Le 12 octobre dernier est paru le bulletin d’information de la société Taser, productrice de ces pistolets administrant des décharges de 50.000 volts régulièrement utilisés par les forces de l’ordre lors de manifestations, en France notamment. Dans un communiqué, Taser International conseille aux forces de police utilisant son arme à impulsion électrique de ne pas viser la poitrine, car cela pourrait provoquer un événement cardiaque négatif. C’est la première fois que la société admet les risques liés à l’utilisation du Taser. Des responsables de la société sont néanmoins revenus sur ces affirmations hier mardi, affirmant que le bulletin d’information ne faisait état d’aucun risque sur la santé. D’après eux, il explique simplement que les forces de l’ordre peuvent s’épargner des controverses si leurs membres visent d’autres parties du corps que la poitrine.

Le ministre français de l’Intérieur l’annonçait la semaine dernière à Poitiers, c’est chose faite depuis hier, deux nouveaux fichiers viennent renforcer l’arsenal de collecte d’informations en France.

Avant d’en venir à leur fonction, notons que le gouvernement a adopté cette décision par décret. Ce n’est donc pas une loi. Cette méthode a permis au gouvernement de passer outre le parlement et le débat que la proposition de loi aurait engendré.

Le premier fichier est ciblé sur les bandes, les hooligans, les groupuscules et s’intéressera aux personnes dont l’activité individuelle ou collective indique qu’elles peuvent porter atteinte à la sécurité publique. Le second concerne les postulants à des fonctions sensibles. Il vise les emplois tels que policier, gendarme, mais aussi arbitre de pelote basque, propriétaires et entraîneurs de lévriers et de chevaux, jockeys (!). Au total, plus d’un million d’emploi sont concernés.

Malgré les arguments avancés par le ministre, et en y regardant de plus près, ces deux bases de données sont loin d’être moins intrusives que dans la version Edvige (fichier recalé l’an dernier suite à la levée de bouclier de nombreuses associations). Elles comporteront des informations ayant trait à l’état civil, à la nationalité, à la profession, des photographies, les adresses physiques et mails,… De plus, par dérogation, le fichier pourra comporter des données sur l’origine géographique et les activités politiques, philosophiques, religieuses ou syndicales. Cette dérogation, non-définie, autorise toutes les interprétations…

En déplacement à Poitiers ce lundi suite aux incidents qui ont eu lieu dimanche, le ministre de l’Intérieur Brice Hortefeux a annoncé la création de deux nouveaux fichiers policiers. Il a demandé aux préfets de réaliser ‘un inventaire des lieux de vie communautaire où se regroupent des mouvances anarchistes potentiellement violentes‘ ainsi ‘qu’une identification très précise du ou des groupuscule(s) qui organise(nt) les incidents‘. Alors que le fichier légal ECVERSIP (pour Exploitation documentaire et de la valorisation de l’information relative à la sécurité publique) est toujours en discussion et n’a toujours pas été créé, le nombre de fichiers ne cesse d’augmenter. Chaque incident est prétexte à cette augmentation.

En France, le nombre de fichiers a augmenté de 70% en trois ans, et le quart des fichiers recensés n’a aucune existence légale. La moitié des français y sont fichés et, rien que sur ces trois dernières années, plus d’un million y sont toujours considérés comme suspects alors même qu’ils ont été blanchis par la justice.

L’Emirat d’Abou Dhabi sera le premier état à ficher l’ADN de toute sa population. La première étape est de mettre en place l’infrastructure, et d’engager les techniciens de laboratoire, ce qui devrait prendre environ un an. L’objectif est d’échantillonner un million de gens par an, ce qui devrait prendre 10 ans si l’on prend en compte l’évolution de la population. C’est le premier pays à avoir décidé de ficher les empreintes génétiques de l’intégralité de sa population, expatriés, immigrés et ‘visiteurs’ compris, indéfiniment – ou au moins jusqu’à leur mort.

Les tout premiers à être fichés seront les mineurs, au motif que ‘la majeure partie des criminels commencent lorsqu’ils sont jeunes. Si nous les identifions à cet âge, il sera plus simple de les réhabiliter avant qu’ils ne commettent de crimes encore plus graves‘, selon le Dr Ahmed al Marzooqi, responsable de la base de données ADN nationale au ministère de l’Intérieur des Emirats Arabes Unis. D’ailleurs, la base de données nationale a déjà été créée, les kits de prélèvement ont déjà été commandés.

Sur les 4 millions de caméras de surveillance en service en Grande-Bretagne (un Britannique est filmé en moyenne 300 fois par jour), seules 10% seraient utilisées efficacement. Dans un pays dont les rues sont bardées de caméras de surveillance, le dispositif n’est pleinement efficace que s’il y a quelqu’un derrière l’écran. Problème principal: le coût d’un tel déploiement de forces devant les écrans de surveillance. C’est pour parer à ce problème qu’une entreprise privée britannique entend proposer aux détenteurs d’ordinateurs équipés d’un accès Internet de prendre part eux-mêmes à la surveillance et de gagner de l’argent s’ils signalent un délit.

