TICEBlog - C2i - Informatique & Liberté

Surveillance des mails, des SMS, et d'internet.

yves — Sun, 13 Nov 2005 13:54:02 +0000

La situation dans les banlieux aura eu au moins un mérite, celui de mettre en évidence un certain nombre de questions. Parmi celles-ci il en est une qui concerne directement les nouvelles technologies, c'est la surveillance des échanges téléphoniques, des mails, des SMS... et des sites internets.

On apprend donc, grâce à la Préfecture de Paris, que «[d]es messages diffusés depuis quelques jours par internet et par SMS ont appelé le 12 novembre à des rassemblements dans Paris et à des +actions violentes+ selon les termes de leurs auteurs»^[1]. Ce qui signifie tout à fait clairement que nos mails et nos SMS sont interceptés et analysés. Chose qui ne surprend guère quand on s'intéresse à l'actualité des grandes oreilles, du système Echelon mis au point par les USA pour surveiller le monde, avec une efficacité remarquable dans la prévention des attentats du 11 Septembre 2001^[2], aux écoutes de L'Élysée. Un article de synthèse de Jean-Marc Manach résume très bien tout ça.

Le Racaillotrou, générateur automatique de non-appels à l’émeute

Jean-Marc Manach revient sur cette question dans l'actualité pour ses deux aspects: la surveillance de sites internets et en particulier des blogs, avec la mise en examen de blogueurs ayant peut-être^[3] appelé à l'émeute et l'écoute généralisée des conversation. Il propose, pour contrer l'efficacité de ces systèmes^[4] son Racaillotrou, qui génère des messages de non-appels à l’émeute truffés de mots-clefs de nature à tromper les grandes oreilles automatiques.

Exemple de message généré:

Appel a toutes les victimes de bavure qu'ont la haine, unissez-vous : rendez-vous sur les Champs-Elysées pour, non pas foutre la merde ni dénoncer l'état d'urgence (cocktails molotov exclus), mais pour dire aux CRS qu'on en a marre de se faire éclater la gueule, et de s'entendre dire d'aller se faire foutre.

Un délinquant trotskiste au chomage.

Notes

[1] cité par l'AFP, repris par exemple ici.

[2] à moins qu'on considère que quelqu'un a décidé de laisser faire?

[3] je respecte la présomption d'innocence! Pas sûr que tous les médias en aient fait de même. Ils devraient pourtant se rappeler du bagagiste d'Orly.

[4] basés probablement sur des automates informatiques à la recherche de mots clefs.

P2P: La CNIL retoque les dispositifs présentés par les sociétés d’auteurs et de producteurs de musique

yves — Tue, 25 Oct 2005 12:12:08 +0000

Dans le cadre de la réforme de la loi Informatique et liberté, les ayants droits de la création culturelle ont été autorisé à constituer des fichiers de connexions. Ils doivent obtenir l'autorisation de la CNIL sur le dispositif mis en place dans ce cadre.

La CNIL a rejeté les quatre projets présentés. Voici les raisons (citation du communiqué):

L’envoi de messages de prévention

Le dispositif prévoit le repérage par les sociétés d’auteurs d’internautes mettant à disposition illégalement des œuvres musicales, l’élaboration d’un message personnalisé d’avertissement et la transmission de ce message et de l’adresse IP concernée au fournisseur d’accès dont cette adresse relève. Le fournisseur d’accès fait le lien entre l’adresse IP et un abonné à qui il envoie le message par courrier électronique. La Commission a considéré que les sociétés d’auteur ne pouvaient avoir recours aux fournisseurs d'accès à internet pour qu’ils identifient les internautes et relayent les messages de prévention, dans la mesure où :

l’envoi de messages pédagogiques pour le compte de tiers ne fait pas partie des cas de figure où les fournisseurs d’accès à internet sont autorisés à conserver les données de connexions des internautes ;
dans sa décision du 29 juillet 2004 le Conseil constitutionnel pose le principe que les données collectées à l’occasion des traitements portant sur des infractions aux droits d’auteur ne pourront acquérir un caractère nominatif que sous le contrôle de l’autorité judiciaire.

