FAED y verse

Un décret vient de modifier les dispositions réglementaires relatives au fichier automatisé des empreintes digitales (FAED) afin de permettre des interconnexions avec huit autres fichiers français et européens. Il porte également à 40 ans la durée maximale de conservation des données, pour tenir compte de la prescription de 20 ans.

Le ministère de l’Intérieur explique que le décret modifie les dispositions réglementaires relatives au traitement FAED, précise les finalités du FAED et les catégories de données pouvant être enregistrées, actualise les catégories de personnes pouvant accéder au traitement ou être destinataires des données, ainsi que les durées de conservation des données relatives aux infractions les plus graves, et modifie les droits des personnes concernées pour les mettre en conformité avec le RGPD.

Dans son avis, la CNIL relève que le fichier contenait, fin décembre 2022, plus de 6,5 millions d’empreintes de personnes identifiées en tant que mises en cause (contre 4,8 millions en 2014, et 2,25 en 2004), ainsi que 293 831 empreintes d’origine inconnue et non identifiées.

Elle note que le décret met fin à l’ « interdiction de principe » des mises en relation qui prévalait jusqu’alors, dans la perspective d’une interconnexion des fichiers de police aux niveaux national et international.

Sont en particulier concernées les mises en œuvre du système d’information Schengen (SIS) et du système ECRIS-TCN (pour European Criminal Records Information System – Third Country Nationals, un système centralisé de concordance/non-concordance destiné à compléter la base de données existante des casiers judiciaires de l’UE – ECRIS – sur les ressortissants de pays tiers condamnés dans l’Union européenne).

• Vers des contrôles biométriques « en bord de route »
• Le fichier des empreintes digitales sera interconnecté avec le casier judiciaire (1/3)

Comme nous l’avions déjà rapporté, il est prévu que le FAED fasse l’objet d’interconnexions, de rapprochements ou de mises en relation avec plusieurs autres fichiers français et paneuropéens :

• le traitement d’antécédents judiciaires (TAJ), qui comportait en 2018 les données de près de 19 millions de personnes « mises en cause » ;
• les logiciels de rédaction des procédures de la police nationale (LRPPN) et son équivalent de la gendarmerie nationale (LRPGN) ;
• le dossier pénal numérique (DPN), qui vise à rassembler les données et informations collectées tout au long du processus judiciaire pénal ;
• le système national d’information Schengen (N-SIS) qui, en 2019, répertoriait 91 millions de « signalements » et avait fait l’objet de 6,6 milliards de recherches par les États membres ;
• le fichier des personnes recherchées (FPR), qui répertoriait en 2019 « environ 642 000 fiches actives pour 580 000 personnes », une même personne pouvant faire l’objet de plusieurs fiches ;
• le casier judiciaire national (CJN), qui dénombrait 5 119 654 personnes condamnées en 2017 ;
• le système d’entrée et de sortie (EES, pour Entry/Exit System), qui vise à remplacer la pratique actuelle de tamponnage manuel des passeports par l’enregistrement électronique dans une base de données centrale des informations biographiques et biométriques.

La CNIL relève cela dit que, depuis 2015, des exceptions étaient déjà prévues par le décret en vigueur :

• concernant le traitement CASSIOPEE (pour Chaine Applicative Supportant le Système d’Information Oriente Procédure pénale Et Enfants, qui contient des informations relatives aux plaintes enregistrées dans le cadre de procédures judiciaires), pour permettre la mise à jour du FAED lorsque l’autorité judiciaire demande l’effacement des données ;
• dans le cadre de la coopération internationale en matière de police judiciaire.

Le ministère de l’Intérieur précise qu’à ce jour, l’interconnexion avec le N-SIS ne permet qu’une alimentation manuelle des fiches de signalisation, mais que ce processus sera à l’avenir automatisé. De même, la transmission d’informations dans le TAJ sera réalisée ultérieurement au moyen d’une interconnexion pour automatiser les fusions de dossiers.

