Un groupe d’ONG, a annoncé avoir saisi les autorités de protection de données de 5 pays Européens (Royaume-Uni, Italie, France, Grèce, Autriche) ce jeudi contre la start-up américaine Clearview AI (précédents articles), qui a constitué une immense base de données de visages (Plus de 3 milliards d’images en 2020) sur base de photos téléchargées automatiquement depuis les réseaux sociaux, des blogs personnels, des sites d’entreprise, etc. Clearview agit hors de tout cadre légal mais met pourtant à disposition des services de police et des institutions financières un service qui leur permet de rechercher des correspondances dans cette immense base de données.

Clearview avait suspendu il y a quelques mois son service au Canada, alors que l’autorité locale de protection des données l’accusait d’exercer une surveillance de masse illégale.

Depuis le 28 avril, la Colombie est secouée par d’importantes manifestations contre le gouvernement, marquées par une sévère répression policière. Au moins 42 personnes ont été tuées depuis cette date, probablement 51. Depuis début mai, la police colombienne a utilisé des lance-grenades Venom à plusieurs reprises pour réprimer des manifestations, dans différentes villes du pays. Plusieurs vidéos diffusées sur les réseaux sociaux montrent que cette arme a été employée de façon dangereuse par les forces de l’ordre, en tir tendu à courte distance, et non en tir parabolique prévu. Le Venom est fabriqué par Combined Systems Inc. (CSI), une entreprise américaine qui fournit notamment Israël. Il est composé de trois compartiments, plus ou moins inclinés, pouvant contenir dix grenades chacun. Elles sont de deux types : grenades fumigènes/lacrymogènes ou assourdissantes qui éclatent en sous-munitions dans l’air. Une grenade de Venom serait à l’origine du décès d’un jeune manifestant tué à Popayán le 14 mai.

L’entreprise française Idemia spécialisée dans l’identité numérique et Interpol vont collaborer pour la mise en place d’un nouveau système « multi-biométrique »  baptisé MBIS. MBIS sera une sorte de moteur de recherche biométrique dédié aux fonctionnaires de police des 194 Etats membre d’Interpol. Chaque jour, jusqu’à un million de recherches d’empreintes digitales, palmaires et de reconnaissance faciale pourront être effectuées et ainsi identifier les potentiels suspects grâce à des comparaisons. MBIS facilitera également le travail des policiers grâce au stockage de photos de preuves et des renseignements sur les liens entre une affaire en cours et une personne ou entre plusieurs affaires. Il inclut aussi un ensemble d’outils d’amélioration et de traitement photo et vidéo. Il permet par exemple le traitement des minuties, qui désignent les particularités des sillons de la pulpe des mains.

Idemia et Interpol collaborent depuis 20 ans. Le premier contrat remonte à l’année 2000. Il avait pour objectif de faciliter la coopération entre les forces de police nationales grâce à un système automatisé d’identification biométrique. Il offrait une base de données commune d’empreintes digitales de suspects dans des affaires criminelles. Puis, en 2016, Interpol s’est équipé d’un logiciel de reconnaissance faciale. L’entreprise implantée à Courbevoie travaille également avec l’Union européenne. Il a été choisi, aux côtés de Sopra Steria, pour mettre en place une base de données biométriques dédiée au contrôle des frontières de l’espace Schengen.

Nous y avions consacré un article la semaine passée : Moxie Marlinspike, développeur de Signal a démontré il y a quelques jours qu’il était d’une facilité déconcertante de pirater les terminaux Cellebrite, utilisés par les polices du monde entier pour scanner les smartphones de « suspects », pour peu que ceux-ci soient déverrouillés.

Suite à ce hack, Cellebrite annonçait hier que l’un des deux engins proposés aux forces de l’ordre (Physical Analyzer, l’autre étant l’UFED) ne supporterait plus le scan des iphones. Le même jour un avocat du Maryland aux USA demandait la révision de la condamnation de son client : « Par essence, la sécurité interne des appareils Cellebrite est si faible que n’importe quel appareil examiné peut à son tour corrompre le terminal Cellebrite et affecter tous les rapports passés et futurs. Les vulnérabilités pourraient donner des arguments aux avocats afin de contester l’intégrité des rapports légaux générés par le programme Cellebrite ».

Côté Signal, et sans lien avec ce premier sujet, l’application de messagerie a publié pour la seconde fois de son existence une demande légale de données faite par la justice américaine, à laquelle les seules données ayant pû être fournies sont la date de création du compte et la date du dernier message, c’est à dire les seules données que Signal possède sur n’importe lequel de ses utilisateurs. La demande ainsi que la réponse de Signal peuvent être consultés ici.

