Fustigeant la banalisation de la vidéosurveillance, et déplorant qu’elle « ne fait plus débat depuis longtemps », la Commission nationale consultative des droits de l’homme formule 10 propositions afin que les caméras ne se déploient plus sans contrôles, comme c’est le cas depuis des années. Première partie de notre dossier sur son long avis.
La Commission nationale consultative des droits de l’homme (CNCDH) s’inquiète de la « banalisation » et de la « prolifération » des caméras de vidéosurveillance, « auxquelles se sont ajoutées récemment les caméras aéroportées (drones) », qui « dénaturent l’espace public en suscitant un sentiment de surveillance accrue au sein de la population ».
Elle déplore également l’insuffisance des contrôles en amont de ces dispositifs, le déficit de formation et de sensibilisation aux enjeux liés aux droits fondamentaux de l’usage de dispositifs de surveillance, notamment lorsqu’ils sont associés à des logiciels d’intelligence artificielle, et le défaut d’information claire pour le grand public.
Dans un avis adopté (à l’unanimité) le 20 juin, la Commission formule une série de recommandations pour que l’encadrement des dispositifs de vidéosurveillance garantisse davantage le respect des droits et libertés fondamentaux.
Notre dossier sur l’avis de la CNCDH :
Vidéosurveillance (1/3) : des caméras toujours plus nombreuses et intrusives
Vidéosurveillance (3/3) : « ce qui se joue, c’est un choix de société » (à venir)
Elle craint, en effet, que cette « société panoptique » n’induise « un nouveau type de rapport entre la police et la population, caractérisé par la défiance et la distance ».
De « profondes inquiétudes »
Elle rappelle aussi son opposition à l’identification biométrique à distance en temps réel dans l’espace public et les lieux accessibles au public, « en admettant pour seule exception son utilisation pour la prévention d’une menace grave et imminente pour la vie, ou la sécurité des personnes et celle des ouvrages, installations et établissements d’importance vitale ».
Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
L’ANSSI vient de publier son « CyberDico », qui présente les traductions et définitions en français et en anglais des principaux mots, sigles et expressions de la cybersécurité, et qui sera « mis à jour régulièrement ».
BYOD (Bring Your Own Device) devrait ainsi désormais être remplacé par AVEC (pour « Apportez Votre Equipement personnel de Communication »), cloud par infrastructure nuagique, cookie par témoin de connexion, darknet et dark web par Internet clandestin et Internet caché/sombre, jailbreak par débridage système, et Domain name system/DNS par système d’adressage par domaines.
Spyware devrait faire place à espiogiciel, malware à maliciel, la catégorie d’attaque Man-in-the-middle deviendrait « Homme-au-milieu-entre-deux » (sic), Peer-to-peer (P2P) Poste-à-poste, spam pourriel ou « polluriel », les vulnérabilités Zero-day ou 0-day se renommeraient 0 jour ou jour zéro, et les webcams des cybercaméras.
L’ANSSI ne le mentionne pas, mais vous trouverez de nombreuses autres traductions sur l’ « ensemble de conducteurs d’interconnexion de plusieurs organes numériques d’un ordinateur » bitoduc.fr.
La vidéosurveillance occupe une place toujours plus importante, au grand dam de la Commission nationale consultative des droits de l’homme. Elle formule ainsi 10 propositions pour que les caméras ne se déploient plus sans contrôles. Seconde partie de notre dossier sur son long avis.
Hier, nous expliquions que la Commission nationale consultative des droits de l’homme (CNCDH) s’inquiétait de la « banalisation » et de la « prolifération » des caméras de vidéosurveillance. Ce n’est pas le seul point problématique. Le rayon d’action s’est considérablement étendu et les méthodes de contrôle insuffisamment appliquées, au point que la CNCDH en arrive à comparer les caméras à « des outils d’intimidation ».
Vidéosurveillance (2/3) : un rayon d’action toujours plus large, des garanties insuffisantes
Vidéosurveillance (3/3) : « ce qui se joue, c’est un choix de société » (à venir)
De la surveillance des rues à celle des manifestations et frontières
La CNCDH relève que depuis leur légalisation par la loi n° 95-73 d’orientation et de programmation relative à la sécurité de 1995, la liste des finalités justifiant l’installation de caméras sur la voie publique « a été progressivement allongée et en compte désormais onze », contre cinq à l’origine.
Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Le PDG de Google avait annoncé, en janvier, des licenciements « pour simplifier l’exécution et accélérer la vitesse » du lancement de nouveaux produits liés à l’IA. Depuis, plusieurs des principaux responsables en charge du respect des réglementations ont quitté l’entreprise.
« Au moins six des principaux responsables de la protection de la vie privée et de la réglementation de Google ont quitté l’entreprise au cours des derniers mois, et une équipe de surveillance clé a été dissoute » révèle une enquête de POLITICO :
« Les dirigeants qui quittent l’entreprise sont le responsable de la protection de la vie privée, Keith Enright ; le directeur de la protection de la vie privée pour les produits et l’ingénierie, Lawrence You ; la fondatrice de l’équipe responsable des opérations d’IA et de la gouvernance, Jen Gennai ; le responsable mondial de la conformité, Spyro Karetsos ; la responsable de la conformité pour l’Amérique latine, Patricia Godoy Oliveira ; et le responsable de l’équité en matière de santé, le Dr Ivor Horn. »
Or, souligne POLITICO, les équipes de Google chargées de la confidentialité et de la conformité sont chargées de veiller à ce que les projets n’aillent pas à l’encontre de textes tels que le RGPD et autres règlements européens. Elles doivent aussi prendre en compte les préoccupations éthiques telles que les résultats biaisés découlant des résultats de l’intelligence artificielle.
Dans la dernière partie de notre dossier sur le long avis de la Commission nationale consultative des droits de l’homme consacré à la vidéosurveillance, nous revenons sur ses conclusions, et ses dix propositions afin que les caméras ne se déploient plus sans contrôles.
Dans la première partie de notre dossier, nous étions revenus sur l’augmentation du nombre de caméras dédiées à la vidéosurveillance. Nous avons ensuite étudié le rayon d’action qui augmente de manière significative au fil des années, avec des garanties « insuffisantes, faute d’une mise en œuvre appropriée ». Dans cette troisième et dernière partie, nous revenons sur les conclusions et les recommandations de la Commission nationale consultative des droits de l’homme.
Réformer les commissions départementales de vidéoprotection
La CNCDH relève que les commissions départementales de vidéoprotection chargées d’examiner les demandes d’autorisation de recourir à des caméras de surveillance dans l’espace public « avaient été conçues à l’origine comme un véritable levier de contrôle, en amont et en aval », mais qu’ « il convient non seulement de renforcer leurs prérogatives de contrôle, mais également de revoir leur composition ».
Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
La direction de Zoom, qui s’était notamment illustrée en contribuant à généraliser le télétravail pendant la pandémie de COVID-19, a demandé à ceux de ses employés vivant dans un rayon de 80 km d’un de leurs quatre bureaux (à San José, Denver, Santa Barbara et Kansas City) de revenir y travailler deux jours par semaine, rapporte Fortune.