Exemple: un magasin de vêtements possédant au moins une caméra de surveillance verse une vingtaine de livres sterling (20 euros) à Internet Eyes – c’est le nom de la société, littéralement ‘Les yeux d’Internet’. En échange, cette société confie la surveillance des images de sa caméra, en direct, à des internautes volontaires. Internet Eyes s’adresse aux commerces, bureaux, et aimerait séduire les forces de l’ordre ainsi que les municipalités. Un marché à fort potentiel: plus de 4 millions de caméras de surveillance sont en service dans le pays, indiquent les concepteurs du projet.

Derrière leur écran, des Britanniques scrutent le moindre incident. À eux de cliquer sur une touche dès qu’ils détectent un comportement suspect (vol, vandalisme, etc.). Un SMS et une capture d’écran partent alors chez le commerçant. L’internaute peut espérer toucher jusqu’à 1.000 euros, promet Internet Eyes. Pour cela, il faut être rapide, car plusieurs individus peuvent en effet scruter la même caméra au même instant. Seul le premier à cliquer gagne des points, convertis ensuite en livres sterling. Mais tout clic abusif sera puni par une perte de points. Un véritable jeu en ligne.

Un autre moyen de gagner de l’argent consiste pour l’internaute à donner un compte-rendu régulier de ses observations aux entreprises qui, à leur tour, donnent leur avis sur son travail, en échange de quelques points. Le site devrait également afficher une galerie de portraits: tous les individus ayant été arrêtés, avec le nom de l’internaute ayant contribué à leur arrestation. Le système sera d’abord testé en novembre à Stratford-upon-Avon. Il doit être étendu à tout le territoire le mois suivant.

L’anecdote a fait le tour du monde: un employé américain a été licencié parce que son patron avait vu sur Facebook des photos de lui faisant la fête alors qu’il était en congé maladie. Cette fonction de flicage offerte par les réseaux sociaux, déjà bien utilisée par les polices, devient l’objet d’un business. La société US Intelius est ainsi spécialisée dans la collecte de données sur Facebook, MySpace, Flickr etc. Avec un simple nom ou numéro de téléphone, cette société fournit à ses clients des informations sur la personne-cible telle que son passé judiciaire, son domicile et sa valeur, son état civil, etc. ainsi que les liens vers les pages personnelles de la cible.

Les Britanniques, pas plus que les Américains, n’ont jusqu’ici de carte d’identité. On a appris au Royaume-Uni la création d’une carte d’identité similaire aux 51.000 d’ores et déjà délivrées aux ressortissants étrangers qui travaillent ou étudient au Royaume-Uni. Elle comporte les noms, prénoms, date de naissance, caractéristiques physiques, empreintes digitales de son titulaire, mais aussi s’il a le droit à des aides de l’Etat, le tout étant sécurisé au moyen d’une puce électronique RFiD (sans contact) censée rendre la carte d’identité ‘impiratable’.

Jusqu’alors, la carte d’identité ne devait être obligatoire que pour les seuls immigrés extra-européens, et les salariés des aéroports. Face aux protestations des syndicats, seuls les étrangers devront finalement en être dotés. Mais le gouvernement a déployé une stratégie pour pousser les Britanniques à demander la nouvelle ID (en présentant celle-ci comme nécessaire pour les déplacement à l’étranger). Dès 2012, les volontaires obtiendront la carte d’identité biométrique. Les habitants de l’agglomération de Manchester et le nord-ouest de l’Angleterre pourront le faire dès le début de l’année prochaine. D’ici la fin de l’année, 75.000 cartes devraient ainsi avoir été délivrées. Le coût du projet: 5,4 milliards de livres (6,4 milliards d’euros).

Les informations contenues dans la carte seront conservées dans une base de données, le National Identity Register, répertoriant 50 données personnelles, qu’elles soient biométriques (photo d’identité, empreintes digitales, etc.), administratives (adresse, n° de sécurité sociale, n° de passeport et de permis de conduire), ou autres. Le simple fait de ne pas notifier un changement d’adresse pourra valoir aux contrevenants une amende de 1000 livres (1180 euros).

Adam Laurie est une figure du monde de la sécurité informatique, et donc des hackers, mais aussi la bête noire de ceux qui veulent faire rimer papiers d’identité sécurisés et puces électroniques RFiD (sans contact). En 2006, il avait mis 48 heures à lire (et donc à ‘pirater’) les données contenues dans la puce RFiD ‘sécurisée’ du passeport électronique britannique. En 2007, il avait mis 4 heures… Il vient de mettre 12 minutes seulement à pirater la future carte d’identité britannique. Muni de son téléphone mobile et d’un ordinateur portable, Adam Laurie a d’abord cracké l’algorithme de sécurité de la puce RFiD ‘sécurisée’, copié toutes les données qu’elle contenait, avant de cloner la carte d’identité en… 12 minutes. Petit détail: il a aussi réussi à modifier toutes les données de la carte clonée: nom, caractéristiques physiques, empreintes digitales, droits aux prestations sociales… Afin de signer son exploit, il a ajouté, à l’intention des autorités, cette petite dédicace: Je suis un terroriste. Tirez à vue.