• Plus d’un tiers des Français sont fichés dans le FNAEG
• L’Intérieur muscle le fichier des personnes recherchées

Plus d’interconnexions de fichiers = plus d’erreurs

SS 2.0

Le ministère de l’Intérieur britannique veut être « le premier pays au monde » à placer la nébuleuse d’extrême droite en ligne Terrorgram sur sa liste des organisations terroristes. Elle appelle en effet à la « guerre raciale », compare les terroristes suprémacistes à des « Saints », qui auraient d’ores et déjà tué 273 personnes depuis 2007, soit 31 % des victimes d’attentats terroristes en Occident.

Le rapport 2024 du Global Terrorism Index (GTI) de l’Institute for Economics & Peace (IEP) relève que le nombre de pays ayant enregistré « au moins un décès dû au terrorisme » était tombé à 41 en 2023, contre 44 en 2022 et 57 en 2015. Dans les pays occidentaux, les incidents terroristes sont même « tombés à leur plus bas niveau depuis 2007, en baisse de 55 % par rapport à 2022, avec 23 attentats et 21 décès enregistrés en 2023 ».

A contrario, « l’Amérique du Nord est la seule région, à l’exception de l’Afrique subsaharienne, où l’impact du terrorisme est plus élevé en 2023 qu’en 2013 ». Depuis 2007, 60 attentats y ont été commis pour des motifs politiques, contre 14 pour des motifs religieux. Un changement « particulièrement marqué depuis 2017 », et alors que cinq des sept attentats perpétrés en 2023 étant liés à des individus « ayant des sympathies ou des liens avec l’extrême droite ».

Si l’attention médiatico-politique s’est focalisée, ces dernières années, sur le terrorisme islamiste, son rapport 2023 précisait que le terrorisme à motivation idéologique n’en est pas moins devenu « le type de terrorisme le plus répandu en Occident », le terrorisme à motivation religieuse ayant diminué de 95 % depuis son pic de 2016, le terrorisme nationaliste ou séparatiste ayant, lui aussi, considérablement reculé depuis.

A contrario, et si depuis 2007, 55 % des décès en Occident sont dus à des attaques religieuses, émanant « presque exclusivement » d’un « terrorisme islamiste radical », le terrorisme « à motivation idéologique » a représenté « 31 % de tous les décès au cours de cette période, les groupes d’extrême droite étant responsables de l’ensemble de ces 273 décès ».

Pour les seuls États-Unis, le terrorisme d’extrême droite (anti-gouvernement, milices, suprémacistes blancs et anti-avortement) a ainsi tué 134 personnes depuis le 11 septembre 2001 (plus 17 autres pour le terrorisme misogyne/incel), contre 107 pour le terrorisme djihadiste, 13 pour le terrorisme séparatiste ou suprémaciste noir, et 1 pour le terrorisme d’extrême-gauche, relevait pour sa part un rapport du think-tank libéral New America en 2023.

Pour Terrorgram, les terroristes néo-fascistes sont des « Saints »

La mairie de Cannes va expérimenter « l’usage de caméras de vidéoprotection utilisant l’Intelligence Artificielle (IA) » pendant le Festival International du Film de Cannes, du 14 au 25 mai 2024

Ce système, déployé aux abords du Palais des festivals et des congrès, permettra aux opérateurs du Centre de Protection Urbain municipal (CPU) de « détecter rapidement des comportements suspects ou potentiellement dangereux, déclenchant ainsi des interventions plus rapides » :

« Ces caméras seront capables de détecter des colis abandonnés, la présence ou l’utilisation d’armes, le non-respect du sens de circulation, le franchissement ou la présence dans une zone sensible ou interdite, une personne au sol, un mouvement de foule, une densité trop importante de personnes et un départ de feux. »

David Lisnard, le maire de Cannes, explique avoir sollicité « dès 2019 » l’usage de tels moyens technologiques de surveillance supplémentaires pour « lutter au mieux contre le terrorisme et le banditisme, dans un cadre judiciarisé et protecteur des libertés individuelles » :