« Nous sommes toujours majoritairement à distance, mais je pense que beaucoup de gens oublient nos nombreux produits et solutions qui ne sont conçus que pour le travail au bureau », explique Matthew Saxon, directeur des ressources humaines de Zoom depuis 2022 : « Dès la première semaine du déploiement, les idées ont commencé à fuser pour améliorer les produits et accroître l’efficacité » de l’entreprise.
Ces deux jours au bureau pour les travailleurs locaux sont consacrés à des travaux qui seraient plus efficaces en présentiel, « comme la formation et les réunions de l’ensemble du personnel, avec un simple verre après le travail », précise Fortune.
Ironie de l’histoire, Matthew Saxon, vit quant à lui à Austin, qui est à 2 760 kilomètres de San José, 1 465 de Denver, 2 371 de Santa Barbara et 1 183 de Kansas City, ce pourquoi il continue de son côté à télétravailler.
« Je pense que je peux gérer efficacement le personnel de Zoom tout en travaillant à distance », a-t-il répondu à Fortune. « Je pense que nous pouvons très, très efficacement faire avancer les choses » sans avoir besoin de retourner au bureau, a-t-il ajouté, avant de préciser :
« Lorsque nous avons eu une approche de laisser-faire [en français dans le texte, ndlr] pour venir certains jours, cela a été sous-optimisé, nous ont expliqué des employés. Nous nous sommes donc dit : « D’accord, essayons différemment ». Et je pense que cela a été un succès. »
Le numéro 440 de juillet-août de la revue Cahiers français de La Documentation française propose un dossier de 90 pages consacré aux « coulisses du renseignement ».
Le renseignement français est-il suffisamment doté et équipé sur le plan technologique pour faire face aux menaces extérieures ? Pour Bernard Bajolet, directeur général de la sécurité extérieure de 2013 à 2017, la France est le premier pays de l’Union dans ce domaine :
« On peut dire que oui, car un effort considérable a été fourni depuis près d’une vingtaine d’années et poursuivi par tous les gouvernements qui se sont succédé pendant cette période. Cela fait de la France le premier pays parmi les 27 membres de l’Union européenne dans le domaine du renseignement technique. »
Il reconnaît cependant qu’elle demeure « encore assez loin derrière le Royaume-Uni » et son Government Communications Headquarters (GCHQ, l’équivalent britannique de la NSA), qui emploie plus de 7 000 personnes. En guise de comparaison, la direction technique et de l’innovation de la DGSE emploie environ 3 500 des 7 000 agents du service de renseignement extérieur.
En 2010, Bernard Barbier, alors le directeur technique de la DGSE, expliquait que dans les années 80, la France avait près de 40 ans de retard sur les anglo-saxons. Depuis, elle figurerait « en première division ». Elle ferait même partie du « Top 5 » (avec les États-Unis, la Grande-Bretagne, Israël et la Chine) des pays en termes de renseignement technique.
À l’époque, la direction technique (DT), à la tête de « la plus forte équipe de crypto mathématiciens » de France, n’employait que 1 100 personnes, soit un peu moins du quart des 4 750 agents de la DGSE. La NSA en employait alors 40 000, le GCHQ 5 000 (tout comme l’Unité 8200 israélienne), le Centre de la sécurité des télécommunications (CST) canadien 2 500, et la Chine de 100 000 à 300 000 personnes.
Bernard Bajolet relève en outre que la loi renseignement, adoptée en 2015 pour encadrer le renseignement technique et garantir la protection des citoyens, « est une des plus avancées dans le monde ». Chaque recours à une technique de renseignement doit faire l’objet d’une autorisation après avis d’une commission indépendante, la Commission nationale de contrôle des techniques de renseignement (CNCTR) :
« Ce protocole s’applique même à la surveillance internationale, c’est-à-dire à l’espionnage électronique hors de nos frontières. Ni la National Security Agency (NSA) américaine ni le GCHQ britannique ne s’embarrassent de telles précautions, et on ne parle pas de la Chine ni de la Russie ! »
Un ingénieur en informatique de 26 ans a été interpelé dans son appartement toulousain en mai, mis en examen par un juge d’instruction parisien pour extorsion en bande organisée, et placé en détention provisoire, révèle Le Parisien.
Formé à l’Épitech, il travaillait pour Cap Gemini depuis 2021. Or, son employeur avait été victime d’une attaque de rançongiciel le 2 octobre dernier. Les données d’un de ses serveurs, contenant des informations sensibles au sujet d’un récepteur nouvelle génération portant sur la navigation par satellite, avaient été chiffrées.
« Les experts en cybersécurité soupçonnent aussitôt un hacker russophone », explique Le Parisien, au motif que, d’après un spécialiste de cybercriminalité, les attaques par rançongiciel sont menées par des cracks, ne « sont pas du tout à la portée du premier venu », et parce qu’ « il faut faire partie d’un réseau » d’affiliés à un gang, souvent d’origine russophone.
Étrangement, eu égard au chiffre d’affaires du géant de l’informatique (3,5 milliards d’euros l’an passé), la demande de rançon n’était pourtant que de 5 000 dollars en bitcoin, « non négociable », à payer dans les quatre jours, sous peine de voir les données revendues. Un montant qui ne colle pas vraiment avec celui que réclame les gangs russophones ciblant les grandes entreprises.
L’enquête a été confiée à la brigade de lutte contre la cybercriminalité (BL2C), le service spécialisé de la police judiciaire parisienne pionnier dans la lutte contre les rançongiciels. Elle a finalement débouché, 6 mois plus tard, sur l’interpellation de l’employé toulousain de Cap Gemini.
Interrogé par le juge d’instruction, il aurait nié être l’auteur de cette attaque, mais n’en a pas moins été, malgré son casier judiciaire vierge, placé en détention provisoire en attendant la fin de l’instruction à la prison de la Santé.
L’ingénieur est soupçonné d’avoir récupéré le rançongiciel utilisé, Knight, « pour allumer un contre-feu en faisant croire que l’ennemi venait de loin », résume Le Parisien.
Le Commandement du ministère de l’Intérieur dans le cyberespace (COMCYBER-MI) vient d’annoncer le lancement, en collaboration avec Cybermalveillance.gouv.fr, SenCy-Crise. C’est un programme (gratuit) de « e-sensibilisation » afin d’initier les petites et moyennes structures, publiques ou privées, aux fondamentaux de la gestion de crise cyber.
Les PME, TPE, ETI et collectivités sont en effet « particulièrement vulnérables », et « souvent les principales victimes des cyberattaques, sans pour autant avoir les ressources nécessaires pour gérer ces crises ».
En 2023, l’ANSSI avait, en effet, relevé que 43 % des cyberattaques ciblaient les petites entreprises. Avec des conséquences parfois « dévastatrices » pouvant conduire jusqu’à la fermeture de la structure, voire au suicide de certaines victimes, précise le MOOC. Il évoque également une augmentation de 40 % du nombre de cyberattaques en cinq ans.
