Cryptos (not) Incognito

Le fondateur de l’ « une des plus grandes » places de marché du dark web, dédiée au commerce de produits stupéfiants, serait un Taïwanais de 23 ans. Étudiant en sécurité informatique passionné par les cryptoactifs, il n’en avait pas moins cumulé plusieurs erreurs d’OPSEC.

Le département de la Justice des États-Unis a annoncé l’arrestation d’un Taïwanais de 23 ans, qu’il accuse d’être l’administrateur d’Incognito Market. Lancée en octobre 2020, elle était devenue l’« une des plus grandes » places de marché du dark web, dédiée au commerce de produits stupéfiants.

Rui-Siang Lin, un ex-étudiant en sécurité informatique passionné par les cryptos – et également connu sous les noms de Ruisiang Lin, 林睿庠, Pharoah et faro – a en effet été arrêté à l’aéroport John F. Kennedy de New York le 18 mai. Le communiqué ne précise cependant pas pourquoi le Taïwanais s’est rendu aux États-Unis.

Incognito Market s’était récemment illustré, en mars dernier, à la suite d’un « exit scam » (ou « escroqueries à la sortie », du nom donné aux places de marché qui « partent avec la caisse » en dérobant les cryptoactifs déposés par leurs clients et utilisateurs), suivie d’une tentative d’extorsion.

• Dark web : Incognito Market escroque ses utilisateurs, puis les rançonne

Non content d’avoir volé ses dealers et/ou acheteurs de drogues, l’administrateur d’Incognito Market les sommait de lui payer une rançon, sous peine de faire fuiter leurs données auprès des autorités :

« Nous avons une dernière petite surprise pour vous tous. Nous avons accumulé une liste de messages privés, d’informations sur les transactions et de détails sur les commandes au fil des ans. »

Se disant « surpris du nombre de personnes qui se sont fiées à notre fonctionnalité de « chiffrement automatique » », Pharoah précise que les « messages et identifiants de transaction n’ont jamais été supprimés après la période d' »expiration »… SURPRISE SURPRISE !!! »

Il menaçait dans la foulée de faire « fuiter auprès des forces de l’ordre » l’intégralité des 557 000 commandes et 862 000 identifiants de transactions de crypto-monnaies à la fin du mois de mai : « Le fait que vos informations et celles de vos clients figurent sur cette liste ne dépend que de vous », précise le message : « Et oui, il s’agit d’une extorsion !!!! ».

« L’avidité de l’accusé et son mépris pour les autres ont encore été démontrés par sa tentative présumée d’extorsion au cours des derniers jours de la plateforme », a déclaré l’agent spécial Ivan J. Arvelo de l’équipe de Homeland Security Investigations (HSI) de New York.

Pharoah aurait perçu plusieurs millions de dollars de commissions

Créé en 2019, le Comité national pilote d’éthique du numérique (CNPEN) devient Comité consultatif national d’éthique du numérique (CCNEN). Il est pérennisé pendant cinq ans, relève l’AFP.

Un décret gouvernemental publié ce samedi 25 mai, jour de clôture du salon VivaTech, précise qu’il sera « composé de vingt membres outre son président », contre 25 jusqu’à ce jour.

Y figureront un membre du Conseil d’État et un membre de la Cour de cassation, sept personnalités qualifiées choisies en raison de leur compétence et de leur intérêt pour les enjeux d’éthique du numérique proposée par les ministres chargés du numérique, de la sécurité intérieure, de la recherche, du travail, de la santé, de la culture et de l’éducation nationale.

Y siègeront également six personnalités appartenant aux secteurs de la recherche scientifique et dotées d’une expertise particulière sur des sujets numériques, dont un membre de l’Académie des sciences et de celle des technologies, un représentant de l’Institut national de recherche en sciences et technologies du numérique (INRIA), du CNRS, de France Universités et de la Conférence des grandes écoles.

Seront aussi désignées trois personnalités qualifiées choisies en raison de leur compétence et de leur intérêt pour les enjeux d’éthique, dont un membre du Comité consultatif national d’éthique pour les sciences de la vie et de la santé (C.C.N.E.), un membre de la CNIL et un membre du Conseil national du numérique (CNNum).

Enfin, deux personnalités qualifiées issues de la société civile seront choisies par le président du Conseil économique, social et environnemental « en raison de sa connaissance de l’entreprise, de l’industrie et du monde du travail », et par le Défenseur des droits « en raison de son action dans le domaine de la protection des droits des personnes dans le numérique ».

Leur mission sera de « contribuer à la réflexion sur les enjeux d’éthique soulevés par les avancées des sciences, des technologies, des usages et des innovations dans le domaine du numérique et leurs différents impacts, notamment sociaux, économiques, environnementaux, individuels ou éducatifs », « en toute indépendance », et plus particulièrement :

1. De formuler des recommandations ou des avis à destination des autorités publiques visant à promouvoir le développement d’une éthique du numérique ;
2. D’animer ou d’organiser des évènements publics, débats ou ateliers de sensibilisation aux problématiques relatives à l’éthique du numérique notamment à destination des autorités publiques ;
3. De contribuer aux réflexions internationales en matière d’éthique du numérique, notamment en développant les échanges avec les entités de pays étrangers conduisant des missions similaires.

Le mandat du président, nommé par le chef de l’État, ainsi que celui de ses membres, est d’une durée de trois ans, renouvelable une fois, précise l’AFP.

Le décret précise que le comité peut être saisi par le Président de la République, le Premier ministre, le président de l’Assemblée nationale, le président du Sénat ou un membre du Gouvernement, ainsi que par un établissement d’enseignement supérieur, un établissement public ou une fondation reconnue d’utilité publique, « sous réserve qu’ils aient pour activité principale la recherche, le développement technologique ou la promotion du numérique », et qu’il « peut également se saisir de questions posées par toute autre personne ou par un ou plusieurs de ses membres ».

« Il n’y a aucune raison que l’édition vive dans une réserve alors que l’intelligence artificielle finira par être utilisée dans tous les secteurs », explique au Figaro Renaud Lefebvre, directeur général du syndicat national de l’édition (SNE).

« Le téléphone a commencé à moins sonner, puis les deux maisons avec qui j’ai l’habitude de travailler m’ont tout simplement annoncé qu’elles préféraient se tourner vers des solutions d’intelligence artificielle, faute de moyens », confie de son côté Capucine, traductrice de livres pratiques, d’ouvrages de développement personnel et de biographies de stars.

« C’est la deuxième maison en quatre mois qui me propose des contrats au rabais, en troquant mon statut d’auteur pour celui de prestataire de services », témoigne un autre traducteur : « On me demande désormais d’éditer à la marge des textes, qui ont préalablement été traduits par une machine ».

« Dans les traductions littéraires, l’utilisation de l’intelligence artificielle n’est pas envisageable », tempère Anne Michel, à la tête du département étranger chez Albin Michel, qui note que « Dans les contrats rédigés par les maisons d’édition anglo-saxonnes, il est désormais demandé très spécifiquement, depuis plus de six mois, que les traductions soient faites par des humains et non par la machine ».

A contrario, des éditeurs de BD, mangas et webtoons se tournent désormais vers GeoComix/ComixSuite, une start-up française qui développe depuis 8 ans « une Intelligence Artificielle unique capable d’extraire et d’analyser tous les éléments présents sur une page de bande dessinée », de sorte d’automatiser la traduction et la réécriture des légendes dans plusieurs langues.