« Avec la loi relative aux Jeux Olympiques et Paralympiques de 2024, nous allons enfin pouvoir déployer, à titre expérimental, des caméras équipées d’Intelligence Artificielle reliées à notre CPU pour identifier des situations à risque. Couplé à l’efficacité de notre réseau de vidéoprotection, le plus dense de France, l’objectif est de gagner du temps pour déclencher au plus tôt la chaîne d’alerte et rendre le dispositif de sécurité plus efficace. Je salue la décision du ministère de l’Intérieur d’avoir choisi Cannes et le premier festival culturel au monde pour tester cet outil. »

« Pionnière dans le domaine de la vidéoprotection avec ses 884 caméras déployées sur son territoire », soit une caméra pour 84 habitants (et non « 84 [caméras] par habitant » comme indiqué dans le communiqué), la mairie de Cannes s’était en effet portée volontaire auprès du ministère de l’Intérieur pour expérimenter la « vidéoprotection algorithmique » lors du Festival International du Film de Cannes.

Un retour d’expérience sera communiqué au ministère de l’Intérieur « dans les 15 jours suivant l’évènement ». Ce qui permettra à la ville de Cannes de faire partie des « premières expérimentations avant le lancement des Jeux Olympiques et Paralympiques de Paris ».

La mairie de Cannes va expérimenter « l’usage de caméras de vidéoprotection utilisant l’Intelligence Artificielle (IA) » pendant le Festival International du Film de Cannes, du 14 au 25 mai 2024

Ce système, déployé aux abords du Palais des festivals et des congrès, permettra aux opérateurs du Centre de Protection Urbain municipal (CPU) de « détecter rapidement des comportements suspects ou potentiellement dangereux, déclenchant ainsi des interventions plus rapides » :

« Ces caméras seront capables de détecter des colis abandonnés, la présence ou l’utilisation d’armes, le non-respect du sens de circulation, le franchissement ou la présence dans une zone sensible ou interdite, une personne au sol, un mouvement de foule, une densité trop importante de personnes et un départ de feux. »

David Lisnard, le maire de Cannes, explique avoir sollicité « dès 2019 » l’usage de tels moyens technologiques de surveillance supplémentaires pour « lutter au mieux contre le terrorisme et le banditisme, dans un cadre judiciarisé et protecteur des libertés individuelles » :

« Avec la loi relative aux Jeux Olympiques et Paralympiques de 2024, nous allons enfin pouvoir déployer, à titre expérimental, des caméras équipées d’Intelligence Artificielle reliées à notre CPU pour identifier des situations à risque. Couplé à l’efficacité de notre réseau de vidéoprotection, le plus dense de France, l’objectif est de gagner du temps pour déclencher au plus tôt la chaîne d’alerte et rendre le dispositif de sécurité plus efficace. Je salue la décision du ministère de l’Intérieur d’avoir choisi Cannes et le premier festival culturel au monde pour tester cet outil. »

« Pionnière dans le domaine de la vidéoprotection avec ses 884 caméras déployées sur son territoire », soit une caméra pour 84 habitants (et non « 84 [caméras] par habitant » comme indiqué dans le communiqué), la mairie de Cannes s’était en effet portée volontaire auprès du ministère de l’Intérieur pour expérimenter la « vidéoprotection algorithmique » lors du Festival International du Film de Cannes.

Un retour d’expérience sera communiqué au ministère de l’Intérieur « dans les 15 jours suivant l’évènement ». Ce qui permettra à la ville de Cannes de faire partie des « premières expérimentations avant le lancement des Jeux Olympiques et Paralympiques de Paris ».

NSA.I

Alors que la vague de l’intelligence artificielle prend de plus en plus d’ampleur, la NSA, en partenariat avec d’autres agences des Five Eyes, vient de mettre en ligne ses « lignes directrices pour renforcer la sécurité des systèmes d’IA ».

La National Security Agency (NSA, qui est aussi l’agence en charge de la cybersécurité aux États-Unis, ndlr) vient de publier une fiche d’information sur la cybersécurité (« Cybersecurity Information Sheet », ou CSI) intitulée « Déployer des systèmes d’IA en toute sécurité : Meilleures pratiques pour le déploiement de systèmes d’IA sécurisés et résilients » [.pdf].

Elle est destinée « aux propriétaires de systèmes de sécurité nationale et aux entreprises de la base industrielle de défense qui déploieront et exploiteront des systèmes d’IA conçus et développés par une entité externe ».

