Rod A. Beckstrom vient d’être nommé Président de l’Icann (Internet Corporation for Assigned Names and Numbers), principal organisme de gestion et de régulation d’Internet et notamment des grands ‘top level domains’, ou suffixes des adresses Internet. Beckstrom était précédemment cyber-patron du Department for Homeland Security, le DHS américain, puis directeur du National Cyber Security Center. On est très loin des premiers gourous universitaires qui présidaient aux destinées de l’Icann dans les années 80.

Voici un an que la compagnie israélienne Camero a mis au point le Xaver (400 ou 800), une caméra portable, qui grâce à des signaux infrarouges permet de regarder à travers des murs épais, y compris du béton armé (mais pas à travers une paroi de métal telle celle d’un containeur de transport maritime). La caméra envoie des signaux radars à très haute fréquence, ce qui permet de voir en temps réel ce qui se passe à travers un mur et tout ceci en 3D. L’appareil visionne des images 3D issues d’un radar UWB (ultrawide band ou ondes ultra longues) breveté. Le terminal portatif léger génère des informations en 3 dimensions d’objets et de formes vivantes à travers diverses formes d’obstacles solides, tels que des murs, des toitures, etc. La portée actuelle de Xaver est de 25 mètres et on prédit une portée de 300 mètres d’ici quelques années. L’appareil a depuis été produit en série et acheté par plusieurs services de sécurité parmi lesquels ceux du Canada.

Le Xaver

Le Xaver

Vidéo de démonstration de l’appareil (version 800)

Pour en savoir plus

Le 31 octobre 2008, Michèle Alliot-Marie, ministre de l’Intérieur, remettait en mains propres à un habitant de l’Oise le premier passeport nouvelle génération. L’Etat français s’était engagé en avril de la même année, par décret, à délivrer où qu’on se trouve sur le territoire, une pièce d’identité de ce type ‘à partir du 28 juin 2009‘. Il s’agit de transcrire dans la loi française une directive européenne de 2004.

Sauf que la biométrie a ses adversaires, et que ces derniers reprochent à Paris d’avoir fait du zèle. Notamment en exigeant huit empreintes au lieu de seulement deux, comme le prévoit la directive, et en centralisant les données sur quinze ans. La Commission nationale de l’informatique et des libertés (Cnil) avait d’ailleurs donné un avis défaborable il y a un an. Le 5 juin 2008, elle écrivait: ‘Les finalités de simplification administrative et de lutte contre la fraude documentaire ne sauraient à elles seules justifier la création d’un tel fichier, dès lors qu’aucune mesure particulière n’est prévue pour s’assurer de l’authenticité des pièces d’état civil fournies. Ainsi, rien n’interdira de se présenter sous une fausse identité ou une identité usurpée pour obtenir un passeport. La Commission a donc estimé que la conservation dans un fichier central des photographies et des empreintes digitales était disproportionnée au regard des finalités du fichier‘.

Six mois après l’apparition du premier passeport biométrique, la généralisation de cette pièce d’identité en France a du plomb dans l’aile. De plus en plus de maires résistent au gouvernement et aux préfectures. Pas toujours par idéologie, mais… parce que la mesure plomberait le gagne-pain des artisans-photographes de leur ville. Plainte à l’échelle européenne et recours devant le Conseil d’Etat… L’API, association très critique, bataille ainsi contre la permission faites aux municipalités de faire les photos en mairie. Sur les 2.000 mairies où le dispositif était censé entrer en vigueur de façon anticipée, un tiers est déjà réfractaire. Ce 19 mai, l’API affirme ainsi totaliser 650 courriers d’édiles qui refusent de faire les photos en mairie.

En Suisse, le vote sur le passeport biométrique a constitué l’un des scrutins les plus serrés de l’histoire du pays. C’est par 5.504 voix d’écart seulement (pour 1,9 million de votants) que le peuple a dit oui dimanche à un nouveau passeport à puce. Selon les premiers chiffres concernant les votes des suisses de l’étranger a manifestement participé à faire pencher la balance.

