Les dirigeants d’Europol, du FBI, de la police australienne ont révélé les dessous d’une opération baptisée « Trojan Shield ». Ces services ont spéculé sur le fait qu’après le démantèlement en juillet 2020 de la plateforme de communication chiffrée EncroChat  (voir notre article) et le blocage des communications par Sky ECC, les opérateurs d’activités illicites allaient chercher un nouvel outil. Une application de messagerie et de voix sur IP chiffrée (comme Signal ou Telegram) fonctionnant sur des téléphones personnalisés a donc été secrètement conçue par la police australienne et opérée par le FBI. Ces smartphones spéciaux étaient vendus environ 2000 dollars au marché noir avec seulement trois fonctionnalités : envoyer des messages, faire des vidéos et brouiller la voix.

Le smartphone a été poussé de façon assez subtile avec des « criminels influenceurs » pour paraitre crédible. Le service de messagerie était déguisé en application de calculatrice et il suffisait de taper un code pour y accéder. Dénommé Anom, ce service a été utilisé sur plus de 12 000 appareils appartenant à au moins 300 réseaux jugés criminels dans plus de 100 pays. Plus de 27 millions de messages ont ainsi pu être analysés en dix mois, avant que les forces de police passent à l’action dans 16 pays. Cette opération a débouché sur plus de 800 arrestations et la saisie de plus de 8 tonnes de cocaïne, 22 tonnes de cannabis, 8 tonnes d’amphétamine et méthamphétamine, 250 armes à feu, 55 véhicules de luxe et plus de 48 millions de dollars en devises et crypto-monnaies.

 

Le 28 avril 2021, le gouvernement a proposé un nouveau projet de loi renseignement, complété le 12 mai par de nouveaux articles. L’objectif premier de celui-ci sera de faire définitivement entrer dans le droit commun les mesures de l’état d’urgence débuté en 2015 ainsi que les mesures expérimentales de la loi renseignement de 2015. L’objectif secondaire sera d’inscrire dans la loi française les violations du droit européen actées par le Conseil d’État le mois dernier afin de défendre à tout prix la surveillance de masse française. Toutefois, la menace la plus grave pourrait se situer entre les lignes.

La loi interdit notamment aux services sociaux d’invoquer le secret professionnel face à des demandes des services de renseignements. Elle permet une conservation des données obtenues dans le cadre d’opération de renseignement jusqu’à 5 ans ainsi que des saisies de matériels informatiques dans le cadre de perquisitions sans mandats. La loi permet également l’espionnage des réseaux satellitaires. L’article 18 donne quant-à-lui le pouvoir à la police de brouiller les drones non-policiers, tout en renforçant l’interdiction imposée à la population de se défendre elle-même contre les drones policiers (qui ont toujours été illégaux) ou non-policiers.

Une mesure phare de la loi est l’extension de la surveillance par algorythme. Alors que les deux ou trois algorythmes déployés depuis 2017 auraient, d’après la CNIL, été restreints à l’analyse du réseau téléphonique, il s’agira pour l’avenir d’analyser aussi le réseau Internet, notamment en observant désormais les URL (les noms des pages Web consultées par potentiellement l’ensemble de la population). La quadrature du net a réalisé une analyse du texte disponible ici.

Nouvelle loi de renseignement renforçant l'espionnage de la population

Nouvelle loi de renseignement renforçant l’espionnage de la population

Un groupe d’ONG, a annoncé avoir saisi les autorités de protection de données de 5 pays Européens (Royaume-Uni, Italie, France, Grèce, Autriche) ce jeudi contre la start-up américaine Clearview AI (précédents articles), qui a constitué une immense base de données de visages (Plus de 3 milliards d’images en 2020) sur base de photos téléchargées automatiquement depuis les réseaux sociaux, des blogs personnels, des sites d’entreprise, etc. Clearview agit hors de tout cadre légal mais met pourtant à disposition des services de police et des institutions financières un service qui leur permet de rechercher des correspondances dans cette immense base de données.

Clearview avait suspendu il y a quelques mois son service au Canada, alors que l’autorité locale de protection des données l’accusait d’exercer une surveillance de masse illégale.