Une société britannique, DeepZen, « promet de son côté aux éditeurs de diviser par dix le temps de production d’un livre audio, et par quatre le coût de conception ». Le Figaro relève qu’Audible « propose déjà plus de 40 000 livres audio dont les voix sont générées par IA », et que le deuxième groupe d’édition du monde, HarperCollins, vient de son côté d’officialiser un partenariat avec la start-up de clonage de voix, ElevenLabs, afin d’élargir son catalogue de livres audio en langues étrangères à coût réduit.

« Nous sommes dans un moment pivot. C’est inévitable que des emplois soient décimés dans les prochains mois », explique au Figaro Stephan Kalb, membre du bureau de l’association professionnelle LESVOIX qui, avec le Syndicat Français des Artistes interprètes (SFA), a lancé une pétition en janvier, Pour un doublage créé par des humains pour des humains, qui affiche plus de 120 000 signatures :

« Nous risquons d’être parmi les premier·es à être remplacé·es, à très court terme par les outils de l’intelligence artificielle générative (IAG), capables de traduire, cloner, synthétiser des textes, des voix, des interprétations et des émotions avec une similitude étonnante. Nous sommes en première ligne car le traitement des données vocales nécessite moins de puissance de calcul que l’image. »

• Face à l’IA, les doubleurs VF de Marge Simpson, Brad Pitt ou Thanos se mobilisent

Hubside.down

Les 17 sociétés du groupe Indexia de Sadri Fegaier, souvent présenté comme « plus jeune milliardaire de France », employaient 400 personnes. Il avait déjà été condamné pour « pratiques commerciales trompeuses » par la DGCCRF et la CNIL.

« La justice a finalement condamné l’une des plus grosses arnaques à la consommation de ces dernières années, une affaire de ventes abusives qui a fait des milliers de victimes », résume Libération.

Le tribunal de commerce de Paris vient en effet de prononcer la liquidation judiciaire de 17 sociétés du groupe Indexia de Sadri Fegaier, spécialisé dans les assurances pour téléphones et les services liés aux produits multimédia, précise Le Dauphiné :

« Criblées de dettes, massivement accusées d’escroquerie (le groupe, spécialisé dans l’assurance affinitaire, était devenu le champion des prélèvements indus, impossibles à stopper). »

Des « pratiques commerciales trompeuses »

Une fin d’activité qui intervient un mois après celle de la Sfam, l’entité historique du groupe, relève La Tribune :

« De quoi enterrer un peu plus les espoirs des milliers de clients victimes de prélèvements abusifs sur leur compte bancaire de se voir rembourser les sommes ponctionnées sans leur accord. Les conséquences seront aussi sociales puisque des centaines de salariés des sites de l’entreprise réclamaient le paiement de leurs salaires. »

La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), saisie de nombreuses « alertes répétées de clients se plaignant de méthodes de souscription douteuses, avec des prélèvements non désirés et répétés », rappelle Libération, avait en effet « conclut à des pratiques commerciales trompeuses » :

« Le groupe doit également répondre d’un système mis en place pour limiter les résiliations. Les montants, encore plus importants que dans l’affaire de la Sfam, pouvaient atteindre plusieurs milliers d’euros par client en quelques mois. »

Les « nombreux signalements » de consommateurs dénonçant des prélèvements indus avaient conduit la DGCCRF à ouvrir « une deuxième enquête » pour « pratiques commerciales trompeuses ».

Deux condamnations de la CNIL

La CNIL l’avait également condamné, ces derniers mois, à deux amendes de 310 000 et 525 000 euros « pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées ».

• HUBSIDE, filiale du très controversé « plus jeune milliardaire de France », sanctionnée par la CNIL
• FORIOU, filiale du très controversé « plus jeune milliardaire de France », sanctionnée par la CNIL

« En parallèle de la mise en liquidation de ces entités, Sadri Fegaier, 44 ans, et plusieurs sociétés de son empire doivent être jugés en correctionnelle à l’automne pour pratiques commerciales trompeuses », relève La Tribune :

« De nouvelles investigations ont amené au renvoi devant le tribunal correctionnel de Paris de Sadri Fegaier et de six de ses sociétés. Une audience aura lieu le 12 septembre prochain au civil, mais les chances pour les victimes d’être remboursées paraissent minces. »

Un procès à venir, 400 employés sur le carreau

Sadri Fegaier et plusieurs sociétés de son empire seront également jugés en correctionnelle à l’automne, précise l’AFP. Il devra répondre de deux chefs d’accusation, résume France Bleu : pratiques commerciales trompeuses et obstacle à l’exercice des fonctions de constatation des infractions au code de la consommation, « c’est-à-dire entrave à l’enquête de la répression des fraudes ».

« On peut dire que c’est une page qui se tourne. Cette réussite, cette comète qu’était Indexia vient de s’écraser », explique à France Bleu Nicolas Zeimetz, délégué CFDT de la SFAM Roanne, présent à l’audience :

« « Quand le business-plan d’une entreprise repose sur une escroquerie, ça ne peut pas fonctionner » ; ce sont les mots très forts prononcés par Madame la procureure, qui a établi un lien entre le sort des salariés qui se retrouvent le bec dans l’eau et celui des clients, qu’on peut appeler des victimes, qui restent clairement sur le carreau. »

« Les clients ont deux mois à compter de la publication de la liquidation au Bulletin officiel des annonces civiles et commerciales (Bodacc) pour déclarer leur créance (et espérer un remboursement, au moins) », explique l’avocate qui représente de nombreuses victimes.

France Bleu estime qu’ « environ 400 employés » sont directement concernés par les liquidations judiciaires des 17 entités du groupe Indexia. Son site web indique désormais un message d’erreur « 502 Bad gateway », celui d’Hubside une « Error 503: Service Unavailable » :

« Pour améliorer la qualité de service, votre site est temporairement inaccessible.
Nous vous prions de nous excuser pour la gêne occasionnée et vous invitons à revenir plus tard. »

Saisi par une dizaine de médias, le tribunal judiciaire de Paris a ordonné jeudi en référé à l’ex-Twitter de leur fournir, « dans un délai de deux mois », une série de données commerciales permettant d’évaluer les revenus que le réseau social tire de leurs contenus, rapporte l’AFP.

Le juge des référés ordonne à X de communiquer aux médias demandeurs le nombre de vues et le taux de clics sur leurs publications, le nombre moyen d’engagements (retweets, citations, réponses, j’aime, partages…), ainsi que « les revenus publicitaires générés en France sur X » en lien avec ces publications, selon le jugement dont l’AFP a eu copie.

X se voit aussi demander la description du fonctionnement de ses algorithmes conduisant à afficher les publications. Ces données, « qui devront rester confidentielles entre les parties », sont en effet nécessaires pour une « évaluation transparente » de la rémunération que les médias estiment due au titre des droits voisins.

Les groupes Le Monde (Le Monde, Télérama, Courrier International, Le Huffington Post, Malesherbes Publications et L’Obs), Le Figaro et Les Échos-Le Parisien, suivis par l’Agence France-Presse, avaient en effet assigné en référé X et sa filiale française, qui refusaient de négocier.

« Lorsqu’on achète 44 milliards de dollars un réseau social », comme l’a fait Elon Musk en promettant d’en faire « la source d’information la plus fiable », « venir soutenir qu’on n’utilise pas les contenus journalistiques, c’est extraordinaire », a plaidé Me Alexandre Limbour, conseil des éditeurs de presse.