La recherche et la constatation de mise à disposition illégale d’œuvres musicales

La Commission a estimé que les dispositifs présentés n’étaient pas proportionnés à la finalité poursuivie, dans la mesure où :

ils n’ont pas pour objet la réalisation d’actions ponctuelles strictement limitées au besoin de la lutte contre la contrefaçon ;
ils peuvent aboutir à une collecte massive de données à caractère personnel ;
ils permettent la surveillance exhaustive et continue des réseaux d’échanges de fichiers «peer to peer» ;
la sélection des internautes susceptibles de faire l’objet de poursuites pénales ou civiles s’effectue sur la base de seuils relatifs au nombre de fichiers mis à disposition qui sont déterminés uniquement par les sociétés d’auteurs et que celles-ci se réservent la possibilité de réviser unilatéralement à tout moment.

-- Sésame, ouvre-toi ! -- Tu as qu'à pousser la porte, elle est pas vérouillée...

yves — Sat, 10 Sep 2005 14:53:36 +0000

Pas grand chose à ajouter à cet article de Jean-Marc Manach sur l'absence totale de sécurité de la carte de sécurité sociale Sesam Vitale. C'est un bon exemple des problèmes de sécurité, et aussi un bon exemple des risques pour la protection de la vie privée.

On pourra en effet faire le lien avec cet appel concernant le dossier médical (carte Sesam Vitale 2), et avec cet autre article déjà ancien. et étendre la problématique aux menaces sur le secret médical au dossier médical.

RFID - Puce sous-cutanée

yves — Fri, 15 Oct 2004 09:06:12 +0000

Les puces RFID, j'en ai déjà parlé longuement, et voilà que l'administration américaine autorise la commercialisation d'une version sous-cutanée de cette puce. C'est cette puce qui pourrait être implantée dans les SDF américains, au motif fort louable de faciliter leur suivi médical. Rappelons juste que lors des J.O. d'Atlanta, l'administrition s'était servi des données des services sociaux et médicaux pour éloigner les SDF du champ de vision des spectateurs.

Via Weblogs P2P & NTIC.

Qui a peur de Big Brother ?

yves — Mon, 04 Oct 2004 12:26:36 +0000

À lire, un article du Monde Diplomatique: Qui a peur de Big Brother ? ça parle des moyens de contrôles (biométrie) et de leur limites, et des risques liés aux fichages, entre autres.

Mise à jour de la loi de Informatique & liberté

yves — Tue, 14 Sep 2004 11:29:50 +0000

La loi de 1978 a été mise à jour récemment, et les modifications sont loin d'être anodines. Entre autres:

Fichiers de police : simple avis motivé (et non plus favorable) de la CNIL.
Autoriser les ayants droits de la création culturelle pour la constition de fichiers de données de connexion (lutte contre le P2P)^[1].
Création d'un "correspondant aux données", simplifiant les mesures de déclarations des fichiers & traitements (plus de déclaration préalable obligatoire).

Les avis sont partagés mais en me rappelant l'origine de cette loi, j'ai du mal à ne pas être du même avis que bucheron.net.

Notes

[1] C'est essentiellement la collecte d'adresse IP. Et cela pose le problème des usurpations d'IP (IP spoofing).

Puces RFID et vie privée

yves — Thu, 26 Aug 2004 19:19:10 +0000

Avertissement préalable: ce billet présente un exemple des risques que la technologie peut faire courir aux libertés individuelles. Quelques connaissances de base sont un préalable souhaitable à sa lecture.

Je suis contre ces technologies dont la banalisation rampante est un vrai danger pour la liberté individuelle. Gardez ça en tête en lisant ce qui suit ne peut surement pas vous empécher d'y réfléchir par vous-même.

