muet. Il renvoie quelques bribes de données en retour, notamment pour indiquer que l’authentification a échoué.

C’est ce comportement, surnommé « politesse du Wi-Fi », que les chercheurs ont su exploiter. Ils ont monté leur Wi-Peep sur un petit drone qui se déplace le long de la façade d’un bâtiment en bombardant tous les points d’accès du réseau de requêtes. Comme il ne dispose pas du mot de passe, il reçoit donc des  réponses négatives. Il mesure alors le temps de réponse associé à chaque signal collecté à partir d’un endroit différent et procéde à de la triangulation. Cela lui permet de déterminer la position physique de chacun de ces appareils avec une marge d’erreur d’un mètre, même à travers un mur opaque et épais. Cela pourrait permettre à des personnes d’ausculter un domicile à la recherche de TV connectées ou d’ordinateurs portables, et/ou de repérer certains systèmes de surveillance et d’alerte. Un tel système peut suivre des personnes physiques à la trace en suivant leurs smartphones ou leurs montres connectées. L’équipe de recherche a proposé une contre-mesure: les fabricants de puces Wi-Fi pourraient introduire des variations aléatoires du temps de réponse, ce qui diminuerait grandement la précision de la triangulation. Reste à voir si les fabricants tiendront compte de ces travaux lors du déploiement du Wi-Fi7, qui devrait commencer en 2024.

Un homme interpellé en possession de cannabis a refusé, pendant sa garde à vue, de donner les mots de passe de ses deux téléphones portables. Il est renvoyé en correctionnelle pour cette affaire, mais aussi pour avoir refusé de remettre la « convention secrète de déchiffrement d’un moyen de cryptologie » susceptible d’avoir été utilisée pour commettre l’infraction, un délit passible de trois ans d’emprisonnement. Le tribunal correctionnel de Lille, puis la cour d’appel de Douai l’avaient relaxé de cette dernière infraction, considérant que le code n’était pas une « convention de déchiffrement », car il ne servait pas à décrypter des données mais uniquement à débloquer un écran d’accueil. Saisie une première fois, la chambre criminelle de la Cour de cassation censure en 2020 la décision de la cour d’appel, estimant qu’elle a eu un raisonnement « général et erroné ». L’affaire est renvoyée à la cour d’appel de Douai qui refuse, en 2021, de suivre cette jurisprudence et confirme la décision de relaxe.

Après un pourvoi du parquet général, c’est en assemblée plénière que la Cour de cassation a réexaminé cette question le 14 octobre. La haute juridiction a a statué, lundi 7 novembre que, dès lors qu’un téléphone portable était équipé d’un « moyen de cryptologie », le code de déverrouillage de son écran d’accueil pouvait constituer une « clé de déchiffrement » si « l’activation de ce code a[vait] pour effet de mettre au clair les données cryptées que l’appareil contient ou auxquelles il donne accès ». Son détenteur est donc tenu de donner aux enquêteurs le code de déverrouillage. En cas de refus, le suspect commet l’infraction de « refus de remettre une convention secrète de déchiffrement ».

À l’occasion de la 90e Assemblée générale d’INTERPOL à New Delhi, l’organisation a dévoilé le tout premier métavers spécialement conçu pour les services chargés de l’application de la loi du monde entier. Opérationnel à 100 %, le métavers d’INTERPOL présente de nombreux avantages, notamment s’agissant du télétravail, de la mise en relation, du recueil et de la préservation des éléments de preuve issus de scènes de crime, ou encore de la formation. Dans le cadre d’une démonstration en direct, des experts de la Direction du Renforcement des capacités et de la Formation d’INTERPOL ont dispensé une session de formation sur la vérification des documents de voyage et le contrôle des passagers à l’aide des capacités d’INTERPOL dans une salle de classe du métavers. Les participants ont ensuite été téléportés dans un aéroport, où ils ont pu mettre en pratique leurs nouvelles compétences à un poste-frontière virtuel. Le métavers d’INTERPOL est accessible via l’INTERPOL Secure Cloud. INTERPOL a également annoncé la création d’un Groupe d’experts sur le métavers pour représenter les problématiques des services chargés de l’application de la loi sur la scène mondiale et veiller à ce que ce nouveau monde virtuel soit sécurisé dès la conception. Le Forum économique mondial, qui s’est associé avec INTERPOL, Meta, Microsoft et d’autres acteurs dans le cadre d’une initiative visant à définir et régir le métavers, a alerté sur les principales menaces, telles que la fraude par ingénierie sociale, la mésinformation et… « l’extrémisme violent ».