L’avocate de X, Me Isabelle Leroux, a de son côté soutenu que le réseau social n’était « pas assujetti » au droit voisin, car il reposait « sur ce que postent les utilisateurs ». Elle regrette que X soit ainsi « mis au pilori », en rappelant que son activité « n’est pas celle de Google ou Facebook ».

Alexandre Debant et Lucca Hirschi, membres du projet PESTO (pour « Proof techniques for security protocols ») d’INRIA à l’université de Lorraine, ont été récompensés pour leur article « Reversing, Breaking, and Fixing the French Legislative Election E-Voting Protocol ».

Le prix CNIL – Inria pour la protection de la protection de la vie privée « récompense des équipes de chercheurs situées au moins en partie dans l’Union européenne et qui travaillent à l’amélioration de la protection des données personnelles ou de la vie privée », rappelle la CNIL.

Il s’agit à la fois de rendre les enjeux afférents, et les solutions pour les préserver, « plus visibles auprès du grand public », mais également de « sensibiliser la communauté scientifique et les décideurs » à ces questions.

Les co-présidents du Jury 2023, Catuscia Palamidessi (directrice de recherche à INRIA, l’Institut national de recherche en informatique et en automatique) et Vincent Toubiana (responsable du LINC, le Laboratoire d’Innovation Numérique de la CNIL), qui « se sont appuyés sur un jury de 32 chercheurs internationalement reconnus » ont remis leur prix lors de la 17e édition de la conférence internationale Computers Privacy and Data Protection (CPDP).

Présenté en 2023 à la conférence Usenix Security, leur article propose une « analyse technique pointue » de la solution de vote électronique mise en place lors des dernières élections législatives pour que les Français à l’étranger puissent voter.

Les auteurs avaient en effet « identifié plusieurs vulnérabilités et proposé des correctifs qui ont par la suite été déployés », ce qui a entraîné « des impacts très concrets sur l’intégrité et la confidentialité des votes ».

La CNIL précise qu’un second article a également recueilli les critiques très positives du jury : « Marketing to Children Through Online Targeted Advertising: Targeting Mechanisms and Legal Aspects » par Tinhinane Medjkoune, Oana Goga et Juliette Sénéchal.

Les autrices de cet article proposent en effet « une analyse juridique très claire de la législation qui entoure le ciblage publicitaire des mineurs puis, à la lumière de cette analyse, évaluent la possibilité de cibler des mineurs sur la plateforme de vidéo Youtube ».

Étrangement, la CNIL, qui renseigne les liens vers les profils des 32 membres du jury, ne fournit pas de liens vers les articles mis en avant, ni vers les profils des chercheurs et chercheuses dont il est pourtant question.

Auditionné à l’Assemblée nationale, Gérald Darmanin, ministre de l’Intérieur, a indiqué qu’une coupure de la 5G, de la 4G et de la 3G avait aussi été envisagée en Nouvelle-Calédonie, relève BFMTech&Co :

« Il n’a pas été fait le choix, même si nous nous sommes posé la question, et comme l’évoquait le rapport sénatorial sur les émeutes, de baisser de 5G à 2G pour l’intégralité des réseaux sociaux. »

Blocage de TikTok en Nouvelle-Calédonie : Cette décision a été prise "sur la théorie des circonstances exceptionnelles" et "en lien avec le gouvernement de Nouvelle-Calédonie", indique @GDarmanin. "Il y a un recours en cours d'instruction au Conseil d'Etat."#DirectAN #TikTok pic.twitter.com/vai6UhIMHt

— LCP (@LCP) May 21, 2024

Le ministre fait référence à la proposition n° 12 du rapport sénatorial sur les émeutes de juin 2023, déposé en avril 2023 :

« Lorsque l’état d’urgence est déclaré en application de la loi du 3 avril 1955, permettre aux préfets de solliciter, pour une durée limitée, la désactivation de certaines fonctionnalités des applications de réseaux sociaux (géolocalisation, lives) – indépendantes de l’échange de communications écrites ou orales – en contexte émeutier. »

Couper les réseaux 5G, 4G et 3G revient en effet à « couper l’ensemble du réseau internet mobile », résume BFMTech&Co, tout en laissant active la 2G (également connue sous le terme de GSM) pour permettre les appels vocaux traditionnels et l’envoi de SMS.

« Faire tomber la 4G est très risqué, car il y a des effets collatéraux importants. Par exemple, cela peut affecter les paiements par carte bancaire, mais aussi les communications des forces de l’ordre ou des équipes médicales », précise à Tech&Co l’avocat spécialisé en droit du numérique Alexandre Archambault, qui souligne qu’il est aussi techniquement impossible de couper un réseau mobile dans le but de cibler l’accès à certains sites uniquement.

« Il existe des mécanismes de filtrage sur les équipements télécoms qui permettent de dégrader le trafic pour certains sites. En revanche, choisir de basculer en 2G, 3G, 4G ou 5G pour un site plutôt qu’un autre n’est à ma connaissance pas possible » ajoute Nicolas Guillaume, expert en télécoms et dirigeant de l’opérateur Netalis, auprès de Tech&Co.

La taca-taca-taca-tac-tactique du gendarme

Le gouvernement, conscient que le blocage peut être contourné par le recours au VPN, a décidé de ne pas « suspendre l’accès aux VPN » pour ne pas pénaliser les télétravailleurs. Et si Viginum a bel et bien constaté des « manœuvres informationnelles », c’est sur X.com et Facebook, pas TikTok.

Le Conseil d’État examinait ce mardi 21 mai les référés-liberté déposés par la Ligue des droits de l’homme (LDH), la Quadrature du Net, le Mouvement des jeunes Kanak en France (MJKF) et trois Néo-Calédoniens, contre la décision, prise par le gouvernement le 14 mai, de bloquer le réseau social TikTok en Nouvelle-Calédonie.

Un réseau très utilisé par la jeunesse de l’archipel, confirme à Libération à la sortie de l’audience Romuald Pidjot, secrétaire général adjoint de l’Union calédonienne présent dans le public qui, membre de la direction du Front de libération nationale kanak et socialiste (FLNKS), s’alarme d’une atteinte à « une liberté fondamentale, sur des justifications qui sont assez légères ».

• Blocage de TikTok en Nouvelle-Calédonie : quels sont les enjeux ?
• Le blocage de TikTok en Nouvelle-Calédonie attaqué en justice par la Quadrature et la LDH

Pour le reste, ça passe… pour le moment

Suite à l’adoption de la loi SREN, le Conseil constitutionnel avait été saisi par deux recours émanant de plus de soixante députés dans les deux cas (ici et là). S’il valide « plusieurs de ses dispositions » (une majorité même), il censure le délit d’outrage qui a largement fait parler de lui.

Le Conseil constitutionnel a validé l’essentiel du projet de loi visant à sécuriser et réguler l’espace numérique (SREN), mais censuré cinq de ses articles, dont quatre cavaliers législatifs (.pdf), relève Archimag.

• Loi SREN adoptée : comment la France va sécuriser et réguler l’espace numérique

Quatre cavaliers législatifs sautent

Un cavalier législatif « est une mesure introduite par un amendement dans une loi en préparation (projet ou proposition de loi) qui n’a aucun lien avec le texte en question », rappelle Vie Publique. Pour le Conseil constitutionnel, ils sont « irrégulièrement introduits dans la loi au regard de l’article 45 de la Constitution ».