Notons que, dans ce document, l’agence parle d’IA pour tout système basé sur du machine learning.

Les Five Eyes parlent d’une même voix

Irréductible gaulois, #oupas

Le nouveau directeur général de l’ETSI travaillait jusqu’à l’an dernier chez Huawei. La Commission européenne avait pourtant « officieusement encouragé » les gouvernements nationaux à voter pour un candidat « ne présentant aucun lien avec des entreprises étrangères ».

Les membres de l’Institut européen des normes de télécommunication (ETSI), qui joue un rôle majeur dans l’élaboration de normes techniques des principales technologies mondiales, viennent d’élire le suédois Jan Ellsberger pour succéder à Luis Jorge Romero, qui occupait le poste de directeur général depuis treize ans.

Les candidats pour le poste de directeur général étaient, relevait la semaine passée Euractiv, Luis Jorge Romero, directeur général de l’ETSI depuis 2011 et ancien directeur de Telefónica en Espagne, Gilles Brégant, directeur de l’Agence nationale des fréquences en France (ANFR) et ancien Directeur des technologies du Conseil supérieur de l’audiovisuel (CSA) de 2005 à 2010, et Jan Ellsberger, ancien vice-président d’Ericsson et de Huawei en Allemagne, aujourd’hui conseiller pour une entreprise de conseil.

Selon Euronews, l’expert français en télécommunications était le « candidat favori de l’exécutif européen », la Commission ayant « officieusement encouragé » les gouvernements nationaux à voter pour Gilles Brégant, considéré comme un candidat « ne présentant aucun lien avec des entreprises étrangères ». La Commission s’inquiétait en effet des liens des deux autres candidats avec des entreprises étrangères.

Jan Ellsberger avait alors indiqué qu’il souhaitait « diversifier » les activités de l’ETSI « à la fois en termes de projets et de membres », et suggéré une expansion de l’organisme au Moyen-Orient dans les domaines de « l’IA et du transport automatisé ».

Euractiv soulignait alors que, « contrairement à d’autres organismes de l’UE », l’ETSI est « à la fois juridiquement et financièrement indépendant », parce que récoltant elle-même les bénéfices de ses plus de 850 membres, « dont un grand nombre d’entreprises privées ».

Le champion désigné disqualifié au troisième tour pour 0,5 %

« Nous renforçons notre action contre les applications tierces qui enfreignent les conditions d’utilisation de YouTube, en particulier les applications de blocage des publicités », vient d’annoncer YouTube.

Les utilisateurs de ces applications tierces pourront dès lors « rencontrer des problèmes de mise en mémoire tampon ou voir apparaître l’erreur « Le contenu suivant n’est pas disponible sur cette application » lorsqu’ils essaient de regarder une vidéo ».

« Nous n’autorisons les applications tierces à utiliser notre API que si elles respectent les conditions d’utilisation de nos services API », précise YouTube. Les applications et extensions ne reposant pas sur son API devraient donc potentiellement ne pas être affectées.

YouTube rappelle à ce titre que ses conditions d’utilisation « n’autorisent pas les applications tierces à désactiver les publicités, car cela empêcherait le créateur d’être récompensé pour son audience ».

Et ce, parce que les publicités sur YouTube « aident à soutenir les créateurs et permettent à des milliards de personnes dans le monde d’utiliser le service de diffusion en continu ». Les personnes préférant une expérience « entièrement dépourvue de publicité » sont invitées à s’abonner à YouTube Premium.

Une injonction qui n’interroge pas le fait (pour le moins problématique) qu’une bonne partie des publicités rencontrées sur YouTube par l’auteur de ce brief sont des « tunnels de conversion » renvoyant à des webinaires soi-disant « gratuits » (mais en échange de nos données personnelles, afin de pouvoir commercialiser des « formations » payantes, qui ne sont pas, cela dit, certifiées Qualiopi) voire de véritables escroqueries (dropshipping, produits miracles, investissements non régulés, etc.), et non des « publicités », censées être vérifiées et contrôlées, telles qu’on peut en voir à la télévision.