Les responsables du gouvernement américain, par le biais des services de douane, copient chaque année des données provenant de 10.000 appareils électroniques de voyageurs, smartphones ou tablettes, dans les aéroports et aux frontières des Etats-Unis. La possibilité de copier le contenu des appareils des voyageurs n’est pas nouvelle mais l’expansion rapide de la base de données et la possibilité pour les 2700 agents d’y accéder sans mandat commence à poser problème. Dans les faits, un agent peut accéder à n’importe quel appareil même s’il ne soupçonne pas le voyageur. Il a la possibilité de regarder les listes de contacts, les entrées de calendrier, les messages, les photos et les vidéos. Si les agents soupçonnent le voyageur de poser un problème de sécurité nationale, ils peuvent effectuer une fouille avancée, en connectant le téléphone à un appareil qui copie son contenu. Ces données sont ensuite stockées dans un système de ciblage automatisé, consultable à tout moment. Les données sont conservées pendant 15 ans. Selon les données de l’agence des douanes, environ 37.000 fouilles ont été effectués au cours de la période de 12 mois alors que plus de 179 millions de personnes ont voyagé sur cette période. Les forces de l’ordre doivent persuader un juge d’approuver un mandat de perquisition avant de fouiller les téléphones des Américains. Mais les tribunaux ont depuis longtemps accordé une exception aux autorités frontalières et les autorisent à fouiller des appareils sans mandat ni soupçon d’infraction.

Nous étions une trentaine vendredi 16 septembre au local du Chat Noir à Toulouse pour assister à la projection de « Rien à déclarer » organisée par le Secours Rouge Toulouse. Le film, réalisé par le Secours Rouge de Belgique et le Collectif des Stagiaires de Bruxelles, a reçu un bel accueil. Lors de la discussion suivant la projection, il a été rappelé l’importance de s’armer avec, entre autres, des outils comme celui-ci contre la répression. Comme le rappelle le film, connaître son adversaire permet de ne pas faire l’erreur de le surestimer ou de le sous-estimer. Chacun et chacune a pu partager son ou ses expériences de garde à vue ou d’interrogatoire rendant encore plus concrètes les différentes thématiques abordées dans le film. D’autres sujets ont également été discutés comme le rôle des avocats, des médecins ou tout autre intervenant-e lors d’une garde à vue. Il a été rappelé et démontré que le mot d’ordre « rien à déclarer » face à la police n’était pas une question de morale ou de posture, mais bien la seule voie possible et viable pour notre défense individuelle et collective. Nous remercions encore une fois le Chat Noir pour leur accueil.
Mercredi 28 septembre, une projection de « Rien à déclarer » est organisée à Strasbourg par l’AIM, la BRIF et la CNT-STP 67.  Par ailleurs, n’hésitez pas à nous contacter si vous voulez organiser une projection.

« Rien à déclarer ». Ce sont les seuls mots que nous conseillons de dire à la police lors d’un interrogatoire. Mais la curiosité à l’égard des techniques de l’adversaire est une bonne chose et nous devons naviguer entre deux erreurs classiques face à la répression : la sur-estimer ou la sous-estimer. Comment la police envisage-t-elle les interrogatoires de son côté ? Comment les prépare-t-elle ? Pourquoi y a-t-il un « bon » et un « méchant » flic dans les salles d’interrogatoire ? Ce sont à toutes ces questions que ce petit film répond. À l’aube de nouvelles mobilisations, une chose est sûre : les mois et les années qui arrivent seront remplis de résistances face à l’ordre établi, et donc de répression et de contre-insurrection. Ce film se veut donc être un outil de plus pour les militant·e·s et les collectifs qui s’organisent et se préparent contre la répression.

Projection-débat :
Vendredi 16 septembre (ouverture 18h30, projection 19h)
Au Chat Noir, 33 rue Antoine Puget, 31200 Toulouse

Entrée libre
Grignotages et boissons sur place

L’événement Facebook

Après des semaines de déni, le gouvernement grec a dû reconnaître que les services de Renseignements (l’EYP) ont espionné un eurodéputé, et probablement des journalistes en infectant leurs téléphones avec un logiciel d’espionnage, le Predator. Tout commence le 28 juin dernier, un eurodéputé socialiste soumet alors son téléphone portable au service spécialisé du Parlement européen pour détecter l’éventuelle présence de logiciels illégaux. Dès le premier contrôle, un lien suspect lié à l’outil de surveillance de Predator a été détecté. Predator est commercialisé par la société Cytrox, basée à Skopje, en Macédoine du Nord. Cette start-up a été rachetée en 2019 par un ancien officier israélien spécialisé dans le cyber espionnage, Tal Dilian. Cytrox dispose désormais de bureaux en Israël et en Hongrie. Tal Dilian a intégré Cytrox dans sa galaxie de sociétés qui proposent ses services aux gouvernements, Intellexa. Il vise à concurrencer l’autre groupe israélien, NSO.