Rappelons qu’à la différence du nouveau passeport belge, la carte d’identité électronique belge ne contient pas de puce RFiD. Il s’agit d’une carte à puce à insérer dans un lecteur relié à un PC. Les données enregistrées sur la carte sont les données habituelles d’identification (nom, prénoms, date et lieu de naissance, nationalité de la personne), mais également un historique des résidences de la personne, le numéro de la carte, le numéro d’identification du Registre National de la population, la commune d’émission, le type de carte, la langue, la date de délivrance et la date d’expiration de la carte. La carte pourra à terme intégrer des données biométriques et permettre l’authentification à distance pour des échanges administratifs et commerciaux, mais tel n’est pas le cas à l’heure actuelle.

La réglementation prévoit que chaque titulaire d’une carte d’identité électronique peut avoir accès et consulter à tout moment les données enregistrées sur sa carte auprès de la commune dans laquelle il est inscrit aux registres de la population. Chaque titulaire d’une carte dont les certificats de signature et d’identité sont activés peut également consulter à tout moment les informations le concernant qui figurent au Registre National des personnes physiques. Les personnes concernées pourront, à n’importe quel moment, via le portail fédéral, prendre connaissance de leurs dossier, y compris afin de savoir qui a consulté leurs données, à quel moment et pourquoi, suivre le traitement de leurs dossier, et modifier elles-mêmes certaines données. Hors obligation légale ou réglementaire, la consultation des données d’identification qui figurent sur la carte d’identité électronique ne peut être effectuée qu’avec l’autorisation expresse de son détenteur.

Voir le site des opposants à la nouvelle carte d’identité britannique

La société Taser a annoncé hier lundi le lancement d’une nouvelle version de son pistolet à impulsion électrique controversé, capable désormais de tirer à trois reprises sans devoir être rechargé. Le Taser X3 ‘améliorera l’efficacité et la sécurité par rapport aux précédentes générations de Taser‘, a assuré dans un communiqué Rick Smith, directeur général de Taser International, une compagnie basée dans l’Arizona (sud-ouest). ‘C’est l’arme manuelle la plus sophistiquée jamais fabriquée‘, a-t-il ajouté, précisant que le pistolet peut enregistrer davantage d’informations que le modèle antérieur, le Taser X26, lancé en 2003 et largement utilisé par les services de police, aux Etats-Unis et en Europe. Plusieurs cas de décès après un tir de Taser ont été enregistrés notamment aux Etats-Unis.

Les débats et analyses suscités par la loi Loppsi en France recèlent parfois d’agréables surprises. L’usage de spywares, exploits Zero Day, rootkits et autres outils d’eavesdroping par la police risque de voir se généraliser les contre-mesures les plus pointues. Les premières opérations de ‘dissuasion’ d’Hadopi pourront, par exemple, servir à établir des métriques instructives quant à la généralisation des pratiques de chiffrement systématique: stockage, communications mail, transmissions de fichiers. Et si un public d’adolescents se met à crypter en PGP, à chatter en VPN et à P2Piser en stégano, on peut aisément imaginer que les véritables réseaux illégaux en viendront à employer des techniques un peu plus efficaces. Les services de police seront-ils encore en mesure de développer un ‘ver Loppsi’ aussi discret qu’efficace? Et quand bien même cela serait possible, cette généralisation de l’usage des techniques de chiffrement aurait pour résultat l’occultation de quasiment toutes les communications, et pour conséquence une intensification des actions policières sur l’ensemble de la population internaute. Tant que les usagers du Net ne subissent pas la pression d’une suspicion ambiante, ils ne cherchent pas systématiquement à préserver leurs données avec des moyens disproportionnés. En stigmatisant la ‘petite délinquance’ du téléchargement avec des moyens disproportionnés, Hadopi pousse les téléchargeurs et surtout les non-téléchargeurs (qui sont, aux termes de cette loi, responsables techniques et pénaux de leurs installations) à renforcer leurs protections… et donc à noyer les services d’écoutes sous un déluge de bruit. Il y avait un ‘avant Hadopi’ où l’on pouvait distinguer les communications protégées des entreprises, des services d’Etat (aisément identifiables) et… les autres, suspects par nature. Il y aura un ‘après Hadopi’, où la confusion provoquée par la surprotection des informations interdira toute discrimination des flux à surveiller, et renforcera ainsi le camouflage des réseaux illégaux. De là à en tirer la conclusion paradoxale qui consiste à dire qu’Hadopi limite potentiellement l’efficacité de la Loppsi et favorise le développement des réseaux illégaux…

Rod A. Beckstrom vient d’être nommé Président de l’Icann (Internet Corporation for Assigned Names and Numbers), principal organisme de gestion et de régulation d’Internet et notamment des grands ‘top level domains’, ou suffixes des adresses Internet. Beckstrom était précédemment cyber-patron du Department for Homeland Security, le DHS américain, puis directeur du National Cyber Security Center. On est très loin des premiers gourous universitaires qui présidaient aux destinées de l’Icann dans les années 80.