Les quatre cavaliers censurés du projet de loi sont :

• l’article 10, qui « prévoyait d’abolir l’anonymat en ligne en créant, pour les Français, une identité numérique gratuite d’ici le 1er janvier 2027 », résume Archimag. Ce dernier omet de préciser que les amendements déposés par Paul Midy pour lever l’anonymat en ligne avaient finalement été retirés pour ne pas mettre en danger le vote final du texte. Dans le texte final, il ne restait donc que l’objectif que « 100 % des Français puissent avoir accès à une identité numérique gratuite ».
• l’article 11, qui planifiait la mise en place d’un service « agrégeant l’accès à l’ensemble des services publics nationaux et locaux, y compris les organismes de sécurité sociale et les organismes chargés des droits et des prestations sociales », tout en sécurisant la communication des données entre les administrations, les organismes et les collectivités territoriales ;
• l’article 18, qui comptait créer, à titre expérimental, un « dispositif de médiation des litiges de communication en ligne » offrant la possibilité aux utilisateurs de réseaux sociaux en ligne de « recourir gratuitement à un médiateur en vue de la résolution amiable du litige qui les oppose à un autre utilisateur du fait d’un contenu » ;
• l’article 58, qui entendait modifier le code des relations entre le public et l’administration, en faisant appel au comité du secret statistique lorsque l’administration envisage de refuser de faire droit à certaines demandes de consultation de documents administratifs, ou qu’elles impliquent l’interconnexion de plusieurs bases de données.

Le « délit d’outrage en ligne » dans les limbes

Le Conseil constitutionnel a par ailleurs censuré l’article 19 du projet de loi, qui proposait de créer un « délit d’outrage en ligne » pouvant être sanctionné d’une amende forfaitaire délictuelle (AFD) de 300 euros. Au-delà de l’AFD, ce délit était passible d’une amende de 3 750 euros et d’une peine d’emprisonnement d’un an.

Ce nouveau délit visait à sanctionner la diffusion en ligne de « tout contenu qui, soit porte atteinte à la dignité d’une personne ou présente à son égard un caractère injurieux, dégradant ou humiliant, soit créé à son encontre une situation intimidante, hostile ou offensante ». Une notion jugée par certains comme très (trop) subjective. « Or, en matière pénale, les infractions doivent être précisément rédigées pour éviter l’arbitraire », expliquait un avocat.

La mesure, qui avait été attaquée par deux saisines de La France insoumise et du Rassemblement national, a été jugée par le Conseil constitutionnel comme portant « atteinte à l’exercice de la liberté d’expression et de communication qui n’est pas nécessaire, adaptée et proportionnée ». Les sages estiment en effet que « les dispositions contestées font dépendre la caractérisation de l’infraction de l’appréciation d’éléments subjectifs tenant à la perception de la victime ».

L’ombre de l’Europe plane toujours sur la loi SREN

Archimag rappelle que la Commission européenne avait de son côté émis quelques réserves sur le projet de loi SREN dans deux avis successifs d’octobre 2023 et de janvier 2024, concernant sa légalité au regard du droit européen.

Au-delà de cette censure partielle du Conseil constitutionnel, la Commission doit encore décider si le projet de loi SREN est conforme, ou pas, au droit européen, notamment avec le Digital Services Act (DSA) et la directive européenne de 2000 sur le commerce électronique, « exposant donc la France à des sanctions auprès de la Cour de justice de l’Union européenne », conclut Archimag.

Une « parade » (pour reprendre le terme utilisé par La Quadrature du Net) avait pour rappel été trouvée par la France pour « s’affranchir des règles européennes qui s’imposent normalement à elle » : certaines parties de la loi ne concernent que les sites français et extra-européens. Cela concernait notamment la vérification d’âge à l’entrée des sites pornos et de mesures pour l’encadrement des frais dans le cloud.

Comme le rappelle Vie Publique : « le droit de l’Union européenne prime sur le droit national, y compris les dispositions constitutionnelles ». Attendons donc de voir la réaction de la Commission européenne, qui pourrait que moyennement apprécier la pirouette française. Le Conseil constitutionnel n’a par contre pas censuré ces dispositions.

Spys VS Spys

Les ONG, think-tanks, défenseurs des droits humains et leurs employés, ainsi que les journalistes, feraient partie des « groupes les plus ciblés » par les acteurs malveillants parrainés par des États (APT), et leurs mercenaires. Les autorités anglo-saxonnes, en guerre contre leurs « logiciels espion », expliquent comment tenter de s’en protéger.

Les autorités en charge de la cybersécurité des États-Unis, du Canada, de l’Estonie, du Japon, de la Finlande et du Royaume-Uni viennent de publier (.pdf) leurs « conseils à l’intention des communautés à haut risque » afin d’aider les personnes et organisations de la société civile ne disposant que de « ressources limitées » à « atténuer les menaces ».

Le guide relève que des organisations non gouvernementales (ONG) et de défense des droits humains, « et leur personnel », ainsi que des journalistes, « notamment », sont « souvent la cible des acteurs malveillants parrainés par des États » (ou « Advanced Persistant Threats (APT) », en VO) qui « cherchent à porter atteinte aux valeurs et aux intérêts démocratiques » :

« Plus précisément, ils ciblent principalement les organisations et leur personnel en ligne en vue d’exercer une contrainte et de faire de l’intimidation, du harcèlement et de la surveillance, que l’on peut qualifier de répression numérique transnationale. »

Ils chercheraient dès lors à « compromettre leurs dispositifs et réseaux organisationnels et personnels pour intimider, museler, contraindre ou harceler organisations et personnalités de la société civile, ou leur porter préjudice ».

« Pour ce faire, ils ont souvent recours à des logiciels espion », conclut l’introduction du guide. Ce dernier entend fournir des recommandations pour aider les organisations et personnes « à haut risque » à atténuer ce type de « cybermenaces courantes » parrainées par des États, « sur la base des comportements malveillants observés ».

L’industrie constate une intensification des cybermenaces politiques

One more time

Julian Assange a « remporté une victoire », estiment ses défenseurs. Il a en tout cas obtenu un sursis dans sa lutte contre son extradition du Royaume-Uni, les juges de la Haute Cour de Londres lui ayant accordé l’autorisation de faire appel.

Fin mars, les deux juges de la Haute Cour de Londres avaient donné un délai à la justice états-unienne pour garantir que le fondateur de WikiLeaks bénéficierait, en cas d’extradition, de la protection due aux journalistes pour certaines des accusations le visant. Mais aussi de la protection accordée par le premier amendement.

• Extradition de Julian Assange : Londres demande des garanties aux États-Unis et temporise

Les (éventuelles) nouvelles assurances états-uniennes devaient être examinées par la Haute Cour de justice ce lundi 20 mai. Or, résume The Guardian, les avocats des États-Unis n’ont pas réussi à convaincre les juges que leur pays pourrait fournir à Julian Assange les garanties appropriées qu’il sera :

« autorisé à invoquer le premier amendement, que le requérant ne sera pas lésé lors du procès, y compris lors de la condamnation, en raison de sa nationalité, qu’il bénéficiera des mêmes protections du premier amendement qu’un citoyen américain, et que la peine de mort ne sera pas prononcée. »

Une « victoire » pour les défenseurs de Julian Assange

L’équipe de défense de Julian Assange n’a pas contesté l’assurance états-unienne qu’il ne risquait pas la peine de mort, reconnaissant qu’il s’agissait d’une « promesse non ambiguë de l’exécutif ». A contrario, la justice américaine a reconnu que Julian Assange pourrait se prévaloir du premier amendement, mais sans promettre qu’il pourrait en bénéficier, relève Le Monde.