« Il est important que chacun comprenne que face à la crise cyber, nous ne sommes pas seuls ! », explique le Général de division Christophe Husson, chef du COMCYBER-MI :
« Les forces de l’ordre aux côtés d’autres acteurs publics comme Cybermalveillance.gouv.fr ou encore l’ANSSI se mobilisent pour venir en aide aux victimes de cyberattaques. Pas seulement quand il est trop tard, mais également en amont en accompagnant celles et ceux qui souhaitent renforcer la cybersécurité de leur organisation. SenCy-Crise permettra une sensibilisation du plus grand nombre aux fondamentaux de la gestion de crise cyber. C’est ensemble que nous renforcerons la cyberrésilience de notre nation ! »
SenCy-Crise propose un MOOC (cours en ligne ouvert à tous), préparé par des réservistes cyber de la Gendarmerie Nationale, et fondé sur les trois phases de la gestion de crise cyber : l’anticipation, la résilience et la capitalisation, via trois modules : « Avant la crise : anticiper pour mieux se préparer », « Pendant la crise : Faire preuve de résilience », et « Après la crise : Capitaliser pour mieux anticiper ».
Ils abordent les fondamentaux de la gestion de crise cyber en répondant à 4 objectifs principaux :
Mieux connaitre votre structure pour identifier les menaces auxquelles elle est exposée.
Préparer votre organisation à faire face à une crise cyber.
Savoir réagir au mieux à une cyberattaque.
Tirer des enseignements des incidents passés pour mieux anticiper.
« En moins de deux heures, nous accompagnons les apprenants du début à la fin d’une gestion de crise cyber », résume le COMCYBER-MI.
Conçus pour être accessible à tous à travers des conseils simples à mettre en œuvre, des témoignages de professionnels et de victimes de cyberattaques et des outils d’aide à la réflexion, les modules, « entièrement composés contenus vidéos dynamiques de courte durée, laissant ainsi la possibilité d’avancer progressivement et à son rythme ».
La société israélienne spécialisée dans l’inforensique et l’exploitation des données des téléphones portables a mis à disposition du FBI une version bêta de son logiciel. Des documents internes révèlent par ailleurs que les récents iPhone et Google Pixel resteraient inaccessibles.
Le FBI a eu recours à une technologie « inédite » pour accéder au téléphone de l’homme qui avait tenté d’assassiner Donald Trump, révèle Bloomberg.
Thomas Matthew Crooks possédait en effet un « nouveau » terminal Samsung fonctionnant avec le système d’exploitation Android, que le logiciel d’inforensique Cellebrite n’est pas parvenu à déverrouiller.
Le FBI a donc contacté l’éditeur du logiciel israélien, qui lui a fourni « une assistance technique supplémentaire et un nouveau logiciel encore en cours de développement », précisent plusieurs sources à Bloomberg.
Le déverrouillage du téléphone, qui peut prendre « quelques secondes, quelques jours, voire quelques années, en fonction de la complexité du code de passe alphanumérique du propriétaire », aurait pris 40 minutes.
Le logiciel Cellebrite recourt en effet à différentes méthodes afin de contourner ou désactiver les mécanismes intégrés qui bloquent les tentatives répétées de saisie du code d’accès, mais les capacités logicielles et matérielles n’ont de cesse de s’améliorer. La société vante, par exemple, son Supersonic BF (force brute), qui permet « d’accéder aux appareils de données mobiles 40 fois plus rapidement ».
Cellebrite à la peine avec les iPhone…
Des documents datant d’avril 2024, obtenus d’un client de Cellebrite et vérifiés par 404 Media, montrent cela dit que son logiciel ne serait pas en capacité de pouvoir déverrouiller un grand nombre d’iPhone disponibles sur le marché, et peinerait également avec certains Android.
Le document de Cellebrite consacré aux iPhone indique qu’il a récemment ajouté la prise en charge de des iPhone XR et 11 sous iOS 17.1 à 17.3.1 avec sa capacité Supersonic BF. Il indique « prochainement » pour les iPhone 12 à 14 dans les mêmes conditions, et « en recherche » pour l’iPhone 15 sur ces anciennes versions d’iOS (ce smartphone est sorti avec iOS 17.0 pour rappel).
Attention, aucun smartphone verrouillé fonctionnant avec iOS 17.4 (sortie en mars 2024) ou une version plus récente n’est pris en charge par Cellebrite, il est simplement précisé : « en recherche ». Le document datant du mois d’avril, les choses ont pu bouger entre temps, mais Apple est aussi déjà à iOS 17.5 et à la 18 en version bêta publique.
Cellebrite / 404 Media
Or, relève 404Media, l’iPhone 11 est sorti en 2019 : « En d’autres termes, Cellebrite n’a pu déverrouiller [avec sa technologie Supersonic BF, ndlr] que des iPhone sortis il y a cinq ans, fonctionnant avec l’avant-dernière version d’iOS », c’est-à-dire iOS 17.3 au moment de la publication du document.
En clair, sur un iPhone 12 ou n’importe quel iPhone avec une version d’iOS 17.4 ou plus récente, Cellebrite ne peut a priori rien, du moins selon les documents d’avril 2024.
Les données publiées par Apple en juin indiquent que la grande majorité des utilisateurs d’iPhone sont passés à iOS 17, le système d’exploitation étant installé sur 77 % de tous les iPhone et 87 % de ceux lancés au cours des quatre dernières années.
… et les Google Pixel
Un second document montre que Cellebrite « ne dispose pas non plus d’une couverture globale des appareils Android verrouillés, bien qu’il couvre la plupart de ceux qui sont listés », résume 404 Media.
Cellebrite ne peut pas, par exemple, utiliser la force brute sur un Google Pixel 6, 7 ou 8 qui a été éteint. La version la plus récente du système d’exploitation à l’époque des documents était Android 14, sortie en octobre 2023.
Cellebrite / 404 Media
Les téléphones Huawei, LG, Motorola, Xiaomi, Sony, OnePlus « et beaucoup d’autres » ne sembleraient pas, a contrario, poser trop de problèmes à Cellebrite.
Victor Ryan Cooper, directeur principal des communications d’entreprise et du contenu chez Cellebrite, a confirmé l’authenticité des documents dans une déclaration envoyée par courriel à 404 Media :
« Comme pour toute autre entreprise de logiciels, les documents sont conçus pour aider nos clients à comprendre les capacités technologiques de Cellebrite lorsqu’ils mènent des enquêtes éthiques et légales, dans les limites d’un mandat de perquisition ou du consentement d’un propriétaire à la perquisition.
La raison pour laquelle nous n’annonçons pas ouvertement nos mises à jour est que les acteurs malintentionnés ne devraient pas avoir accès à des informations qui pourraient favoriser leurs activités criminelles. »
Quoi qu’il en soit, ces documents permettent d’établir un état des lieux des capacités de Cellebrite il y a quelques mois. Ils avaient d’ailleurs longuement été discutés sur le forum de GrapheneOS, un système d’exploitation durci pour Android, en mai dernier.