RFID

RFID, c'est le sigle à la mode qui désigne des petites puces électroniques capables d'émettre des ondes radio (jusqu'à 1m50 environ parait-il) et qui ont été imaginé pour remplacer les codes barres des produits de consomation.

Résumé rapide sur les RFID

Jusque là tout va bien, et les gens intéressés mais pressés peuvent se contenter de lire l'article de la Cité des sciencesur la question, c'est un résumé explicatif bien fait et assez complet, qui aborde aussi en passant la grave question des nouveaux risques pour la vie privée liés à cette technologie.

Quelques lectures pour approfondir un peu

Commençons par le commencement, d'abord qu'est-ce que c'est que ce truc? expliqué dans le dossier de l'excellent mais hélas défunt Transfert.net.

Maintenant les atteintes possibles à la vie privée: ces puces sont assez petites pour ne pas être facilement visibles, et elles sont susceptibles de signaler leur passage à proximité de chaque lecteur qui pourrait être installé, mettons, au niveau de portes et de passages étroits. Dans la mesure ou chaque puce a au moins un identifiant unique, elle permet de tracer son porteur: il suffit d'associer un nom à l'identifiant, par exemple lors du paiement en caisse. C'est cette crainte qu'exprime cette entrevue avec la directrice d'une ONG qui lutte contre la propagation de ces technologies intrusives.

Ces deux articles datent de mars 2003 et depuis de l'onde a coulé sous les codes-barres, et en dehors du commerce. Il aurait été illusoire de croire qu'une technologie aussi formidable allait rester cantonée dans nos supermarchés. C'est une technologie qui pourrait servir aussi dans les transports par exemple.

La CNIL s'est émue des possibilités d'atteintes à la vie privée^[1], ainsi qu'un rapport suisse d'aiileurs, et ces craintes ont largement été confirmées par l'actualité mondiale.

On utilise déjà ces technologies pour marquer les clients dans une boite de nuit espagnole, pour tracer les déplacements d'écoliers et de clients de parc d'attraction ou pour pister les participants d'une conférence internationale.

La tentation est belle pour les dirigeants d'Oceania de s'en servir pour pister tout le monde et tout le temps, en les glissant dans les cartes d'identité par exemple, il semble que certains y aient déjà pensé (c'est une reprise d'un article du Monde, et le RFID est à la fin) et qu'il y ait déjà des réactions contre. De toutes façon et comme d'habitude, on commencera par les plus vulnérables (La partie sur les SDF américains reprise partout est à la fin également).

Et si vous croyez que généraliser ces technologies va être enfin la panacée pour la sécurité publique et contre le vol, lisez donc ça.

Pour finir une citation de Benjamin Franklin s'impose^[2], pour alimenter vos réflexions philosophiques sur le sujet: «Quiconque est prêt à sacrifier sa libérté pour une sécurité provisoire ne mérite ni l'un ni l'autre».

Notes

[1] c'était avant la réforme de la loi de 1978. Je ne suis pas sûr que le risque ne soit pas encore plus grand maintenant que l'obligation de déclaration des fichiers a été supprimée dans le cas de la nomination d'un «correspondant à la protection des données».

[2] je sais, c'est la citation obligatoire sur le sujet...

Respect de la vie privée: exemple de la biométrie

yves — Mon, 02 Aug 2004 20:52:58 +0000

On vous a déjà pris vos empreintes digitales? c'est un exemple de ce qu'on appelle la biométrie. Normalement, ce sont des organismes d'état qui enregistrent ce genre de données personnelles. Que diriez-vous si on vous demandait de les laisser pour avoir une carte de réduction dans un Aquarium?

C'est ce qui est arrivé à un lyonnais, et qui est raconté ici. La réponse du Président de l'Aquarium, ainsi que la réponse de Michel Bouissou, sont sur son site.

La CNIL, dont j'ai déjà présenté la mission ici-même, avait déjà refusé à un collège l'autorisation d'utiliser cette technologie, mais cela n'empêche pas sa propagation (voir également ce résumé). Malgrè les avis pas toujours très positifs des spécialistes.