Publicité de Clearview AI

Depuis le 28 avril, la Colombie est secouée par d’importantes manifestations contre le gouvernement, marquées par une sévère répression policière. Au moins 42 personnes ont été tuées depuis cette date, probablement 51. Depuis début mai, la police colombienne a utilisé des lance-grenades Venom à plusieurs reprises pour réprimer des manifestations, dans différentes villes du pays. Plusieurs vidéos diffusées sur les réseaux sociaux montrent que cette arme a été employée de façon dangereuse par les forces de l’ordre, en tir tendu à courte distance, et non en tir parabolique prévu. Le Venom est fabriqué par Combined Systems Inc. (CSI), une entreprise américaine qui fournit notamment Israël. Il est composé de trois compartiments, plus ou moins inclinés, pouvant contenir dix grenades chacun. Elles sont de deux types : grenades fumigènes/lacrymogènes ou assourdissantes qui éclatent en sous-munitions dans l’air. Une grenade de Venom serait à l’origine du décès d’un jeune manifestant tué à Popayán le 14 mai.

Depuis ce jeudi 20 mai, 56 bodycams complètent l’équipement des policiers liègeois. Elles répondent aux critères militaires de robustesse et d’étanchéité et ne pèsent que 160 gramme ce qui n’impacte donc pas le poids des gilets pare-balles sur lequel elle sont fixées. Les caméras n’enregistreront pas en continu, c’est le policier ou son supérieur hiérarchique qui décide de l’enclencher (les bodycam sont conçues pour s’activer et se désactiver par simple pression d’un bouton). Officiellement, Les bodycam sont destinées à filmer les interventions « où le policier pressent un usage de la contrainte » et les personnes contre qui elles seront utilisées devront normalement être averties au préalable. En réalité, le policier a toujours la possibilité de ne pas prévenir en amont, s’il estime que cela n’est pas possible pour des « raisons de sécurité ».

Les images sont enregistrées sur une carte mémoire et sont injectées sur un serveur dès le retour au commissariat. Officiellement, elles ne pourront être consultées que par l’agent qui portait la bodycam (on voit cependant mal comment cette obligation sera respectée). Elles sont cryptées, ne devraient être lisibles que par une station informatique de la police zonale. Elles seront conservées trente jours, ou 365 si décision judiciaire. Le coût de ce dispositif, pour la première année, tourne autour de 1000€ à l’unité, achat de l’équipement, acquisition de la licence, et contrat de maintenance compris. Les zones de police bruxelloises avaient déjà décidé fin 2020 de s’équiper en bodycam (voir notre article).

Des bodycams pour la police de Liège

Des bodycams pour la police de Liège

Le gouvernement colombien a changé de stratégie pour réprimer la révolte populaire qui embrase le pays depuis la fin du mois d’avril. Devant l’indignation internationale suscitée par les images de la répression, il a décidé d’appliquer une stratégie plus discrète. Des camionnettes blanches non identifiées ont commencé à apparaitre, il y a une semaine et demi, dans les manifestations de la ville de Cali. À l’intérieur se trouvent des hommes armés qui tirent sur les manifestant·es (vidéos ici et ici). Dans au moins un cas, il s’agissait d’un véhicule appartenant à la police dans lequel se trouvait un uniforme de policiers. Le commandant de la police a reconnu les faits et a affirmé que la police procédait de la sorte il était devenu trop dangereux de s’approcher des manifestations en uniforme.
En outre, le viol est utilisé pendant ces manifestations contre les personnes qui protestent. Une ONG a ainsi reçu 18 témoignages de viols ou de violences sexuelles commis par la police contre des manifestant·es depuis le début du mois. L’ONG a également recensé 87 autres témoignages de violences sexistes (généralement des policiers menaçant de jeunes femmes manifestantes de violences sexuelles). Une jeune manifestant·es, violée par quatre policiers le 12 mai, s’est suicidée deux jours plus tard. Plus d’infos ici.
Un milicien ouvrant le feu sur les manifestants à coté d'un policier en uniforme

Un milicien ouvrant le feu sur les manifestants à coté d’un policier en uniforme

Des militant·es et journalistes ont dénoncé Instagram et Twitter pour avoir fermé leurs comptes sur ces réseaux sociaux et censuré des contenus relatifs aux dramatiques événements de Sheikh Jarrah à Jérusalem-Est occupée, où les forces israéliennes et les colons répriment des manifestants civils depuis jeudi. Les habitants de ce quartier protestent contre une vague d’expulsions ordonnée par la justice israélienne, laquelle devrait chasser une quarantaine de Palestiniens, dont une dizaine d’enfants, de leurs maisons (voir notre article).