Google vient de mettre à jour sa politique en matière de spam et de fonctionnalités minimales afin de s’assurer que les applications qui font actuellement partie du catalogue Play offrent aux utilisateurs une expérience de qualité, relève Android Authority.
Google précise que « les applications doivent être stables, réactives et attrayantes pour l’utilisateur » :
« Les applications qui tombent en panne, qui n’ont pas le degré de base d’utilité adéquat en tant qu’applications mobiles, qui manquent de contenu attrayant ou qui présentent d’autres comportements qui ne sont pas compatibles avec une expérience utilisateur fonctionnelle et attrayante ne sont pas autorisées sur Google Play. »
La société donne comme exemples les applications se bornant à afficher des fichiers texte ou PDF, « à fond d’écran unique », qui crashent, se figent ou fonctionnent de manière anormale après l’installation. Cette mise à jour devrait entrer en vigueur le 31 août 2024.
En avril dernier, Google avait annoncé avoir empêché, en 2023, la publication sur le Play Store de 2,28 millions d’applications, et banni 333 000 comptes « pour des violations telles que des logiciels malveillants confirmés et des violations graves et répétées de la politique de l’entreprise ».
« Le temps d’un Linux comparé à un « cancer » par Steve Ballmer semble loin », écrivait Next en 2014. Satya Nadella venait en effet d’affirmer lors d’une conférence Azure à San Francisco que Microsoft aimait Linux. 20 % des machines virtuelles créées dans Azure hébergeaient alors une distribution Linux.
10 ans plus tard, « plus de 60 % des offres Azure Marketplace sont basées sur Linux, ce qui représente environ 20 000 services au total, et plus de 60 % des cœurs de VM sont construits sur Linux », rapporte The New Stack.
Des centaines de services Azure et basés sur Azure reposent en effet sur Linux, notamment Azure Kubernetes Service (AKS), OpenAI, HDInsight (qui permet d’exécuter, entre autres, Apache Spark, Hive, Kafka et HBase) et de nombreux autres services de base de données.
Au total, environ 20 000 packages SaaS (Software as a Service) tiers sur la place de marché Azure reposeraient ainsi sur une distribution Linux approuvée, parmi lesquelles Red Hat Enterprise Linux, Debian, Flatcar, Suse, Canonical, Oracle Linux et CentOS, précisent deux responsables du programme Microsoft Azure Linux Platforms Group, Jack Aboutboul et Krum Kashan, dans une conférence au sommet Open Source de la Fondation Linux :
« Une fois qu’une distribution est approuvée, Microsoft doit consacrer du temps à l’ingénierie pour s’assurer qu’elle fonctionne correctement au sein d’Azure. Microsoft établit une relation contractuelle avec le distributeur. Périodiquement, Microsoft rencontre ces entreprises pour les informer des changements à venir et des problèmes en cours. Enfin, Microsoft déploie des efforts considérables pour s’assurer que les paquets sont mis à jour en temps voulu, grâce à l’infrastructure miroir Azure. »
L’entreprise teste ainsi plus de 1 000 distributions Linux par mois afin de s’assurer que les applications de ses clients y fonctionnent sans problème. Par mesure de sécurité, « Azure teste les mises à jour avant de les diffuser sur les machines des utilisateurs afin de s’assurer qu’elles n’endommagent pas les systèmes », précise The New Stack.
L’entreprise surveille également en permanence le noyau en cours de développement actif qui sera la prochaine version de la branche stable. Microsoft maintient en effet de son propre noyau, Azure-tuned, optimisé pour les performances et pour le matériel Azure.
La société israélienne, spécialisée dans l’inforensique et l’exploitation des données des téléphones portables, se vante de déverrouiller tous les iPhone. Mais elle n’est plus en mesure de lancer des attaques par force brute sur les iPhone 12 et suivants, lancés depuis 2020.
L’équipe de GrapheneOS (une version durcie d’Android) vient de publier des captures d’écran de la mise à jour de juillet des capacités de déverrouillage des iPhone et Android par Cellebrite.
404Media avait en effet relevé qu’en avril dernier, l’éditeur israélien de solutions criminalistiques informatiques ne parvenait pas à déverrouiller les derniers iPhone d’Apple et Pixel de Google.
Sur iOS 17.1 à 17.3.1, la fiche estampillée 7.69.1 indiquait « Coming soon » pour la possibilité de déverrouiller les iPhone 12 à 14. Il était indiqué « in research » pour l’iPhone 15 sous iOS 17.x ainsi que tous les iPhone à partir du XR avec iOS 17.4.
Cellebrite & GrapheneOSCellebrite & 404 Media
Or, dans la mise à jour 7.69.5 de juillet, ces mentions ont été remplacées par « AFU » pour les iPhone XR à 14. L’iPhone 15 est à part avec « Available in CAS », nous y reviendrons.
Cellebrite précise qu’AFU est l’acronyme d’« After First Unlock », qu’Apple désigne également comme « Protected Until First User Authentication » (« Protection complète jusqu’à la première authentification de l’utilisateur » en français).
Ce terme désigne l’état des appareils qui ont été déverrouillés « au moins une fois » après avoir été mis sous tension. Cela « permet aux outils de collecter des informations à partir de l’appareil », à mesure que « de nombreuses données sont transférées dans un mode différent une fois que l’iPhone a été déverrouillé pour la première fois après le redémarrage » :
« En fait, l’iPhone est presque toujours dans l’état AFU. Il est peu probable que la plupart des propriétaires d’iPhone redémarrent leur téléphone pendant des jours ou des semaines. La majorité des gens n’éteignent pas leur téléphone après chaque utilisation, car cela reviendrait à le faire des dizaines, voire des centaines de fois par jour. »
Cellebrite bute sur la Secure Enclave, renforcée en 2020
L'accès aux données chiffrées dépend, dès lors, non seulement de l'accès physique au terminal, mais aussi et surtout du fait qu'il ait été déverrouillé une première fois par son utilisateur. Avant le premier déverrouillage (BFU ou Before First Unlock), l'appareil ne peut déchiffrer les données que si son propriétaire a saisi la clé requise. Après le premier déverrouillage (AFU ou After First Unlock), l'appareil enregistre la clé de déchiffrement afin de pouvoir y accéder.
La version francophone du site web de Cellebrite précise qu'« il est impératif de maintenir l’appareil en "vie" après la saisie ! ». Ce qui est logique, sinon l’appareil s’éteint et passe ainsi automatiquement en mode BFU, adieu donc les « avantages » du monde AFU.
Quand bien même le terminal serait passé en veille, Cellebrite a conçu Supersonic BF (en référence à l'attaque par force brute), qui permettrait « d'accéder aux appareils de données mobiles 40 fois plus rapidement ». Une solution utilisable uniquement sur les iPhone 6 à 11 (et SE de 2e génération), sortis jusqu’en 2020.