N’hésitez pas à nous faire part en commentaire de celles qui vous sembleraient, elles aussi, problématiques.

« Nous renforçons notre action contre les applications tierces qui enfreignent les conditions d’utilisation de YouTube, en particulier les applications de blocage des publicités », vient d’annoncer YouTube.

Les utilisateurs de ces applications tierces pourront dès lors « rencontrer des problèmes de mise en mémoire tampon ou voir apparaître l’erreur « Le contenu suivant n’est pas disponible sur cette application » lorsqu’ils essaient de regarder une vidéo ».

« Nous n’autorisons les applications tierces à utiliser notre API que si elles respectent les conditions d’utilisation de nos services API », précise YouTube. Les applications et extensions ne reposant pas sur son API devraient donc potentiellement ne pas être affectées.

YouTube rappelle à ce titre que ses conditions d’utilisation « n’autorisent pas les applications tierces à désactiver les publicités, car cela empêcherait le créateur d’être récompensé pour son audience ».

Et ce, parce que les publicités sur YouTube « aident à soutenir les créateurs et permettent à des milliards de personnes dans le monde d’utiliser le service de diffusion en continu ». Les personnes préférant une expérience « entièrement dépourvue de publicité » sont invitées à s’abonner à YouTube Premium.

Une injonction qui n’interroge pas le fait (pour le moins problématique) qu’une bonne partie des publicités rencontrées sur YouTube par l’auteur de ce brief sont des « tunnels de conversion » renvoyant à des webinaires soi-disant « gratuits » (mais en échange de nos données personnelles, afin de pouvoir commercialiser des « formations » payantes, qui ne sont pas, cela dit, certifiées Qualiopi) voire de véritables escroqueries (dropshipping, produits miracles, investissements non régulés, etc.), et non des « publicités », censées être vérifiées et contrôlées, telles qu’on peut en voir à la télévision.

N’hésitez pas à nous faire part en commentaire de celles qui vous sembleraient, elles aussi, problématiques.

VSA va pas le faire

Un rapport sénatorial constate que la vidéosurveillance algorithmique (VSA), un an après la promulgation de la loi autorisant son expérimentation, serait « loin des objectifs fixés ». Elle déplore qu’une seule expérimentation, limitée à « 6 caméras et 4 cas d’usages » (à comparer aux 8 « évènements prédéterminés » autorisés), ait à ce jour été effectuée.

[Article mis à jour le 13 avril avec la déclaration de la rapporteure sur le fait que « Nous avons compris, lors du concert de Depeche Mode ayant servi d’expérimentation, que l’outil ne fonctionnait pas. Les jeux Olympiques offriront un terrain d’expérimentation supplémentaire, mais en aucun cas il y a là un moyen de sécurisation. »]

À moins de 100 jours de la cérémonie d’ouverture des Jeux Olympiques, une mission d’information sénatoriale a présenté son rapport intitulé (sans ironie) « Gagner la médaille d’or de la sécurisation des jeux Olympiques et Paralympiques de 2024 » et ses 55 préconisations, fruit de 95 auditions et de cinq déplacements, rapporte Public Sénat.

Les deux rapporteures Agnès Canayer (apparentée LR) et Marie-Pierre de la Gontrie (PS) ont livré « un satisfecit général », tout en déplorant que le déploiement de la vidéosurveillance algorithmique (VSA) dite « intelligente » ou « augmentée », point fort de la loi adoptée l’an passé, « est loin des objectifs fixés ».

« La vidéoprotection augmentée ne sera pas optimum au moment des JO. Mais les JO seront un grand terrain de jeux pour l’expérimenter », a regretté Agnès Canayer qui souligne par ailleurs qu’ « il faudra plus de forces de sécurité intérieure ou de forces de sécurité privée pour compenser ce défaut d’outils technologique ».

Une seule expérimentation, un an après l’adoption de la loi

La fédération française de professionnels du secteur des infrastructures de télécommunications, InfraNum (ex FIRIP) a signé avec l’Ukraine un accord pour reconstruire son réseau et le moderniser, explique la Fédération dans un communiqué.