La justice britannique n’ayant pas estimé que des garanties suffisantes avaient été apportées, Julian Assange pourra donc bénéficier d’une audience pour faire appel, sur le fond, de son extradition.

Stella Assange addressing the crowd following Monday's UK court hearing granting an appeal for Julian Assange: “Now is the moment to drop this case…this case is shameful and it is taking an enormous toll on Julian" #FreeAssangeNOW pic.twitter.com/CzT62FIghs

— WikiLeaks (@wikileaks) May 20, 2024

Les soutiens de WikiLeaks se sont succédé au micro, en ce début d’après-midi, pour célébrer ce qu’ils qualifient de « victoire ». Ils se félicitent que la Justice britannique refuse, elle aussi, de « croire » les assurances apportées par les USA.

« Trop, c’est trop » : l’Australie demande un abandon des charges

Ils appellent également Joe Biden, à l’instar d’une vingtaine d’ONG – dont Amnesty International, Human Rights Watch et RSF – à abandonner les poursuites visant le fondateur australien de WikiLeaks.

Le mois dernier, le président américain avait en effet indiqué que son administration avait accepté d’examiner la demande faite par l’Australie d’un abandon des poursuites contre son célèbre ressortissant.

Le Parlement australien avait adopté une motion demandant d’y mettre un terme. Le texte avance que « le gouvernement australien et l’opposition ont déclaré publiquement que cette affaire dure depuis trop longtemps », et « souligne l’importance pour le Royaume-Uni et les États-Unis de mettre un terme à cette affaire afin que M. Assange puisse rentrer chez lui dans son pays ».

« Cette affaire ne peut pas durer indéfiniment », avait déclaré le Premier ministre australien, Anthony Albanese, soulignant que les Australiens de tous bords sont d’accord pour dire que « trop c’est trop », et indiquant avoir soulevé le cas de M. Assange « au plus haut niveau » en Grande-Bretagne et aux États-Unis.

• Julian Assange ne doit pas « mourir aux USA », plaident de nombreuses personnalités et ONG

Enfermé depuis 12 ans, incarcéré depuis 5 ans

Si la justice britannique l’envoie finalement aux États-Unis, il lui restera un dernier recours : saisir la Cour européenne des droits de l’Homme. Celle-ci peut, en cas de « risque imminent de dommage irréparable », prononcer des « mesures provisoires », telle une suspension d’extradition, rappelle Libération.

Sous le coup de 18 chefs d’inculpation, dont 17 au titre de l’Espionage Act de 1917, Julian Assange encourt jusqu’à 175 ans de prison, et probablement « au moins 30 à 40 ans » d’après ses avocats. Les procureurs américains avaient de leur côté déclaré que ce ne serait « pas plus de 63 mois » [ndlr : 5 ans et 3 mois].

L’Australien de 52 ans, dont la santé (y compris psychique) n’a cessé de se détériorer ces dernières années, est enfermé depuis 12 ans : de 2012 à 2019 dans l’ambassade d’Équateur à Londres, où il s’était réfugié après avoir brisé le bracelet électronique qu’il devait porter depuis fin 2010, et dans la prison de haute sécurité de Belmarsh depuis cinq ans.

Un droit de Rogard

La société chargée de collecter la redevance au profit des ayants-droit leur avait réclamé un paiement rétroactif de 14 € par terminal reconditionné vendu depuis 2015. Le tribunal l’a condamnée à 12 000 euros d’amendes et au remboursement de 105 000 € de frais de justice.

Dans un communiqué (.pdf) en date du 7 mai, le Pôle activité économique et commerciale de la présidence du tribunal judiciaire de Paris revient sur ce pourquoi les reconditionneurs n’auront pas à payer de redevance copie privée pour les téléphones vendus avant le 1er juillet 2021, comme le réclamait initialement Copie France.

Le communiqué fait suite à trois décisions relatives à la « rémunération pour copie privée » appliquée aux téléphones reconditionnés prises la 3e chambre du tribunal judiciaire de Paris le 26 avril dernier, et révélées par L’Informé.

La société Copie France, chargée de percevoir la redevance au profit des ayants-droit via leurs organismes de gestion collective de droits d’auteur et de droits voisins (et dont Pascal Rogard, directeur général de la SACD depuis 2004, est le rapporteur général), avait en effet engagé des procès contre « un grand nombre » de vendeurs de produits reconditionnés à partir de 2020, de sorte d’obtenir le paiement de redevances « égales à celle des produits neufs », souligne le communiqué.

La loi ne réclame de redevance qu’aux fabricants et importateurs

Breached, again

Le principal forum anglophone d’échange et de vente de données volées a, pour la troisième fois en trois ans, été saisi par les autorités. Il venait de mettre en vente des données issues d’Europol, et trois exploits 0day.

BreachForums, le forum anglophone de partage et de vente de violations de données personnelles, a de nouveau été saisi par les autorités américaines, dans le cadre d’une enquête internationale impliquant les polices du Royaume-Uni, de Nouvelle-Zélande, d’Australie, de Suisse, de l’Ukraine et de l’Islande, rapportent H4ckManac et de nombreux observateurs des forums cybercriminels.

Cette saisie intervient peu après qu’IntelBroker, un acteur de la menace russe arborant un avatar nazi et devenu modérateur de BreachForums, y ait mis en vente la semaine passée des données volées via le portail Europol Platform for Experts (EPE), précise DataBreaches.

L’EPE est une plateforme en ligne que les experts des services répressifs utilisent pour « partager leurs connaissances, leurs meilleures pratiques et des données non personnelles sur la criminalité ». Le portail affiche encore, à ce jour, qu’il est « actuellement en maintenance ».

Europol avait confirmé la compromission des données du portail auprès de BleepingComputer, précisant que le ou les attaquants s’étaient probablement introduits en utilisant des informations d’identification volées :

« Aucune information opérationnelle n’est traitée sur cette application EPE. Aucun système central d’Europol n’est affecté et, par conséquent, aucune donnée opérationnelle d’Europol n’a été compromise. »

IntelBroker affirme également avoir compromis la plateforme SIRIUS utilisée pour accéder à des preuves électroniques transfrontalières dans le cadre d’enquêtes et de procédures pénales par les autorités judiciaires et policières de 47 pays, dont les États membres de l’UE, le Royaume-Uni, les pays ayant conclu un accord de coopération avec Eurojust et le Parquet européen (EPPO).

Aucun des documents de l’échantillon ne portait de mention de classification, mais certains étaient tamponnés « For Official Use Only (FOUO) ».

Trois exploits 0days avaient également été mis en vente sur BreachForums par un utilisateur se faisant appeler Cvsp, souligne DataBreaches. L’une des annonces concernait un exploit VMware ESXi VME (au prix de 1,3 million de dollars), l’autre un exploit Windows LPE (pour 150 000 dollars) et la troisième un exploit Outlook RCE (mis à prix : 1,7 million de dollars).

20 ans de liberté surveillée, 1 an privé d’Internet

Pinned

Accusé d’être le développeur et administrateur du rançongiciel LockBit, le Russe de 31 ans avait laissé de nombreuses traces révélant qu’il avait commencé à développer des logiciels malveillants dès l’âge de 18 ans, avant de se spécialiser dans les ransomwares sophistiqués codés en C et C++.

Les autorités britanniques et états-uniennes, pas plus qu’Europol, n’ont expliqué comment elles étaient arrivées à identifier Dmitry Yuryevich Khoroshev comme le principal développeur et administrateur du rançongiciel LockBit.