Cellebrite précise en effet que « le mode de stockage des clés peut varier » :
« De nombreux appareils placent les clés de déchiffrement dans la mémoire. Cependant, la méthode la plus sûre consiste à stocker les clés dans une puce sécurisée, comme le matériel Secure Enclave sur les iPhone. Une puce sécurisée fait obstacle entre la clé de déchiffrement et tout logiciel ou matériel malveillant. Cela l'empêche de trouver un moyen de garantir un accès illimité à la mémoire du système. »
Or, l'article d'Apple consacré à la Secure Enclave précise que les appareils commercialisés pour la première fois à partir de l’automne 2020 sont équipés d’un composant de stockage sécurisé de deuxième génération, qui ajoute des « référentiels sécurisés de compteur [...] au moyen d’un protocole chiffré et authentifié » :
« Pour accéder aux données utilisateur, la Secure Enclave jumelée doit dériver la valeur d’entropie du code à partir du code de l’utilisateur et de l’UID de la Secure Enclave. Le code de l’utilisateur ne peut pas être appris au moyen des tentatives de déverrouillage provenant d’une source autre que la Secure Enclave jumelée. Si la limite de tentatives est atteinte (par exemple 10 sur iPhone), le composant de stockage sécurisé efface complètement les données protégées par code. »
Cellebrite bute aussi sur les iPhone 15
Les tentatives de déverrouillage des iPhone 15 sont de leur côté externalisées auprès de la division « Cellebrite Advanced Services » (CAS) qui propose aux forces de l’ordre un « accès rapide et efficace à des données réputées inaccessibles » et a ses « services de déverrouillage et d’extraction avancés ».
Forte de dix laboratoires dans le monde, elle repose sur l'expertise de professionnels du renseignement numérique « hautement qualifiés et certifiés, ainsi que d’experts des tribunaux », possédant une grande expérience afin d'aider à « contourner les systèmes de chiffrement les plus complexes, grâce aux méthodes de pointe issues de la R&D Cellebrite ».
Les iPhone déverrouillés sont quant à eux accessibles en mode « FFS », pour « Full File System ». Cela désigne, dans le domaine de la criminalistique numérique, la possibilité d'une complète extraction, voire l'accès au système de fichiers complet, « y compris les fichiers actifs, les fichiers supprimés, les fichiers système, les données d'application et les métadonnées ».
Cellebrite bute enfin sur les Google Pixel 6 (et plus) et GrapheneOS
Cellebrite ne serait, par ailleurs, toujours pas en mesure d'utiliser l'attaque par force brute sur les Google Pixel 6 et supérieurs, ainsi que sur GrapheneOS (sauf s'il n'a pas été mis à jour depuis 2022), comme c'était déjà le cas en avril dernier.
GrapheneOS précise en outre que, « par défaut, un appareil GrapheneOS verrouillé revient automatiquement de l'AFU à la BFU après 18 heures », et n'avoir de cesse de durcir l'accès à ses terminaux :
« En février 2024, nous avons ajouté une nouvelle fonctionnalité permettant de désactiver le port USB-C au niveau matériel. En mars 2024, nous avons défini le mode par défaut à "Charge seule lorsque verrouillé, sauf avant le premier déverrouillage". En juin 2024, nous avons augmenté le niveau de sécurité par défaut à "Charge seule lorsque verrouillé", étendu notre protection USB au niveau logiciel, l'avons fusionnée avec la nouvelle fonction de protection au niveau matériel et avons étendu la protection au niveau matériel aux broches de pogo sur la tablette Pixel. Nous disposons désormais d'une protection extrêmement solide contre ces attaques basées sur l'USB. »
« Dans un avenir proche », GrapheneOS prévoit de prendre en charge l'ajout d'un code PIN comme deuxième facteur de déverrouillage par empreinte digitale, afin de « permettre aux utilisateurs d'ajouter une phrase de passe combinée à un déverrouillage secondaire par code PIN et empreinte digitale pour plus de commodité ».
Une vingtaine de régimes autoritaires ont réussi à inscrire à l’agenda des Nations Unies l’élaboration d’une « convention internationale globale sur la lutte contre l’utilisation des technologies de l’information et de la communication à des fins criminelles » qui pourraient contraindre des démocraties à collaborer avec leurs services répressifs, sans prendre en compte les droits humains.
Une vingtaine d’ONG de défense des droits et libertés numériques viennent d’adresser un « appel urgent » à l’intention des délégués de l’Union Européenne et de la Commission européenne. Celui-ci est envoyé en prévision de la reprise de la session de clôture du Comité spécial ad hoc des Nations Unies sur la cybercriminalité à New York, censé durer du 29 juillet au 9 août.
Les signataires y demandent de s’attaquer aux « nombreuses lacunes » du projet de convention de l’ONU sur la cybercriminalité, et de refuser de le soumettre à l’Assemblée générale des Nations Unies pour adoption.
La lettre ouverte, co-signée notamment par Access Now, le Committee to Protect Journalists, European Digital Rights (EDRi), Privacy International et la World Association of News Publishers (WAN-IFRA), fait suite à un long travail de décryptage du projet de texte mené, depuis des années, par l’Electronic Frontier Foundation (EFF), pionnière en la matière.
Droits de l’homme « facultatifs », surveillance « obligatoire »
Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
« Nous avons identifié dix sites ce mardi matin en trois heures, c’est un bilan que l’on dressait auparavant en une semaine », explique au Figaro le capitaine Étienne Lestrelin, de l’Unité nationale cyber (UNCyber) de la gendarmerie. Il a été missionné par Europol en partenariat avec le Comité d’organisation des Jeux olympiques (COJO) pour traquer la fraude aux faux billets.
Au mois de mars, il en avait déjà répertorié 257, et une centaine de plus ces quatre derniers mois. « Cette hausse ne va pas s’arrêter à la cérémonie d’ouverture. Elle va se poursuivre pendant l’ensemble des Jeux », présage le capitaine.
Les sites frauduleux seraient principalement de deux types. Certains, commercialisant traditionnellement des places de spectacles ou de concert, en profitent pour vendre « sans autorisation » des billets pour les JO, mais sans que Le Figaro n’explique comment ils se les seraient procurés.
D’autres n’ont pour objectif que de capter les données liées à l’identité des acquéreurs, puis de leur demander de payer, sans obtenir de billets en retour. « Au total, 78 sites ont été, par une procédure au civil, neutralisés ». Le Figaro ne précise pas s’ils ont été saisis ou bloqués. Une grande majorité de ces plateformes seraient par ailleurs localisées « dans des pays russophones ».
L’UNCyber travaille aussi avec les réseaux sociaux et les plateformes comme Leboncoin pour fermer les comptes des revendeurs de billets. Seule la plateforme officielle du COJO a en effet, l’autorisation de proposer de la revente de billets entre particuliers.