La complicité entre Israël et les entreprises de réseaux sociaux dans la réglementation et la censure du contenu et des comptes palestiniens est bien documentée. À la suite d’une visite d’une délégation au siège de Facebook en 2016, le ministre israélien de la Justice avait déclaré à l’époque que Facebook, Google et YouTube ‘’se conformaient à 95 % aux demandes israéliennes de suppression de contenu’’, presque entièrement palestinien. Par ailleurs, Facebook avait recruté l’an dernier une experte israélienne de la censure (voir notre article).

Les réseaux sociaux censurent les post témoignant de la répression du peuple palestinien

Les réseaux sociaux censurent les post témoignant de la répression du peuple palestinien

L’entreprise française Idemia spécialisée dans l’identité numérique et Interpol vont collaborer pour la mise en place d’un nouveau système « multi-biométrique »  baptisé MBIS. MBIS sera une sorte de moteur de recherche biométrique dédié aux fonctionnaires de police des 194 Etats membre d’Interpol. Chaque jour, jusqu’à un million de recherches d’empreintes digitales, palmaires et de reconnaissance faciale pourront être effectuées et ainsi identifier les potentiels suspects grâce à des comparaisons. MBIS facilitera également le travail des policiers grâce au stockage de photos de preuves et des renseignements sur les liens entre une affaire en cours et une personne ou entre plusieurs affaires. Il inclut aussi un ensemble d’outils d’amélioration et de traitement photo et vidéo. Il permet par exemple le traitement des minuties, qui désignent les particularités des sillons de la pulpe des mains.

Idemia et Interpol collaborent depuis 20 ans. Le premier contrat remonte à l’année 2000. Il avait pour objectif de faciliter la coopération entre les forces de police nationales grâce à un système automatisé d’identification biométrique. Il offrait une base de données commune d’empreintes digitales de suspects dans des affaires criminelles. Puis, en 2016, Interpol s’est équipé d’un logiciel de reconnaissance faciale. L’entreprise implantée à Courbevoie travaille également avec l’Union européenne. Il a été choisi, aux côtés de Sopra Steria, pour mettre en place une base de données biométriques dédiée au contrôle des frontières de l’espace Schengen.

En 2019, 3 millions de Belges étaient fichés dans la Banque Nationale Générale (« BNG »), la banque de données rassemblant toutes les données de tous les corps de police au sujet de toutes les personnes qui sont connues de leurs services. En 2016, les PV liés à la radicalisation s’étaient accumulés, dans la foulée des attentats islamistes. En 2017, un Belge sur cinq était fiché: 2 221 442 personnes, soit une augmentation de près de 50% depuis 2010. En 2019 on en serait à 3 millions de personnes fichées – les plus jeunes à partir de 14 ans, pour 25 millions de faits. Les années Covid 2020 et 2021, avec leur lot de PV sanitaires, vont encore gonfler cette banque de données. En un an, ce sont 232 096 PV qui ont été dressés pour non-respect des règles liées au coronavirus, soit environ un tiers des PV normalement dressés sur une année.

La mise à jour des données est une obligation légale mal remplie, de l’aveu même de l’Organe de contrôle de l’information policière et ce n’est pas sans conséquence: une personne s’est vu refuser une attestation de sécurité nécessaire à l’obtention d’un contrat de travail, au motif de sa participation à diverses manifestations. Et l’avocate de cette personne n’a pas pu avoir accès aux données le concernant, ce qui la place dans l’impossibilité de fait de pouvoir contester ces éléments.

 

Il y a quelques jours, la Commission européenne s’est réunie dans le cadre du projet de réglementation visant à définir une approche européenne de l’intelligence artificielle. L’exécutif européen propose d’interdire les technologies d’IA destinée à “une surveillance indiscriminée appliquée de manière généralisée à toutes les personnes physiques sans différenciation”. Un texte préliminaire, qui devrait être présenté la semaine prochaine, précise qu’il est principalement question de rendre illégales les technologies visant à “la surveillance et le suivi des personnes physiques dans des environnements numériques ou physiques, ainsi que l’agrégation et l’analyse automatisées des données personnelles provenant de diverses sources”.

La Commission prévoit également l’interdiction des technologies d’IA susceptibles d’aller à l’encontre des droits de l’Homme, et notamment les IA prédictives, capables de cibler des minorités. Si le texte est adopté, la violation de ces interdictions pourrait coûter aux entreprises 4% de leur chiffre d’affaires annuel mondial. Cependant, cette interdiction ne s’appliquerait pas aux gouvernements et aux autorités publiques européennes qui pourraient utiliser l’IA “afin de préserver la sécurité publique”…