Predator utilise les failles de sécurité des smartphones qui utilisent le système IOS (Apple) ou Android (Google). Il suffit que l’utilisateur clique sur un lien envoyé par la messagerie WhatsApp pour que le mouchard s’installe et commence à récolter des données. Cytrox utilise de faux comptes sur les réseaux sociaux et de faux sites pour inciter les cibles de ses clients à cliquer sur un lien contaminé. Selon Meta, plus de 50.000 de ses utilisateurs ont été ciblés par le logiciel espion. Ils ont été avertis individuellement. Le groupe a supprimé quelque 300 comptes Instagram et Facebook créés par Cytrox. Ils étaient utilisés pour obtenir des informations sur les cibles, les approcher et les infecter. Le groupe a également supprimé 1500 comptes qui avaient envoyé des liens contaminés vers des cibles.

Il faut souligner que les pays les plus avancés technologiquement disposent des ressources au sein de l’appareil d’État pour développer leur propre logiciel espion sur mesure, sans passer par une société commerciale. Pegasus ou Predator peuvent être vus comme des solutions proposées aux États qui ne disposent pas des fonds ou de l’expertise nécessaire à ce développement interne d’outils de surveillance.

Si une personne de l’État d’Australie occidentale contracte le covid-19, elle doit rester en quarantaine à domicile pendant sept jours, tout comme ses contacts proches. La police vérifie leur localisation en envoyant périodiquement des SMS et exige l’envoi d’un selfie dans les 15 minutes. La technologie de reconnaissance faciale et le suivi GPS sont utilisés pour déterminer si la personne qui a pris le selfie est effectivement chez elle. Si cela n’est pas fait, la police frappe rapidement à votre porte avec une amende potentiellement lourde. L’application G2G, créée par la start-up technologique locale Genvis, a été utilisée par plus de 150 000 personnes dans l’État depuis son lancement en septembre 2020. La même technologie, fournie par des entreprises différentes, a été testée dans les États de Nouvelle-Galles du Sud, de Victoria, d’Australie-Méridionale et de Tasmanie.

D’autre part, le ministère australien de l’Intérieur a commencé à constituer une base de données nationale de reconnaissance faciale en 2016 – et semble prêt à la mettre en œuvre. En janvier, un appel d’offres a été lancé pour trouver une entreprise chargée de « construire et déployer » les données. L’Australie se prépare à utiliser la reconnaissance faciale pour permettre l’accès aux services gouvernementaux. Et les agences de sécurité publique pressent pour avoir accès à ces outils. La plupart des gouvernements des États ont fourni les permis de conduire de leurs résidents à la base de données centrale, qui stocke également les photos des visas et des passeports. En 2019, un projet de loi a été proposé pour réglementer la technologie de reconnaissance faciale – mis au placard après qu’un examen par une commission parlementaire ait constaté qu’elle n’offrait pas de protections adéquates de la vie privée.

Cops using G2G info.

A la mi-juillet, la police métropolitaine de Londres (MET) a déployé un système de reconnaissance faciale en direct (LFR) à Oxford Circus. Le système LFR monté sur un véhicule a été installé à l’extérieur de la station de métro et a scanné les données biométriques d’environ 15 600 personnes. Sur ces 15 600 personnes, quatre étaient des « vraies alertes », et trois personnes ont été arrêtées par la suite. La police a déclaré dans un communiqué : « Cette technologie contribue à la sécurité des Londoniens et sera utilisée pour retrouver les personnes recherchées pour des infractions violentes et graves, ainsi que celles faisant l’objet d’un mandat d’arrêt non exécuté émis par le tribunal ». L »utilisation de la LFR est depuis longtemps controversée, et son utilisation par les forces de police britanniques a déjà été jugée illégale.

La société conceptrice de sonnettes intelligentes Ring, propriété d’Amazon, s’est associée à plus de 2 000 agences de police et à près de 500 services de pompiers, soit un chiffre multiplié par cinq par rapport à 2009. Toutes ces entités sont à même de demander des données de surveillance à Amazon, qui se garde le droit d’y répondre favorablement selon la situation (voir notre article). Mais dans ce cadre, Ring a fourni des images de surveillance aux forces de l’ordre, sans mandat ni consentement des propriétaires desdites sonnettes, à onze reprises au cours de l’année 2022. Par ailleurs, Ring a refusé de s’engager à ce que les sonnettes intelligentes n’exploitent jamais la technologie de reconnaissance vocale intégrée aux produits et a refusé l’arrêt automatique de l’enregistrement audio par défaut lorsqu’une séquence vidéo est enregistrée.