Le capitaine rappelle par ailleurs qu’aucun billet n’a encore été matérialisé : « ils seront créés le jour même des compétitions, en format numérique uniquement, avec un QR code réactif qui va se régénérer jusqu’au scannage de la place », résume Le Figaro.
Une trentaine de plaintes du Mexique, de Grèce, des Pays-Bas ou d’Italie ont déjà été communiquées au COJO au sujet de particuliers victimes de ce type d’escroquerie. « Ces plaintes vont exploser pendant les Jeux. Lors du scannage aux portiques, les personnes comprendront que le QR code reçu n’était qu’un prospectus pour un supermarché », prédit le capitaine de la gendarmerie.
La panne causée par la mise à jour défectueuse de CrowdStrike pourrait coûter 15 milliards de dollars de pertes au niveau mondial, mais dont seuls 10 à 20 % seront remboursés par les compagnies d’assurance.
Parametrix, qui se présente comme « le principal fournisseur de services de surveillance, de modélisation et d’assurance dans le domaine du cloud », estime à 5,4 milliards de dollars le total des pertes financières directes subies par les 500 entreprises américaines du classement Fortune (à l’exclusion de Microsoft), à la suite de la panne de CrowdStrike survenue le 19 juillet.
La « perte moyenne pondérée » serait de 44 millions de dollars par entreprise, mais varie de 6 millions pour les entreprises manufacturières à 143 millions pour les compagnies aériennes :
« Les pertes financières directes les plus importantes seront subies par les entreprises du Fortune 500 dans le secteur de la santé (1,938 milliard de dollars), suivi par le secteur bancaire (1,149 milliard de dollars). Les entreprises de ces secteurs subissent 57 % des pertes, mais ne représentent que 20 % des revenus de Fortune 500, en raison de l’impact inégal de l’événement sur les secteurs d’activité […], tandis que l’événement a coûté aux six compagnies aériennes du classement Fortune 500 environ 860 millions de dollars, pour un revenu de 187,1 milliards de dollars. »
Un quart du classement Fortune 500 a été touché (125 entreprises), dont 100 % des compagnies aériennes de la cohorte, 43 % des détaillants et grossistes, et environ trois quarts des entreprises des secteurs de la santé et de la banque, pour un montant total estimé à 5,4 milliards de dollars de pertes.
Jonatan Hatzor, directeur général de Parametrix, a précisé à Reuters que les pertes financières liées à la panne pourraient s’élever à environ 15 milliards de dollars au niveau mondial, dont 1,5 à 3 milliards seulement couverts pas les assureurs.
Au-delà de ces pertes financières primaires, la panne a entraîné « une cascade de retards opérationnels », précise Parametrix dont l’analyse souligne que les industries traditionnelles qui s’appuient sur des ordinateurs physiques ont connu des délais de rétablissement plus longs, « ce qui souligne la résilience et le rétablissement rapide des systèmes basés sur le cloud ».
39 % de pannes « critiques », contre 18 % d’ordinaire
Parametrix, qui surveille en temps réel plus de 6 000 rapports sur l’état des services de sociétés de logiciels et de services liés à l’informatique, relève environ 300 interruptions de service, en moyenne, par jour. Or, le 18 juillet, ce chiffre était monté à 419, par la panne affectant la plateforme de cloud computing Microsoft Azure, puis à 700 le 19, après la mise à jour défectueuse de CrowdStrike.
De plus, en temps normal, environ 18 % des entreprises ayant signalé une interruption de service la classent comme « critique », 31 % comme « majeure » et 51 % comme « mineure ». Pendant la panne de CrowdStrike, ces proportions sont respectivement passées à 39, 34 et 27 %, indiquant que les entreprises touchées par cet événement l’ont été plus gravement que d’ordinaire.
Sur la base d’études antérieures, Parametrix estime que le rapport entre les pertes assurées et les pertes financières « se situe généralement entre 10 et 20 % », et que les pertes assurées se situeraient donc « entre 0,54 et 1,08 milliard de dollars » pour les entreprises du Fortune500 :
« Cela s’explique par l’importance des rétentions de risque et le faible montant des limites de police des grandes entreprises par rapport aux pertes potentielles liées aux pannes. »
Après avoir dépassé le nombre de supercalculateurs des États-Unis, en 2017, puis en avoir répertorié jusqu’à 226, en 2020, la Chine n’en dénombre plus que 80 cette année au classement Top500 des supercalculateurs les plus rapides du monde. En réponse aux restrictions dont elle fait l’objet, Pékin chercherait ainsi à empêcher les États-Unis de pouvoir mesurer ses capacités de calcul.
La Chine a cessé de participer au Top500 des supercalculateurs les plus rapides du monde, relève le Wall Street Journal. Le dernier classement, publié mi-juin et qui classe en tête trois ordinateurs états-uniens, ne reflèteraient dès lors plus l’état de l’art en la matière.
« Les Chinois ont des machines plus rapides », explique Jack Dongarra, cofondateur de Top500, « mais ils n’ont pas communiqué leurs résultats ». Plusieurs analystes, interrogés par le WSJ, pensent que la Chine craint que les États-Unis n’en profitent pour durcir leurs restrictions en matière d’importations :
« Selon eux, il serait difficile pour la Chine de maintenir son avance en matière de supercalculateurs sans les puces de pointe, dont beaucoup sont fabriquées par NVIDIA, le leader de la Silicon Valley. Sans ces puces, la Chine devrait recourir à une solution de force brute en assemblant des centaines de milliers de puces d’ancienne génération qui consomment beaucoup d’énergie. »
En 2015, les États-Unis avaient en effet réduit l’accès des développeurs chinois de superordinateurs aux puces Intel et à d’autres matériels. Quatre ans plus tard, l’administration Trump avait placé cinq organisations chinoises de supercalculateurs sur une liste noire, au motif qu’elles utilisaient des supercalculateurs à des fins militaires et nucléaires, rappelle le WSJ. Depuis, l’administration Biden a continué à renforcer ses entraves et restrictions à l’exportation.
Après avoir battu les États-Unis, la Chine ne veut plus participer
Le Top500 est né en 1993, lorsque Dongarra (professeur à l’université du Tennessee) et des collègues allemands distribuèrent un problème mathématique à des superordinateurs. Ils classèrent ensuite les machines en fonction du temps qu’elles mettaient à le résoudre.
Pendant plus de deux décennies, les machines américaines dominèrent le classement, publié deux fois par an à partir des données partagées par les équipes en charge des supercalculateurs. Jusqu’à ce que, en novembre 2017, la Chine répertorie 202 machines sur la liste, contre 143 pour les États-Unis.
« Ce fut un tournant majeur », explique M. Dongarra. Après s’en être initialement félicité, la Chine commença à moins participer. Interrogés à ce sujet, des collègues chinois lui ont répondu qu’ils n’étaient plus autorisés à soumettre des informations, se souvient M. Dongarra.
Et ce, d’autant que les derniers modèles chinois utilisent des processeurs produits dans le pays, depuis que ceux d’Intel, NVIDIA et d’autres sociétés américaines sont moins accessibles.