• Le créateur du rançongiciel LockBit serait un Russe de 31 ans

Pour autant, relève le journaliste Brian Krebs, connu pour documenter la cybercriminalité, le département du Trésor lui a associé deux adresses e-mail, un portefeuille Bitcoin, deux numéros de passeport russe, sa date de naissance (17 avril 1993) et même son numéro d’identification fiscale.

Une recherche dans la base de données de Constella (un « data lake » de 1 trillion – soit un million de millions, ou 1 000 000 000 000 – d’actifs compromis) permet par ailleurs de découvrir de nombreux documents officiels du gouvernement russe liés à Dmitri Yurievich Khoroshev. On y trouve aussi deux adresses email ayant fait de la publicité pour la vente d’escaliers en bois (webmaster@stairwell.ru et admin@stairwell.ru), qui utilisaient le même mot de passe : 225948.

DomainTools indique que le site stairwell.ru a été rattaché pendant plusieurs années à un certain « Dmitrij Ju Horoshev » et à l’adresse électronique pin@darktower.su. Selon Constella, cette dernière a été utilisée en 2010 par un certain Dmitry Yurievich Khoroshev de Voronezh, en Russie, pour enregistrer un compte chez le fournisseur d’hébergement firstvds.ru.

De Khoroshev à Pin puis NeroWolfe

La NSA sur un petit nuage

Jusqu’alors réservée aux seules compagnies de téléphonie et aux fournisseurs de services Internet états-uniens, l’obligation de surveiller certaines « communications de non-Américains à l’étranger » à la demande du renseignement US, y compris s’ils communiquent avec des Américains, aurait été étendue aux data centers.

Pour rappel, la Section 702 du Foreign Intelligence Surveillance Act (FISA) autorise la NSA, voire le FBI, à accéder aux « communications de non-Américains à l’étranger », y compris s’ils communiquent avec des Américains.

Jusqu’alors, seuls les compagnies de téléphonie et fournisseurs de services Internet étaient contraints de répondre aux demandes FISA, en tant qu’« electronic communication service provider » (ECSP).

Or, le périmètre des ECSP a récemment été élargi et concerne désormais « tout autre fournisseur de services ayant accès à des équipements qui sont ou peuvent être utilisés pour transmettre ou stocker des communications filaires ou électroniques », ainsi que leurs « custodians » (que l’on pourrait traduire par « gardiens », ou « dépositaires »), et non plus seulement leurs « employés ».

• L’extension des prestataires américains devant collaborer avec la NSA fait polémique
• Aux USA, la surveillance des communications d’étrangers sans mandat (FISA) fait débat

Le nombre d’entreprises concernées serait « extrêmement faible »

Des documents judiciaires obtenus par TechCrunch indiquent que la police espagnole a réussi à identifier un activiste sous pseudonyme grâce à des informations transmises par les messageries chiffrées Wire et Proton.

Enquêtant sur les personnes impliquées dans le mouvement indépendantiste en Catalogne, la Guardia Civil a en effet demandé, par l’intermédiaire de la police suisse, « toutes les informations d’identification » liées à certains comptes Wire et Proton.

Ses demandes, qui mentionnaient le « crime organisé » et le « terrorisme » comme motifs de l’enquête, visaient à « découvrir qui sont les auteurs des faits qui se sont déroulés lors des émeutes de rue en Catalogne en 2019 ».

En réponse, Wire lui a transmis l’adresse email Proton utilisée par l’un des utilisateurs de sa messagerie, et Proton son adresse email de récupération, liée à un compte iCloud. Les documents obtenus par TechCrunch montrent qu’Apple, sollicitée à son tour, lui a alors « fourni un nom complet, deux adresses personnelles et un compte Gmail lié », précise TechCrunch.

« Proton n’exige pas d’adresse de récupération, mais dans ce cas, le terroriste présumé en a ajouté une de son propre chef », a déclaré le porte-parole de Proton dans le courriel. « Nous ne pouvons pas chiffrer ces données car nous devons être en mesure d’envoyer un courriel à cette adresse si le suspect terroriste souhaite lancer le processus de récupération », a ajouté la société.

« Ces informations peuvent en théorie être demandées par les autorités suisses dans les cas de terrorisme, et cette décision est généralement prise par l’Office fédéral de la justice suisse. Proton fournit la confidentialité par défaut et non l’anonymat par défaut, parce que l’anonymat nécessite certaines actions de l’utilisateur pour assurer une [sécurité opérationnelle] appropriée, comme ne pas ajouter votre compte Apple comme méthode de récupération optionnelle, ce qui semble avoir été fait par le suspect terroriste présumé. »

Proton précise en effet, dans sa section Support, que « Proton n’a pas accès à votre mot de passe, nous ne pouvons donc pas le réinitialiser si vous l’oubliez ou le perdez » :

« Si vous ne définissez aucun moyen de récupérer votre compte Proton et que vous oubliez votre mot de passe, vous perdrez l’accès à votre compte et à tous vos courriels, contacts et autres fichiers chiffrés. »

USA vs Chine : S05E04

Énième épisode dans la série États-Unis vs Chine. Le gouvernement américain aurait davantage fermé les vannes sur les exportations de puces vers Huawei. Les deux pays se livrent une guerre froide sur fonds de sécurité nationale depuis maintenant plusieurs années.

2019 – 2024 : la guerre froide continue

Pour rappel, Huawei a été placé sur liste noire par les États-Unis suite à la signature d’un décret par Donald Trump en mai 2019. Il était alors question d’interdire aux groupes américains de faire des affaires avec le chinois Huawei. Des risques sur la sécurité nationale étaient mis en avant. « Les entreprises américaines peuvent vendre leur équipement à Huawei […] Nous parlons là d’équipement qui ne pose pas de grand problème de sécurité nationale », précisait alors le président des États-Unis.

Fin 2022, la guerre froide continuait de plus belle avec l’interdiction d’exporter les produits « hautes performances » pour l’IA, la défense, les supercalculateurs, les équipements pour fabriquer des semi-conducteurs, etc. Les USA souhaitaient ainsi garder leur avance technologique. De son côté, la Chine a un plan pour se débarrasser des technologies américaines. Elle a même banni AMD, Intel et Microsoft de ses administrations.

• Les États-Unis bloquent les exportations de semi-conducteurs et de puces vers la Chine
• Guerre froide technologique : la Chine bannit AMD, Intel et Windows de ses administrations

Un jeu du chat et de la souris s’est mis en place, notamment du côté des GPU NVIDIA. Malgré l’embargo, la Chine continuait à s’en procurer en ce début d’année, tandis que des GPU spéciaux pour la Chine était proposée par NVIDIA, afin de pouvoir continuer à en vendre.

Nouveau tour de vis de l‘administration Biden

C’est dans un marché déjà bien verrouillé que le gouvernement de Biden a révoqué les licences d’exportation permettant à Intel et Qualcomm de continuer à fournir certains semi-conducteurs à Huawei, révèle le Financial Times. Cette décision du ministère américain du Commerce entraverait la fourniture de puces pour les ordinateurs portables et les téléphones mobiles de Huawei, précisent des personnes au fait de la situation.

Le discours est un peu toujours le même : « Nous évaluons en permanence la manière dont nos contrôles peuvent protéger au mieux notre sécurité nationale et nos intérêts en matière de politique étrangère, en tenant compte de l’évolution constante des menaces et du paysage technologique », a déclaré un porte-parole du ministère. « Dans le cadre de ce processus, comme nous l’avons fait par le passé, nous révoquons parfois des licences d’exportation ».