Ses membres « réalisent déjà 32 milliards d’euros de chiffre d’affaires à l’étranger et revendiquent pas moins de 100 000 personnes » employées en dehors de nos frontières. L’internationalisation est un axe mis en avant depuis des années pour préparer l’après plan France THD, une fois que le gros du développement sera derrière nous en France.

Selon l’Ukraine, entre 15 et 20 % de ses infrastructures réseaux ont été détruites par la guerre menée par la Russie sur son territoire. Elle estime ces dommages à 2,3 milliards de dollars : « destruction ou détérioration des réseaux Internet des opérateurs de téléphonie fixe, des réseaux radios des opérateurs mobiles, des autres structures et équipements liés, soit environ 3 200 stations de télécommunications dont certaines ont pu être remises en service et plus de 60 000 km de fibre optique », détaille InfraNum.

Les Échos expliquent que l’accord, projet pilote sur huit mois, est « la première étape d’un chantier qui pourrait durer quinze ans et mobiliser au total 10 milliards d’euros d’investissement ». Il prévoit un état des lieux technique, institutionnel et juridique, puis l’apport du « très haut débit, sur une localité relativement éloignée du front de guerre ».

Ce projet « s’inscrit dans la continuité de la demande d’InfraNum d’une subvention de 756 000 euros au titre du FASEP (Fonds d’études et d’Aide au Secteur Privé), octroyée le 29 février par le comité interministériel aide projet ».

La fédération française de professionnels du secteur des infrastructures de télécommunications, InfraNum (ex FIRIP) a signé avec l’Ukraine un accord pour reconstruire son réseau et le moderniser, explique la Fédération dans un communiqué.

Ses membres « réalisent déjà 32 milliards d’euros de chiffre d’affaires à l’étranger et revendiquent pas moins de 100 000 personnes » employées en dehors de nos frontières. L’internationalisation est un axe mis en avant depuis des années pour préparer l’après plan France THD, une fois que le gros du développement sera derrière nous en France.

Selon l’Ukraine, entre 15 et 20 % de ses infrastructures réseaux ont été détruites par la guerre menée par la Russie sur son territoire. Elle estime ces dommages à 2,3 milliards de dollars : « destruction ou détérioration des réseaux Internet des opérateurs de téléphonie fixe, des réseaux radios des opérateurs mobiles, des autres structures et équipements liés, soit environ 3 200 stations de télécommunications dont certaines ont pu être remises en service et plus de 60 000 km de fibre optique », détaille InfraNum.

Les Échos expliquent que l’accord, projet pilote sur huit mois, est « la première étape d’un chantier qui pourrait durer quinze ans et mobiliser au total 10 milliards d’euros d’investissement ». Il prévoit un état des lieux technique, institutionnel et juridique, puis l’apport du « très haut débit, sur une localité relativement éloignée du front de guerre ».

Ce projet « s’inscrit dans la continuité de la demande d’InfraNum d’une subvention de 756 000 euros au titre du FASEP (Fonds d’études et d’Aide au Secteur Privé), octroyée le 29 février par le comité interministériel aide projet ».

"Faked with AI"

Alors que Meta vient d’annoncer l’ajout d’ « étiquettes contextuelles » sur les contenus « Made in IA », des escrocs ont commencé à voler les vidéos d’influenceuses et travailleuses du sexe, pour les cloner en y rajoutant des visages générés par des IA.

404Media a découvert des comptes Instagram qui volent les vidéos d’influenceuses et travailleuses du sexe, avant de les cloner en substituant leurs visages par des deepfakes générés par des intelligences artificielles, afin de pouvoir monétiser les contenus dérobés.

Vrais corps et décors, faux visages

Certains comptes auraient ainsi accumulé « des centaines de milliers de followers et des millions de vues » en utilisant « presque exclusivement » du contenu volé, tout en renvoyant à des profils payants (de 5 à 20 dollars par mois). 404Media a aussi trouvé plusieurs tutos sur YouTube expliquant comment procéder.