Au Top500, la Chine est passée de 226 supercalculateurs à 80
En mai 2023, Top500 relevait déjà que « les États-Unis ont augmenté leur avance en passant de 126 machines sur la dernière liste à 150 sur celle-ci, tandis que la Chine est passée de 162 systèmes à 134 ».
« Une fois de plus, la Chine et les États-Unis sont les pays qui ont obtenu le plus grand nombre d’entrées sur l’ensemble de la liste Top500 », souligne le communiqué associé au classement de juin 2024. Il note cela dit que le nombre de machines enregistrées par la Chine a depuis été divisé par deux :
« Les États-Unis ont ajouté 7 systèmes par rapport à la liste précédente, ce qui porte leur nombre total de systèmes à 168. La Chine a une fois de plus réduit son nombre de machines représentatives sur la liste, passant de 104 à 80 systèmes. En fait, la Chine n’a pas signalé une seule nouvelle machine pour cette nouvelle liste. »
En juin 2020, les statistiques du Top500 dénombraient 226 supercalculateurs chinois (soit 45,2 % du total), contre 113 états-uniens (22,6 %). En termes de performances, la Chine représentait 25,6 % du total, les États-Unis 28,2.
À gauche, les statistiques de juin 2020, à droite celles de juin 2024
En juin 2024, les 80 machines chinoises ne représentaient plus que 16 % du total, contre 34 % pour les 171 supercalculateurs états-uniens. Leurs performances sont respectivement passées à 4,3 et 53,7 % du total.
Un supercalculateur avec 42 millions de cœurs
« Officiellement », souligne le WSJ, l’ordinateur le plus rapide du Top500 se trouve au laboratoire national d’Oak Ridge, dans le Tennessee, sous l’égide du ministère de l’Énergie. Frontier, qui figure en tête du classement depuis son lancement en 2021, « a la taille de deux courts de tennis » et sa construction a coûté 600 millions de dollars. Sa facture d’électricité s’élève à « environ 20 millions de dollars par an », précise M. Dongarra, qui travaille également à Oak Ridge.
M. Dongarra estime cela dit que Frontier n’est probablement pas le superordinateur le plus rapide du monde. Il ajoute qu’une cinquantaine de superordinateurs, dont certains appartenant à des services de renseignement, figureraient dans le Top500 si leurs propriétaires étaient autorisés à y participer, et donc à transmettre des données sur leurs capacités, résume le WSJ :
« Des articles scientifiques suggèrent que certaines machines chinoises sont meilleures. L’une d’entre elles a été désignée dans les médias d’État comme le prototype Tianhe-3, d’après un terme chinois désignant la Voie lactée, tandis que l’autre est un modèle de la série de superordinateurs Sunway. »
Dans un article scientifique présenté l’an passé pour le prix Gordon Bell de l’Association for Computing Machinery, les « Oscars des supercalculateurs ». Sunway était présenté comme ayant 42 millions de cœurs, soit quatre fois plus que le nombre de cœurs dont dispose Frontier, laissant supposer qu’il pourrait être plus puissant que celui qui figure pourtant en tête du classement Top500. Ce dernier avait déjà présenté les prototypes des machines Tianhe-3 et Sunway en 2018, affirmant qu’ils étaient « maintenant opérationnels, selon les médias locaux ».
De plus, si la Chine dispose de son propre classement, le HPC Top100, les supercalculateurs les plus puissants n’y sont décrits qu’en termes génériques, sans qu’un nom ou une institution d’exploitation ne soient indiqués. M. Dongarra pense en outre que sa liste ne tenait pas compte des principaux superordinateurs chinois.
Pour mesurer les avancées des scientifiques chinois, il tente alors d’assister à leurs conférences, et de poser des questions, comme il s’en explique au WSJ : « C’est en quelque sorte ma méthode de vérification : lorsque je leur parle, il est clair qu’ils disposent d’une telle machine », en référence aux supercalculateurs qui seraient, selon lui, encore plus puissants que ceux du TOP500.
MàJ, 30/07/2024, 13h : la demande de brevet n’évoque pas l’ensemble des véhicules connectés, mais les véhicules (« de police, par exemple », qui pourraient cela dit aussi être opérés par d’autres agences).
Ford a déposé une demande de brevet concernant une technologie qui permettrait à un véhicule (« de police, par exemple », mais qui pourrait aussi être opéré par d’autres agences) de signaler à la police les excès de vitesse des autres conducteurs, relève Motor Authority.
Ford y évoque la possibilité de programmer les véhicules connectés pour qu’ils surveillent la vitesse des autres voitures, et d’utiliser les caméras embarquées pour photographier celles qui dépasseraient les limites de vitesse.
Un rapport contenant les données sur les excès de vitesse et des photographies des véhicules contrevenants, serait alors envoyé, via Internet, à des unités de surveillance autoroutière, voire à des véhicules de police, afin de faciliter le travail des policiers :
« La police de la route est généralement confrontée à différents types de défis lorsqu’elle traite des infractions liées à la vitesse. Parmi ces défis figure la nécessité d’identifier rapidement et précisément un véhicule en excès de vitesse et de prendre les mesures qui s’imposent. Il est souhaitable de fournir des systèmes et des méthodes qui aident les agents de la circulation et/ou d’autres agents chargés de l’application de la loi à accomplir ces tâches. »
Les policiers n’auraient dès lors plus besoin d’identifier directement les excès de vitesse, une tâche qui pourrait également être déléguée aux voitures autonomes, ajoute le constructeur automobile.
Motor Authority relève que Ford, qui dépose régulièrement des demandes de brevets, a également tenté de faire breveter un « mode de conduite nocturne ». Il limiterait la vitesse des véhicules la nuit pour tout le monde, y compris les secouristes, pour qui le brevet aurait même été conçu, explique Ford :
« Bien que ces premiers intervenants soient généralement formés aux techniques de conduite des véhicules à grande vitesse, ils ont toujours moins de temps pour réagir aux situations sur les routes lorsqu’ils se déplacent à grande vitesse. Cela est particulièrement vrai la nuit et dans des conditions météorologiques défavorables. »
Delta Air Lines a engagé le célèbre avocat David Boies pour réclamer des dommages et intérêts à CrowdStrike et Microsoft, rapporte CNBC.
La panne CrowdStrike aurait en effet coûté entre 350 et 500 millions de dollars à la compagnie aérienne, qui doit depuis traiter plus de 176 000 demandes de remboursement après l’annulation de près de 7 000 vols.
La société de conseil en cyberassurance Parametrix estime que la panne causée par la mise à jour défectueuse de CrowdStrike pourrait coûter 15 milliards de dollars de pertes au niveau mondial, dont près de 900 millions pour les compagnies aériennes.