Ce qu’un policier pourrait lire la prochaine fois qu’il scanne un téléphone.

Le 10 décembre dernier, l’entreprise israélienne Cellebrite annonçait avoir cassé la sécurité de l’application de communication chiffrée Signal. En fait, Cellebrite n’a rien cassé, leur outil permet aux policiers de télécharger et gérer les données de Signal (et de n’importe quelle application), depuis un téléphone dont ils auraient déjà le mot de passe, ou qui serait déverrouillé. Le matériel Cellebrite est utilisé par de nombreuses polices, il équipe d’ailleurs 500 commissariats en France.

Dans un billet publié sur le blog de Signal hier soir, Moxie Marlinspike (fondateur et développeur de Signal) explique être entré en possession d’un kit Cellebrite habituellement réservé aux forces de police et y avoir trouvé une bonne quantités d’énormes vulnérabilités. A commencer par le fonctionnement le plus basique du logiciel de Cellebrite : siphonner des données indiscriminées venues d’un engin inconnu.

« Il est possible d’éxécuter du code arbitraire sur la machine Cellebrite, tout simplement en incluant un fichier spécialement formaté mais par ailleurs inoffensif dans n’importe quelle application d’un appareil qui sera ensuite branché dans Cellebrite et scanné. Il n’y a virtuellement aucune limite au code qui peut ainsi être exécuté (…) il peut modifier non seulement le rapport généré par Cellebrite, mais également tous les rapports passés et futurs de tous les scans qui ont eu lieu et qui auront lieu sur l’engin de façon arbitraire (en insérant ou supprimant du texte, des e-mails, photos, contacts, fichiers, etc.) sans laisser aucune trace de cette altération. Cela pourrait même être fait de façon aléatoire et remettrait alors sérieusement l’intégrité des données fournies par Cellebrite. (…) Jusqu’à ce que Cellebrite ait réparé toutes les vulnérabilités de son logiciel, le seul remêde qu’aient ses clients est de ne rien scanner. » Plusieurs autres vulnérabilités ont été trouvées, et deux DLL d’Apple probablement utilisées sans licence d’utilisation pour extraire les données des iphones.

Dans le dernier paragraphe du billet, Signal sous-entend très lourdement que de tels fichiers piégés seront intégrés dans l’application de façon aléatoire pour certains utilisateurs dans le futur.

Il y a quelques jours, la Commission européenne s’est réunie dans le cadre du projet de réglementation visant à définir une approche européenne de l’intelligence artificielle. L’exécutif européen propose d’interdire les technologies d’IA destinée à “une surveillance indiscriminée appliquée de manière généralisée à toutes les personnes physiques sans différenciation”. Un texte préliminaire, qui devrait être présenté la semaine prochaine, précise qu’il est principalement question de rendre illégales les technologies visant à “la surveillance et le suivi des personnes physiques dans des environnements numériques ou physiques, ainsi que l’agrégation et l’analyse automatisées des données personnelles provenant de diverses sources”.

La Commission prévoit également l’interdiction des technologies d’IA susceptibles d’aller à l’encontre des droits de l’Homme, et notamment les IA prédictives, capables de cibler des minorités. Si le texte est adopté, la violation de ces interdictions pourrait coûter aux entreprises 4% de leur chiffre d’affaires annuel mondial. Cependant, cette interdiction ne s’appliquerait pas aux gouvernements et aux autorités publiques européennes qui pourraient utiliser l’IA “afin de préserver la sécurité publique”…

Dans une mise à jour de la version beta de l’application, publiée ce mardi soir et disponible pour les utilisateurs au Royaume-Uni, l’application Signal permet à présent d’envoyer une crypto-monnaie, le « Mobilecoin », développé depuis 2017, notamment par Moxie Marlinspike, le fondateur et développeur principal de Signal. Hier soir également, Signal mettait à jour les sources de Signal-Server, qui n’avaient pas été publiées depuis plusieurs mois. On devine maintenant que c’était la préparation de cette nouvelle fonctionnalité qui a justifié pour Signal de ne pas publier les sources du côté serveur. Notons que les sources des applications Android/iOS suffisent heureusement à garantir la sécurité des messages.