De quoi pouvoir constituer, à peu de frais, un volume important de contenus d’autant plus « crédibles » que les corps sont humains, les décors réels, et que seuls les visages sont générés par IA. Et a priori plus difficiles à identifier comme ayant été générés par des IA, contrairement aux « influenceuses virtuelles » entièrement générées de façon « artificielle ».

• Des influenceuses virtuelles (IA) concurrencent leurs équivalents humains
• Deepfakes pornographiques : quand l’intelligence artificielle sert à humilier

Meta va ajouter un « made with AI »

HUBSIDE down

Un mois après avoir infligé une amende de 310 000 euros à FORIOU, la CNIL sanctionne sa société sœur HUBSIDE.STORE d’une seconde amende de 525 000 euros. Et ce, au terme d’une plainte enregistrée en 2020, qui lui a permis de découvrir un fichier d’ « environ 1,3 million de prospects français et belges ».

Les deux entreprises ont été condamnées pour les mêmes motifs, résume la CNIL, « notamment pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées ».

• Un assureur de smartphones et tablettes écope d’une amende de 10 millions d’euros
• FORIOU, filiale du très controversé « plus jeune milliardaire de France », sanctionnée par la CNIL

Elles appartiennent toutes deux à Indexia Group (anciennement Sfam) du très controversé « plus jeune milliardaire de France », Sadri Fegaier, 44 ans. Celui-ci a bâti sa fortune sur des pratiques lui valant un procès pour « pratiques commerciales trompeuses », qui devrait avoir lieu cet automne, et où plus de 500 consommateurs se seraient portés partie civile.

La CNIL rappelle que HUBSIDE.STORE « procède à des campagnes de démarchage par téléphone et par SMS pour promouvoir les produits vendus dans ses boutiques (téléphones portables, ordinateurs, etc.) ». À cet effet, elle acquiert les données de prospects démarchés auprès de courtiers en données, éditeurs de sites de jeux-concours et de tests de produits, tout comme FORIOU.

Et, là encore, « l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte ne permettait pas de recueillir un consentement valide des personnes concernées ». Ce pourquoi HUBSIDE.STORE « ne pouvait donc procéder légalement » à ses opérations de prospection par SMS et téléphone.

En outre, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que, lors de ses opérations de démarchage téléphonique, la société ne permettait pas non plus aux personnes d’être suffisamment informées, en violation de l’article 14 du RGPD.

Elle a prononcé à son encontre une amende de 525 000 euros, rendue publique. Son montant, qui « représente environ 2 % » du chiffre d’affaires de la société, a « notamment été décidé au regard de la gravité des manquements retenus », de la responsabilité endossée par l’organisme utilisant les données collectées, et du fait que la société « avait massivement recours » à la prospection commerciale.

Quatre fichiers non conformes sur les sept examinés

OPSEC osef

L’identité du patron de l’unité 8200 (l’équivalent israélien de la NSA) figurait dans un ebook qu’il avait publié sur Amazon. Il y théorise les programmes d’intelligence artificielle utilisés pour cibler et bombarder les personnes identifiées comme « terroristes » (et leurs familles) à Gaza.

The Guardian a découvert l’identité, jusque-là tenue secrète, du chef de l’Unité 8200, l’équivalent israélien de la NSA. Ce dernier avait en effet publié sur Amazon un livre en 2021, « The Human Machine Team », sous-titré « Comment créer une synergie entre l’intelligence humaine et l’intelligence artificielle qui révolutionnera notre monde ».

Son auteur, Y.S., y est présenté comme un général de brigade, « analyste expert, directeur technologique, commandant d’une unité de renseignement d’élite et lauréat du prestigieux prix israélien de la défense pour son projet de lutte contre le terrorisme basé sur l’intelligence artificielle ».

Son essai prétend « expliquer comment la combinaison de l’intelligence humaine et de l’intelligence artificielle peut résoudre les défis et les menaces en matière de sécurité nationale, mener à la victoire en temps de guerre et être un moteur de croissance pour l’humanité ».

Or, « comme tout écrivain auto-édité », précise Dov Alfon, directeur de la rédaction de Libération (et lui-même ex-officier de renseignements israéliens de l’unité 8200) il lui a fallu créer un compte associé à une adresse e-mail. En l’espèce, un compte Gmail créé au nom de Yossi Sariel.