M. Boies est connu pour avoir représenté le gouvernement américain dans son procès antitrust historique contre Microsoft, mais également, relève CNBC, pour avoir contribué à la victoire d’une décision qui a annulé l’interdiction du mariage homosexuel en Californie. Il a aussi travaillé pour Harvey Weinstein, l’ancien magnat d’Hollywood emprisonné pour de multiples violences sexuelles, et pour la fondatrice de Theranos, Elizabeth Holmes, qui purge, elle aussi, une peine de prison pour avoir escroqué des investisseurs.
Wikipedia précise qu’il défend également plusieurs des victimes de Jeffrey Epstein, mais aussi que son cabinet avait recruté Black Cube, une agence de renseignement privée israélienne constituée par un « groupe de vétérans triés sur le volet, issus de l’unité d’élite d’intelligence israélienne, spécialisé dans des solutions sur mesure pour résoudre des enjeux business et des litiges complexes », afin d’espionner les victimes d’Harvey Weinstein, et les journalistes qui enquêtaient à son sujet.
Investopedia souligne que le ministère américain des Transports avait de son côté ouvert une enquête sur la série d’annulations et de retards subis par Delta Air Lines pour savoir si la compagnie aérienne avait protégé ses clients de manière adéquate.
Delta avait en effet été la plus touchée des grandes compagnies aériennes, alors que ses concurrentes United et American Airlines avaient annulé beaucoup moins de vols, et rétabli leurs services bien plus rapidement.
Des experts, interrogés par Business Insider, estiment cela dit que Delta, au vu des conditions générales de l’entreprise de cybersécurité, acceptées par ses clients, ne pourra probablement se voir rembourser que le coût du logiciel, pas ceux des vols annulés.
La sous-préfecture, qui accueille le village olympique, le Stade de France et le Centre aquatique olympique, a discrètement acquis un logiciel de vidéosurveillance algorithmique. Sans appel d’offres, sans délibération du conseil municipal ni étude d’impact, et sans en avoir tenu informé le collège d’éthique de la vidéosurveillance.
La ville de Saint-Denis a déboursé 118 000 euros pour acquérir un logiciel de vidéosurveillance algorithmique (VSA) de la société Two-i, révèle Mediapart.
La loi Jeux olympiques autorise en effet, jusqu’en mars 2025, les polices nationale et municipales, la gendarmerie ainsi que les services de sécurité de la SNCF et de la RATP à coupler des intelligences artificielles (IA) à des caméras de « vidéoprotection ». Cette expérimentation se limite à huit situations prédéfinies, dont la présence d’objets abandonnés, un mouvement de foule, une densité de personnes trop importante ou le port d’une arme, lors d’événements sportifs et culturels.
« Alors que, durant les JO, ces algorithmes sont utilisés par la RATP et la SNCF dans plus de cinquante gares d’Île-de-France, Saint-Denis est l’une des premières municipalités à affirmer sa volonté d’y avoir recours », relève Mediapart.
Pas de délibération au conseil municipal, ni contrat ni étude d’impact
« Les JO ont motivé cet achat, notamment avec les flots de population qu’ils vont générer », précise à Mediapart la ville de Saint-Denis. Elle espère « que le logiciel sera opérationnel pour les paralympiques, une fois que les agents y auront été formés ». Elle disposera alors de cinquante licences, qui pourront être couplées au même nombre de caméras.
« Il n’y a eu aucune délibération du conseil municipal. Nous n’avons eu accès à aucune étude d’impact ni contrat », regrette de son côté Sophie Rigard. Élue de l’opposition, elle a appris l’existence de ce logiciel lors d’une réunion avec le directeur de la police municipale.
Gwenaëlle Badufle-Douchez, adjointe à la sécurité, justifie de son côté l’absence d’appel d’offres par le fait que Saint-Denis avait acquis le logiciel via l’Union des groupements d’achats publics (Ugap), la centrale d’achat publique française.
Membre du mouvement citoyen La Seine-Saint-Denis au cœur, mais aussi et surtout du collège d’éthique de la vidéosurveillance de Saint-Denis, Bakary Soukouna n’a pas non plus été sollicité. La Charte d’Éthique (.pdf) de la vidéoprotection des espaces publics de la Ville de Saint-Denis précise pourtant qu’ « il est informé des projets en cours et à venir décidés par la Ville de Saint-Denis ».
450 caméras ayant coûté 6,7 millions d’euros en 4 ans
Le maire socialiste de Saint-Denis, Mathieu Hanotin, qui a « fortement développé l’usage des caméras », souligne Mediapart, s’est de son côté voulu rassurant. Il a évoqué une vidéosurveillance « dont l’efficacité ne fait plus débat ».
« Selon le dernier rapport d’orientation budgétaire de Saint-Denis, la ville a dépensé, entre 2020 et 2024, 6,7 millions d’euros dans la vidéosurveillance, portant le nombre de caméras dans la ville à 450 », rapporte Mediapart
La ville dénombrait 230 caméras en 2023. Le 11 juillet dernier, son conseil municipal adoptait, à l’unanimité des 51 membres présents ou représentés, une demande de subvention (.pdf) de 318 354 euros au Fonds Interministériel de Prévention de la Délinquance (FIPD) au titre de l’année 2024. La délibération précise que ce montant correspond à 50 % des 636 708 euros qu’elle prévoit de dépenser cette année en matière de « vidéoprotection ».
De la « détection d’émotions » à la « sécurité préventive »
Sur son site web, Two-i se présente comme « une plateforme d’analyse vidéo exhaustive » qui permet la mise en place de « mesures de sécurité et de sûreté préventives », et « apporte de la valeur à vos investissements en sécurité en transformant vos vidéos en données actionnables, traçables et pertinentes ».
« En cas de survenue d’événements imprévisibles », Two-i propose aussi une solution de traitement d’images et d’analyse qui « optimise le temps passé à revoir et inspecter des vidéos issues des caméras de surveillance ».
Dans son rapport sur la VSA, La Quadrature du Net relève que Two-I s’était d’abord lancée dans la « détection d’émotions », qu’elle avait expérimentée dans des gendarmeries et tenté d’utiliser dans les tramways niçois. Elle avait ensuite testé la reconnaissance faciale sur des supporters de football à Metz, avant de se concentrer sur des applications moins sensibles comme du comptage statistique en matière de « villes intelligentes ».
Le site Technopolice, émanation de La Quadrature du Net, rappelle que Two-I s’était aussi fait connaître, dans le cadre de l’épidémie de Covid-19, en proposant d’identifier le non-respect des règles de distanciation sociale entre personnes.
La start-up avait aussi été sélectionnée lors d’un appel d’offre en prévision des Jeux olympiques avec la « solution mobile de contrôle des foules » Mobil Security de BEHM. Censée permettre d’effectuer des contrôles sécurité « sans contact », elle visait à « contrôler 1 500 personnes à l’heure avec 4 agents » :
« En intégrant la solution d’analyse vidéo de Two-i, qui détecte à l’avance les sacs, les personnes à mobilité réduite et les individus/véhicules non autorisés (…), les agents de sécurité disposent d’un outil puissant pour orienter proactivement le contrôle d’accès des foules. »
Connexion