Cette décision intervient alors que les États-Unis s’alarment de la capacité de Huawei à développer ses propres puces en dépit des contrôles à l’exportation mis en place depuis 2022, souligne le FT. Lorsque la secrétaire d’État au commerce, Gina Raimondo, s’est rendue en Chine l’année dernière, Huawei avait en effet présenté son smartphone Mate 60 Pro, dont les performances avaient surpris les experts.

Marco Rubio, vice-président républicain de la commission sénatoriale du renseignement, et Elise Stefanik, quatrième républicaine de la Chambre des représentants, avaient demandé le mois dernier à Mme Raimondo de révoquer les licences de Huawei après l’apparition d’informations selon lesquelles le groupe basé à Shenzhen avait construit des ordinateurs portables utilisant des puces d’Intel. C’est le cas du dernier Matebook avec un Core-i9 13900H.

Un discours bien rodé depuis des années

Le mois dernier, le FT avait également rapporté que les États-Unis poussaient leurs alliés en Europe et en Asie à renforcer les restrictions sur les exportations de technologies liées aux puces vers la Chine, en raison des inquiétudes croissantes concernant Huawei. Là encore, c’est une rengaine qui revient régulièrement sur le devant de la scène depuis des années.

« Les États-Unis ont trop étendu le concept de sécurité intérieure, politisé les questions économiques et commerciales, abusé des mesures de contrôle à l’export et adopté à plusieurs reprises des sanctions et des mesures de répression déraisonnables contre des entreprises chinoises spécifiques », a réagi un porte-parole du ministère chinois du Commerce dans un communiqué, relève de son côté l’AFP.

Le porte-parole a aussi averti que « la Chine prendrait toutes les mesures nécessaires pour sauvegarder fermement les droits et les intérêts légitimes des entreprises chinoises ». En plus de bannir certaines entreprises américaines de ses administrations, la Chine restreint les exportations en matériaux rares indispensables à la création des puces.

• « Guerre » des semi-conducteurs et matériaux critiques : la Chine restreint les exportations, Bruxelles s’inquiète

L’AFP relève que les sanctions américaines ont forcé le géant chinois des télécoms à se recentrer sur des secteurs comme les logiciels, les appareils connectés, l’informatique d’entreprise, mais aussi les voitures électriques, avec sa marque Aito.

Réactions d’Intel et Qualcomm

Intel et Qualcomm ont réagi à leur manière à cette nouvelle vague de restriction. Dans un document transmis à la SEC, Intel explique que « le 7 mai 2024, le département du Commerce des États-Unis a informé Intel Corporation qu’il révoquait certaines licences d’exportation d’articles de consommation à un client en Chine, avec effet immédiat. Par conséquent, la société s’attend à ce que le chiffre d’affaires du deuxième trimestre 2024 reste dans la fourchette initiale de 12,5 à 13,5 milliards de dollars, mais en dessous du point médian ».

Il y a quelques jours, Qualcomm avait pris les devants (.pdf) : « nous disposons actuellement de licences d’exportation du ministère américain du Commerce qui nous permettent de vendre à Huawei des produits, notamment pour la 4G et le Wi-Fi, mais pas pour la 5G. Des reportages récents ont indiqué que le ministère du Commerce envisageait de ne pas accorder de nouvelles licences de vente à Huawei ». La prévision semble donc s’être réalisée.

« De plus, Huawei a récemment lancé de nouveaux appareils compatibles 5G utilisant des puces maison. Même si nous avons continué à vendre des produits à Huawei sous nos licences, nous ne prévoyons pas de revenus provenant de chez Huawei au-delà de l’année civile en cours ».

La suite au prochain épisode…

C‘est vraiment vous le produit

« Un gigantesque réseau de faux sites de vente de vêtements, administré de Chine, a escroqué plus de 170 000 personnes rien qu’en France ces quatre dernières années. Des documents internes révèlent son fonctionnement », indique une enquête du Monde, en partenariat avec Die Zeit et The Guardian.

75 000 faux sites marchands, 800 000 commandes

L’entreprise de sécurité informatique allemande SR Labs a partagé avec eux une fuite de plusieurs gigaoctets de documents émanant d’une organisation criminelle chinoise. Baptisée « BogusBazaar » par SR Labs, elle aurait mis en ligne plus de 75 000 faux sites marchands en quatre ans (dont 22 500 seraient encore actifs), enregistrant plus de 850 000 commandes dans plus de 200 pays, pour un préjudice s’élevant à plusieurs dizaines de millions d’euros.

En 2023, la société italienne de cybersécurité Yarix, filiale du groupe Var, avait déjà identifié un réseau d’environ 13 000 faux sites marchands, principalement de vêtements et de chaussures, mais aussi de jouets ou de meubles, tous liés à un même opérateur, qu’elle avait baptisé « FashionMirror ».

Un système « largement automatisé »…

Les modes d’emploi obtenus par SRLabs, et rédigés par les escrocs, invitent leurs employés à repérer les sites web ayant bénéficié d’un bon référencement et dont les noms de domaine n’ont pas été renouvelés, afin de les racheter. Un système « largement automatisé » qui leur permet ensuite de créer « en quelques minutes » un site marchand recopiant le contenu de sites authentiques.

Avec, parfois, de grossières erreurs de traduction, comme « chaud vente » pour « hot sales », ou « expédition politique » à la place de « politique d’expédition ».

Cette pratique est de plus en plus répandue et ne concerne pas que les sites de vente en ligne. Lors d’une conférence à l’Afnic, un intervenant expliquait que les noms de domaines de nouveau disponibles sur le marché vont être « rachetés par des tiers qui vont mettre en place des faux sites administratifs ».

• Les abus sur les noms de domaine toujours plus nombreux et sophistiqués

… avec un modèle « similaire à celui des franchises »

Pour en revenir à notre affaire, ces « petites mains » seraient employées par des entreprises chinoises, « dûment déclarées » et se présentant comme des sociétés de développement Web, et payés « environ 500 euros par mois à l’embauche, soit le double du salaire minimal local, pour un poste au bas de l’échelle ».

« C’est un modèle similaire à celui des franchises, explique Matthias Marx, chercheur en sécurité informatique pour SR Labs, qui a analysé en profondeur les documents. Il y a une équipe centrale, chargée de développer les logiciels et les interfaces, et qui fournit un soutien technique au fonctionnement du réseau. Les franchisés, eux, gèrent au jour le jour le fonctionnement des faux magasins. »

« Notre hypothèse est que cette [organisation] est liée au crime organisé, explique Diego Marson, responsable sécurité du groupe Var. Le nombre de sites, les montants en jeu… Tout cela nécessite l’utilisation de “mules” pour transférer l’argent. On constate par ailleurs que ce groupe réinvestit les sommes dérobées pour développer sa plate-forme. »

Une grande partie des faux sites est par ailleurs hébergée par des entreprises états-uniennes, dont EGIhosting et Eonix corporation, et protégés contre les attaques par Cloudflare qui, sollicité par Le Monde, les a rendus inaccessibles.

Jusque dans les chiottes

La CNIL vient de préciser les « circonstances exceptionnelles » et « conditions cumulatives » qu’un établissement d’hébergement pour personnes âgées dépendantes (Ehpad) doit remplir « avant d’envisager » la mise en place d’un dispositif de vidéosurveillance dans des chambres de ses résidents.