Les passeports biométriques ont vu le jour en Belgique vers la fin de l’année 2004, faisant de la Belgique l’un des pays précurseurs dans le domaine. Ces passeports identifiables à leur logo sur la face avant de la couverture possèdent une puce électronique (située dans la couverture arrière du passeport) qui contient des informations personnelles sur le porteu : photo d’identité, signature manuscrite, nom, prénoms, numéro de passeport, sexe, date de naissance, lieu de naissance, lieu d’émission du document, autorité ayant délivré le document, dates d’émission et d’expiration. Cette puce est interrogeable à distance (environ 10cm avec un lecteur disponible dans le commerce) mais le standard émis par l’Organisation de l’Aviation Civile Internationale (OACI) prévoit l’utilisation de moyens cryptographiques pour protéger l’accès à distance à ces informations. Il faut selon le standard lire les deux lignes codées (Machine Readable Zone) en bas de la première page du passeport pour obtenir l’accès au contenu de la puce électronique. Le but est d’empêcher la lecture des données personnelles à quiconque ne possédant pas le passeport entre les mains.

On se souviendra qu’en Belgique, une équipe de recherche en cryptographie de l’Université Catholique de Louvain a mis au jour de graves faiblesses dans le passeport biométrique belge, le seul type de passeport distribué depuis fin 2004 en Belgique. Les travaux menés à Louvain-la-Neuve durant le mois de mai 2007 ont montré que les passeports belges émis entre fin 2004 et juillet 2006 ne possèdent aucun mécanisme de sécurité pour protéger les informations personnelles contenues dans la puce électronique du passeport. Quant à ceux émis après juillet 2006, ils bénéficient de mécanismes de sécurité, mais ceux-ci se révèlent insuffisants. Cela signifie que quiconque muni d’un petit dispositif électronique de lecture, facile et peu coûteux à se procurer, peut voler le contenu de passeports alors qu’ils sont encore dans la poche de leur victime et, donc, à l’insu de celle-ci. Photo d’identité et signature manuscrite font partie des informations menacées.

Pour en savoir plus sur les défauts des passeports belges

Dépassé par l’ampleur du scandale lié au fichier EDVIGE, le Parlement avait chargé deux députés de lui remettre un rapport d’information sur les fichiers de police, rapport adopté à l’unanimité le 24 mars 2009.

Selon ce rapport, il serait ainsi ‘opportun’ de confier à une ‘commission’ le soin de trouver un moyen pour que le nouveau super-fichier ARDOISE n’hérite pas du ‘stock d’erreurs accumulées’ (plus d’un million, rien que pour ces trois dernières années) dans les fichiers (de police) STIC et (de gendarmerie) JUDEX qu’il doit absorber. L’an passé, 83% des fichiers policiers que la CNIL a été amenée à contrôler étaient inexacts, périmés ou erronés… et le tiers des fichiers qu’elle a vérifié, dans une opération de ‘blind test’ portant sur des affaires de stupéfiants, étaient erronés, faute d’avoir été mis à jour par le ministère de la Justice – censé informer la police des suites judiciaires données aux enquêtes policières, mais qui n’a transmis en, 2007, que 31% des ‘relaxes’, 21,5% des classements ‘sans suite’, 7% des ‘acquittements’, et 0,47% des ‘non lieux’…

Le rapport propose aussi d’avertir toute personne risquant de perdre son emploi du fait qu’elle est fichée, afin de lui permettre d’être ‘entendue, pour exposer son cas’, et non plus de l’en informer, après coup, une fois la décision prise. Un million de personnes, blanchies par la justice, étaient toujours considérées comme suspectes dans les fichiers policiers. Et dans son rapport sur le contrôle du système de traitement des infractions constatées (STIC), la CNIL estime que plus d’un million de personnes sont concernées par ces ‘enquêtes administratives de moralité’, qui peuvent leur coûter leur emploi.

Les deux députés viennent de déposer un projet de loi pour modifier la loi ‘informatique et libertés’ de sorte que la création d’un fichier policier ne puisse être autorisée sans en passer par une loi. Jusqu’en 2004, tout fichier ‘de sûreté’ ou portant sur la totalité de la population devait en effet être autorisé par la CNIL. La nouvelle loi ‘informatique et libertés’ a fait sauter ce verrou: l’Etat doit toujours, certes, saisir la CNIL, mais il n’a plus à tenir compte de son avis, déniant ce pour quoi la CNIL avait pourtant été créée, à savoir protéger les citoyens du fichage policier. Cette même loi autorise également les fichiers policiers à être ‘hors la loi’ jusqu’en octobre 2010. Résultat: le nombre de fichier policiers a augmenté en France de 70% ces trois dernières années, et le quart des 58 fichiers de police n’ont aucune existence légale.