« Signal Payments » présente le Mobilecoin comme la première crypto-monnaie supportée par la plateforme (avant d’autres ?). La décision peut surprendre puisque des cryptomonnaies bien établies, et très sécurisées existent depuis plusieurs années, notamment le Monero. Mobilecoin est d’ailleurs largement inspiré du Monero (ainsi que du protocole de consensus Stellar) mais comporte des différences majeures avec celui-ci : le mobilecoin est « pré-miné », il y a donc 250 millions de pièces (tokens) existantes et il n’y en aura jamais plus. Ce pré-minage pose la question de savoir qui détient les pièces et comment elles ont été/seront distribuées. Signal défend l’utilisation du Mobilecoin car c’est une cryptomonnaie pensée pour l’utilisation sur des smartphones, qui nécéssite peu de puissance de calcul, aux transactions très rapides (quelques secondes). Mobilecoin est également critiquée pour sa dépence à la technologie « d’enclave sécurisée » SGX d’Intel, réputée vulnérable depuis plusieurs années, mais prévoit de cesser de l’utiliser dans le futur, et ne baserait pas ses fonctions sécuritaires de base sur cette technologie. Enfin, le Mobilecoin ne peut pour l’instant être acheté qu’auprès d’exchanges de crypto-monnaies  ce qui rend son acquisition compliquée par le commun des mortels.

Des envois de crypto-monnaies aussi simples qu’un message Signal ? Nous n’en sommes pas encore là, et les développeurs de Signal et de Mobilecoin devront répondre à de nombreuses question d’ici là, mais à l’heure où les campagnes de solidarité sont systématiquement censurées par les plateformes de paiement (Stripe, Paypal, Pot Commun,…) et de crowdfunding, la fonctionnalité montre tout de suite son intérêt. « Signal Payments » n’est disponible pour l’instant qu’au Royaume-Uni, avec un numéro +44, et sur le canal de mises à jour beta, la fonctionnalité peut-être désactivée entièrement.

De nombreux utilisateurs abandonnent actuellement WhatsApp et migrent vers Signal. Cette migration est causée par les nouvelles conditions d’utilisation de WhatsApp qui impose aux utilisateurs de partager certaines données avec Facebook. Parmi les données qui seront collectées par Facebook, on trouve notamment “l’heure, fréquence et durée de vos activités et interactions”, “vos adresses IP et d’autres données comme les codes géographiques des numéros de téléphone et votre localisation générale (ville et pays)” ou encore “votre photo de profil”. Les utilisateurs qui refuseraient ce partage risquent de voir leur compte supprimé le 8 février. Les changements de condition d’utilisation ne sont pas exactement les mêmes en Europe qu’ailleurs pour cause du Règlement Général de Protection des Données (RGPD), mais Whatsapp y récolte comme partout une quantité abusive de données sur ses utilisateurs.

Dès le 7 janvier, Signal enregistrait une explosion des inscriptions. Quelques jours plus tard, Signal s’imposait comme l’application la plus téléchargée sur Android et iOS un peu partout dans le monde. En 2020, la Mozilla Foundation avait désigné Signal “application de communication la plus sécurisée”. Signal, en effet, reste la meilleure application de messagerie sécurisée et nous conseillons depuis des années son utilisation (voir nos articles ici et ici). Plus d’infos sur Signal ici.

En février 2019, Nijeer Parks a été accusé d’avoir volé des bonbons à l’étalage et d’avoir tenté de heurter un policier avec une voiture à Woodbridge, dans le New Jersey. La police l’avait identifié à l’aide d’un logiciel de reconnaissance faciale. Parks a passé 10 jours en prison et a payé environ 5.000 $ pour se défendre. En novembre 2019, l’affaire a été classée pour manque de preuves. Parks, 33 ans, poursuit maintenant la police, le procureur et la ville de Woodbridge pour arrestation et emprisonnement abusifs et violation de ses droits civils: il était à 50 km du lieu de l’incident au moment de celui-ci. Il est la troisième personne connue pour avoir été arrêtée sur la base d’une erreur des dispositifs de reconnaissance faciale. Dans les trois cas, les personnes identifiées par erreur par la technologie étaient des hommes noirs.

Le 10 décembre, l’entreprise israélienne Cellebrite, qui vend des produits d’exfiltration de données de smartphone aux forces de l’ordre (voir notre article), a annoncé avoir trouvé une solution pour déchiffrer l’application Signal. « Déchiffrer les messages et les pièces jointes envoyés par Signal a été impossible… jusqu’à maintenant », pouvait-on lire dans une note de blog supprimée depuis. Derrière des explications techniques sur une récupération de clé secrète, Cellebrite annonçait en réalité qu’elle pouvait lire vos textes en ayant en possession de votre téléphone… déverrouillé. Ce que n’importe qui aurait pu faire simplement en ouvrant l’application pour consulter les messages. Bref, un grand « effet d’annonce », largement relayé, pour ce qui n’est en réalité qu’une petite amélioration rendant l’exportation des données plus confortable à partir du moment où l’on a déjà un accès total au téléphone…