La CNIL rappelle que sa recommandation, également publiée au Journal officiel, fait suite à « plusieurs demandes de conseil » qui lui avait été adressées suite à la médiatisation de cas de maltraitance au sein d’Ehpad, et aux « nombreuses interrogations juridiques et éthiques » que cela peut poser :

« Un tel dispositif est en effet susceptible de porter atteinte tant aux droits des salariés qu’à ceux des personnes hébergées pour lesquelles la chambre représente le seul espace d’intimité dans lequel elles peuvent poursuivre leur vie affective et familiale. »

Elle avait alors, en février 2023, une consultation publique afin de « mieux comprendre les enjeux du secteur et de trouver un équilibre entre la sécurité des résidents, le respect de leur intimité et les droits et libertés des salariés ».

• La CNIL se saisit du dossier de la vidéosurveillance dans les chambres d’EHPAD

Elle estimait alors que, « d’une manière générale », l’installation d’un dispositif de vidéosurveillance dans la chambre d’une personne hébergée était « disproportionnée ».

Pour autant, et « en cas de suspicions fortes de maltraitance » à l’encontre d’une personne hébergée, basées sur un faisceau d’indices concordants (hématomes, changements comportementaux, etc.), elle reconnaissait qu’un organisme « devrait pouvoir installer de manière ponctuelle » un dispositif de vidéosurveillance « pour la prévention des incidents », et « sous réserve de garanties appropriées (limiter l’activation dans le temps, restreindre la prise d’images dans les lieux d’intimité, etc.) ».

Les nombreuses contributions reçues lui ont depuis « permis de mieux comprendre les préoccupations du public et les besoins du secteur », et donc d’enrichir sa recommandation définitive.

Un dernier recours, en cas de mauvais traitements avérés

« En principe », souligne la CNIL, l'installation d'un système de vidéosurveillance dans les chambres d’Ehpad « ne peut être envisagée que pour assurer la sécurité des personnes hébergées dans le cadre d’une enquête pour maltraitance (conditions cumulatives) seulement » :

• • « en cas de suspicion étayée de mauvais traitements » (hématomes constatés, changements comportementaux, etc.) malgré les dispositifs alternatifs mis en place pour assurer la sécurité des personnes hébergées (par exemple, un bouton d’appel d’urgence sans fil, des procédures de signalement et de suivi d’événements préoccupants, la création d’équipe de travail afin de permettre l’intervention des soignants en binôme) ;

• • « ET après échec des procédures d’enquêtes » n’ayant pas permis de détecter une situation de maltraitance, dès lors qu’un doute subsiste.

La (longue) liste de garanties cumulatives préalables

La CNIL insiste, de plus, sur les garanties que les établissements devront avoir pris « avant la mise en place d’un dispositif de vidéosurveillance », afin de :

• • limiter l’activation dans le temps ;

• • désactiver le dispositif de vidéosurveillance lors des visites des proches, sauf si le soupçon de maltraitance porte sur ces derniers ;

• • établir et appliquer un cadre interne quant aux conditions justifiant l’installation d’un dispositif de vidéosurveillance (il doit par exemple s’agir d’une demande émanant des proches de la personne hébergée à l’établissement faisant suite à des cas de suspicions fortes et avérées de maltraitance, etc.) ;

• • informer les salariés de manière individuelle et collective quant à la possibilité que des dispositifs de vidéosurveillance soient installés au sein des chambres des résidents ;

• • recueillir le consentement des personnes hébergées ou lorsque la personne n’est pas en mesure de consentir, celui-ci devra être recueilli dans le respect des règles spécifiques liées à la protection des majeurs ;

• • « flouter », dans la mesure du possible, les parties intimes de la personne concernée dès lors que les soins qui lui sont apportés sont réalisés dans son lit ;

• • insérer au sein du règlement intérieur la possibilité qu’un dispositif de vidéosurveillance soit mis en place dans la chambre d’un résident en cas de suspicions fortes de maltraitance et y faire notamment figurer les modalités de visionnage (accès aux images strictement limité au seul personnel habilité ; conditions d’accès aux images par la famille ; etc.) ;

• • lorsque la demande émane de la famille ou des proches, l’installation d’un tel dispositif devrait être réalisée en concertation avec l’établissement, tenant compte des procédures d’enquêtes, du respect du cadre interne en matière de faisceaux d’indices, de l’information du personnel, le cas échéant ;

• • sensibiliser et former le personnel chargé de gérer et de mettre en œuvre ces dispositifs.

La durée de conservation devra, au surplus, être « limitée à quelques jours » si les images ne révèlent pas de maltraitance à l’égard du résident ou, dans le cas contraire, à la durée de la procédure contentieuse.

Des caméras jusque dans les WC en cas de « forte suspicion »

La CNIL précise que la prise d’images dans les lieux d’intimité (toilettes, douches) « doit être proscrite sauf circonstances exceptionnelles », à savoir lorsque les procédures d’enquêtes internes et le dispositif de vidéosurveillance installé au sein de la chambre n’ont pas permis de détecter une situation de maltraitance, alors qu’il subsiste « une forte suspicion » que de tels actes y soient perpétrés. Au regard des « risques élevés » susceptibles d’être engendrés pour les droits et libertés des personnes concernées, les organismes mettant en œuvre ce type de dispositif « devront réaliser une analyse d’impact relative à la protection des données (AIPD) », précise la CNIL, qui se met à la disposition des organismes pour les accompagner à cet effet, et qui invite les Ehpad à commencer à y réfléchir sans attendre de cas de maltraitance :

« Une telle AIPD ne pouvant être réalisée en urgence, cela implique d’avoir réfléchi à la possibilité d’utilisation d’un tel dispositif à l’avance, en cas de suspicion de maltraitance. »

L’organisme mettant en œuvre le dispositif devra dès lors et plus particulièrement insister sur :

• • les raisons l’ayant conduit à considérer que des moyens alternatifs moins intrusifs s'avéraient inefficaces ;

• • les garanties qu’il met en œuvre pour ne pas mettre sous surveillance continue les salariés travaillant dans l’établissement ;

• • les mesures pour assurer la confidentialité des données ;

• • les précautions prises pour protéger la vie privée des personnes hébergées.

La vidéosurveillance devra être consentie

La CNIL rappelle par ailleurs qu'il est « en principe » interdit d’installer des caméras pour « améliorer » le service offert à la personne concernée en renforçant son « confort » (afin, par exemple, d'améliorer le temps d'intervention rapide à la demande des résidents), « même lorsqu’elle a donné son consentement ». Elle précise aussi que les proches des résidents ne sont pas habilités à installer de caméras, y compris pour assurer la sécurité du membre de leur famille, et que « seul l’établissement peut en principe mettre en place le dispositif, afin que celui-ci soit le plus respectueux des droits et libertés de chacun ». La CNIL relève en outre que des dispositifs alternatifs peuvent également être mis en place pour assurer la sécurité des personnes hébergées en cas de chute ou d’accident, tels que des capteurs de présence placés sous le sol et susceptibles de détecter la moindre anomalie, bracelets susceptibles de détecter une chute brutale grâce à un accéléromètre, capteurs/boitiers infrarouges capables de détecter une chute et d’envoyer un message d’alerte au personnel, « sous réserve du recueil du consentement » de la personne hébergée ou, lorsqu’elle n’est pas en mesure de consentir, dans le respect des règles spécifiques liées à la protection des majeurs. Le consentement de la personne concernée devra en tout état de cause être recueilli avant l’installation du dispositif de vidéosurveillance, « y compris lorsque la demande provient de ses proches ». Si l’initiative émane de l’établissement, il devra aussi permettre à la personne concernée de refuser son installation.