Pour en revenir au fichier Edvige, les deux députés proposent la création (par la loi) de deux nouveaux fichiers destinés à remplacer celui des Renseignements Généraux: un pour le service de renseignement de la Préfecture de Police de Paris, l’autre pour la sous-direction de l’information générale (SDIG), qui a récupéré le quart des effectifs des anciens Renseignements Généraux. Y seront notamment fichés ‘les personnes, groupes, organisations et personnes morales qui, en raison de leur activité individuelle ou collective, peuvent porter atteinte à la sécurité des personnes ou des biens, par le recours ou le soutien actif apporté à la violence’… ainsi que ‘les personnes entretenant ou ayant entretenu des relations directes et non fortuites avec ceux-ci’. Les mineurs de 13 ans, qui avaient eux aussi cristallisés une partie des opposants à EDVIGE, leur fichier sera effacé au bout de trois ans… sauf s’ils sont de nouveau fichés, ou que le magistrat (du parquet) en charge du contrôle du fichier accepte de les y maintenir, pendant un ou deux ans supplémentaires, à la demande de ceux qui les ont fichés.

Parmi les techniques de ‘contrôle des foules’, (ce que les experts appelent la recherche du ‘goodbye effect’), l’utilisation d’eau sous-pression, de gaz lacrymogènes, de tasers et des projectiles en plastique et en caoutchouc sont bien connus. Mais il va falloir compter prochainement avec les micro-ondes, le son, les colles et les lasers.

Certaines fréquences peuvent être absorbées par les tissus vivants, avec des effets mal connus mais potentiellement incapacitants. Les projectiles à énergie pulsée utilisent l’émission d’impulsions électromagnétiques générées par un laser qui, au contact de la cible, évaporent la surface et créent une petite quantité de plasma explosif; il en résulte une onde de choc sonore qui assomme la cible tandis que l’impulsion électromagnétique affecte les cellules nerveuses et cause une sensation de douleur intense.

Le Active Denial System (ADS) est un émetteur de micro-ondes développé par la société Raytheon. L’ADS émet un faisceau d’onde électromagnétique d’une fréquence de 95GHz (3 mm). Quand les ondes touchent les manifestants, l’énergie des ondes se transforme en chaleur au contact des molécules d’eau de la peau. Les ondes émises par l’ADSD ne peuvent pénétrer qu’en très faible profondeur au niveau de la peau: 0,4 mm de l’épiderme seulement, soit juste de quoi causer un grand désagrément mais sans blessure (celles des micro-ondes de cuisine pouvant pénétrer sur presque 10 cm). Ces ondes ne peuvent pas pénétrer les murs mais peuvent pénétrer la plupart des vêtements et même plusieurs couches, comme les vêtements d’hiver. Il n’a pas été précisé si ces ondes peuvent pénétrer le verre. Une impulsion de 2 secondes porterait la peau jusqu’à une température d’environ 55°C, causant une intense sensation de brûlure très douloureuse. Il faudrait une exposition au faisceau de 250 secondes pour brûler la peau. L’ADS a été développé en secret pendant 10 ans pour un coût de 40 millions de dollars. Son existence a été révélée en 2001. En septembre 2004, Raytheon a obtenu de faire une démonstration de la technologie aux forces de sécurité, aux militaires et aux organismes de sécurités. En 2006, une unité de l’armée américaine expérimente d’ADS en Irak. En janvier 2007, une première unité de l’USAF est équipée de cet appareil, et ce systéme a été mis en service entre autre sur des paquebots pour éviter des actes de piraterie.

La première démonstration publique de l’ADS devant les médias a eu lieu la semaine dernière. L’arme se présentait sous la forme d’une énorme antenne montée sur un véhicule tout-terrain militaire Humvee. Deux soldats et dix journalistes ont joué le rôle de civils manifestant et ont agi selon un scénario probable que les troupes américaines rencontrent habituellement. L’équipage a fait feu avec l’arme à un demi kilomètre de distance, soit 17 fois plus loin que les armes de dispersion de foules classiques comme les balles en caoutchouc ou les canons à eau. Même si la température soudainement ressentie n’était pas vraiment dangereuse, 55 °C, elle était suffisamment intense pour que les participants aient l’impression que leurs vêtements prenaient feu.

Humvee équipé d'un ADS

Humvee équipé d’un ADS

Voir la vidéo du test de l’ADS

A ces techniques s’ajoutent l’utilisation du son (cf. les Mosquitos) ou celle de mousse comme la Sticky Foam. Ce liquide est une colle qui empêche les mouvements des victimes et dispose de caractéristiques fortement acides. Elle a été employée pour la première fois en Somalie, par les corps des Marines, lors de l’opération ‘United Shields’ (1995).

Canon à son

Canon à son

Sticky Foam

Sticky Foam

La société Taser vient de lancer officiellement son nouveau produit, le Taser Shockwave Systemun, système permettant de ‘neutraliser’ l’ensemble de ceux qui oseraient s’approcher d’un secteur en particulier. Ce Shockwave Area Denial System (‘Système d’interdiction de zone par onde de choc) est modulable et ne comporte, a priori, que 6 pistolets électriques couvrant un horizon de 20° seulement, dont le tir se déclenche simultanément. Mais le système est conçu pour s’additionner en batterie afin de dresser un barrage incapacitant démultipliant le nombre de décharges électriques possibles, et/ou l’étendue de la zone ‘neutralisable’.

Voir la vidéo promotionnelle

Les réticences relatives à l’utilisation de pistolets Taser, une arme qui lance de puissants électrochocs (50.000 volts), sont vives et nombreuses. Selon Amnesty International, depuis l’introduction du Taser aux Etats-Unis en 2001, il y avait fait 351 morts, dont beaucoup de parfaits innocents simplement énervés

C’est dans ce contexte que, le 16 janvier dernier, le ministre de l’Intérieur, Guido De Padt, avait dû reconnaître en réponse à une question parlementaire que, bien qu’interdit en Belgique en tant qu’arme à électrochocs par la loi du 9 juin 2006, le Taser avait été utilisé à cinq reprises par les unités spéciales de la police belge. C’est que, comme l’agence Belga l’a appris lundi auprès de la porte-parole de la police fédérale, le Service public fédéral Intérieur permet effectivement aux unités spéciales d’en faire usage. En pratique, malgré de plus anciennes dénégations ou omissions officielles, c’est donc depuis deux à trois ans que des unités spéciales (comme les pelotons ‘Posa’/DSU) y ont recours. Il se disait aussi, en février dernier, que des Taser étaient utilisés en milieu carcéral à Bruges. On apprenait aussi que la police de Liège préférait, côté armes non létales, les FN303 qui propulsent des billes à 90 m/s. En France, 20.000 policiers municipaux ont été autorisés à s’en servir dès septembre 2008.

L’Etat français vise la mise en place du système ‘HERISSON’ (Habile Extraction du Renseignement d’Intérêt Stratégique à partir de Sources Ouvertes Numérisées): tous les contenus qui transitent sur le web, les chats IRC, les mailings listes, les forums, les réseaux sociaux, les Newsgroups, les flux RSS, les blogs, podcasts, et les systèmes P2P feront l’objet d’une surveillance et d’une analyse approfondie…

Il est calibré ainsi pour accéder à n’importe quel contenu (texte, image, son et vidéo), quel que soit les langages utilisés (HTML, PHP, ASP…) en prenant en compte la problématique des liens ‘cachés’ en extrayant les liens à minima dans les applications flash contenues dans une page, les codes Java Script. ‘HERISSON’ sait aussi collecter et stocker le contenu complet d’un site FTP ou collecter simplement son arborescence, sait télécharger les fichiers disponibles sur un réseau P2P. Il a la capacité de collecter des données via les protocoles: MMS (flux vidéo type Windows Media Player), RSTP (flux vidéo type Real Player), POP3 (messagerie), et donc des e-mails. Pour faire bonne mesure, ‘le système ‘HÉRISSON’ a la capacité de gérer un éventail large, non restreint et évolutif de formats de documents de types: Vidéo (AVI, MPG, MOV, MP4, Real, FLV, OGM …), Audio (WAV, MP3, OGG…), Image (BMP, JPG, TIFF…), Texte (HTML, MHTML, Open Document, Open XML/Microsoft Office, Adobe PS/PDF, Flash).

Le système s’attaque aussi bien au web qu’aux radios et aux TV. Ainsi, les langues des documents audio devant être identifiées dans le système ‘HÉRISSON’ sont au moins le français, l’anglais, l’arabe, le russe, le farsi, l’espagnol, l’allemand, le chinois mandarin, l’italien, le serbo-croate, l’hindi, le japonais, le coréen, le turc, l’ukrainien, l’hébreu, l’urdu, l’albanais et le macédonien. Pour les images, ‘HÉRISSON’ permet l’accès aux caractéristiques brutes et aux métadonnées d’une image, comme le type et les caractéristiques d’encodage, la résolution, le taux de compression, les champs EXIF, les statistiques usuelles liées à l’image histogramme, moments centrés, … et note aussi la provenance de l’image (URL pour les images obtenues via Internet) et éventuellement le nom du photographe. ‘HÉRISSON’ reconnaît les images transformées et lorsqu’une photographie a subi des transformations (rotations, changement d’échelle, compression, modification des contrastes,…), il sait reconnaître l’image originale parmi les images qui en sont issues. ‘HÉRISSON’ permet la détection et classification d’objets contenus dans une image (personne, véhicule, meuble…). ‘HÉRISSON’ permet la détection et l’identification de personnes dans une vidéo.

Une fois la masse de données stockées, l’exploitation se fait avec une fonction de recherche avancée (ou multicritère) qui permet à minima de préciser une combinaison booléenne des paramètres suivants: date (avec intervalle), taille (avec un intervalle), type de document (texte, image, graphique, vidéo, audio), format de fichier, URL d’origine. Auxquelles s’ajoutent les propriétés du contenu: l’exclusion de mot, une expression exacte, la combinaison booléenne entre les mots-clés, les mots commençant par une chaîne de caractères donnée, distance entre les mots dans le texte, expression régulière, localisation dans la page (titre / corps de texte), une écriture phonétique, une orthographe approchée, dans une page (URL) précise, dans les pages contenant un lien précis.

‘HÉRISSON’ en est au stade du démonstrateur, il faudra quelques années encore avant que ce programme ne soit opérationnel.

Le tout nouveau produit de la société connue pour son pistolet à impulsion électrique se présente comme ‘le futur de la gestion des enquêtes et des preuves numériques‘. Axon se présente comme un dispositif d’enregistrement audiovisuel des incidents, ‘du point de vue des officiers de police‘. Il s’agit d’une micro-caméra que les policiers sont invités à porter sur leur tête, à mi-chemin entre un casque audio et une oreillette BlueTooth, reliée à une télécommande (dotée d’un bouton ‘vie privée’) et à un petit ordinateur de poche (sous Linux). Une fois rentré au commissariat, les policiers connectent leurs Axon à un système qui permet de stocker, et surtout d’analyser, les enregistrements effectués. Les vidéos étant géolocalisées par GPS, il est ainsi possible de zapper entre les différents enregistrements effectués, sur une même scène, par différents policiers.

Explications du système AXON

Explications du système AXON

Le système AXON

Le système AXON

À partir de ce 6 mars 2009, un réseau d’information entre entreprises est activé en Belgique contre les ‘menaces terroristes’. Les Services Publics Fédéraux Justice et Intérieur ont créé ce réseau d’information en étroite collaboration avec la Fédération des Entreprises Belges. Le protocole relatif à ce réseau est signé aujourd’hui par le Ministre de la Justice Stefaan De Clerck, le Ministre de l’Intérieur Guido De Padt et l’Administrateur délégué de la Fédération des Entreprises de Belgique Rudi Thomaes.

L’objectif est qu’une entreprise qui voit par exemple qu’une voiture s’arrête devant la porte d’entrée plusieurs jours de suite informe les autorités afin qu’une enquête puisse être menée. Si l’incident s’avère réellement suspect ou si une autre entreprise a également constaté les mêmes faits avec le même véhicule, l’ensemble du secteur peut en être informé via le réseau. Inversement, si une menace générale existe contre un secteur défini d’entreprises, les autorités en informeront ledit secteur. L’échange d’informations sur tout élément suspect se fait à un stade précoce (‘early warning’), de sorte que la vraie nature de la menace puisse être rapidement examinée. Le réseau est alimenté à l’initiative tant des polices que des patrons: des informations (rendues anonymes) sont échangées sur les agissements ou incidents suspects constatés auprès des entreprises ou sur d’éventuelles menaces, qui font l’objet d’un examen par les autorités. Le système a déjà passé avec succès une phase d’expérimentation. Par ailleurs, son efficacité sera régulièrement évaluée à l’avenir.

Lire le communiqué officiel