Initialement repéré par un groupe WhatsApp d’anciens officiers de l’Unité 8200, la bourde a finalement été rendue publique par le Guardian, après que plusieurs sources lui ont confirmé son identité en tant qu’auteur de l’essai et patron de l’unité 8200.

Une « machine à cibles » alimentée par l’IA

James Bond SS7

La Federal Communications Commission (FCC) états-unienne invite les fournisseurs de services de communication à lui faire part de l’état d’avancement de la rénovation et de la sécurisation de leurs réseaux. Le but : empêcher espions et cybercriminels de suivre, géolocaliser voire espionner leurs clients, abonnés et utilisateurs. Un vaste chantier qui traine depuis des années.

Sont particulièrement visés le système de signalisation n°7 (SS7) et le protocole Diameter utilisés dans le cœur des réseaux de téléphonie mobile 4G/LTE pour faire communiquer les différents équipements. Rappelons que la 5G actuellement déployée est de type NSA (Non StandAlone) et s’appuie donc sur un cœur de réseau 4G.

Protocoles SS7 : des risques connus depuis des années

The Register rappelle que SS7, qui a été mis au point au milieu des années 1970, peut en effet être utilisé de manière abusive pour localiser les téléphones, rediriger les appels et SMS afin d’intercepter les informations et espionner les utilisateurs.

• Surveillance de masse de Saoudiens via le système de signalisation SS7
• SS7 : après des interceptions de SMS, la sécurité des réseaux mobiles en question

L’enjeu est important, comme le rappelle l’ANSSI dans son état des menaces sur les télécoms : « Les technologies de surveillance individuelle développées par les entreprises de lutte informatique offensive (LIO) les plus sophistiquées impliquent souvent une utilisation des réseaux mobiles dans la chaîne d’attaque ».

Glace à l'eau

La fonte des glaces dans l’Arctique pourrait ouvrir de nouvelles voies pour les câbles Internet qui reposent au fond des océans et transportent la majeure partie du trafic international de données.

Les câbles sous-marins permettent de passer de très grosses quantités de données avec une latence faible. Un autre moyen de communication est de passer par des satellites géostationnaires, mais ils sont situés à 36 000 km et un aller-retour du signal demande donc de parcourir pas moins de 72 000 km, avec donc une latence importante. Cette dernière est incompressible car elle dépend directement de la vitesse de la lumière.

• Internet par satellite : comment choisir son abonnement, les pièges à éviter

Les câbles en mer Rouge sous tension

Crypto Wars Vet

Le professeur britannique d’ingénierie de la sécurité Ross Anderson est décédé la semaine passée à l’âge de 67 ans. Au-delà de ses travaux de recherche en matière de cryptographie, il était aussi et surtout connu pour ses engagements politiques en matière de défense des libertés numériques.

Pionnier de l’ingénierie de la sécurité, auteur de l’ouvrage « Security Engineering », publié pour la première fois en 2001 (cité depuis près de 4 500 fois). Il est largement considéré comme le texte de référence en la matière et a permis à d’innombrables professionnels et universitaires de se familiariser avec les complexités de la sécurisation des systèmes, souligne GBHackers.

Auteur de nombreuses contributions importantes au sujet de la cryptographie, de la sécurité informatique et de la protection de la vie privée, il était aussi « l’un des ingénieurs et informaticiens les plus respectés de sa génération », résume The Record.

Sa fiche de présentation à la Royal Society (l’équivalent de l’Académie des sciences en France), où il avait été élu en 2009, le présente comme « un pionnier et un leader mondial dans le domaine de l’ingénierie de la sécurité [qui] s’est distingué en lançant un certain nombre de nouveaux domaines de recherche dans le domaine du matériel, des logiciels et des systèmes ».

Elle souligne qu’il est également « l’un des fondateurs de l’étude de l’économie de la sécurité de l’information, qui non seulement indique où se trouvent les attaques et les défenses les plus efficaces, mais est également d’une importance fondamentale pour l’élaboration de la politique de la société de l’information ».

Les problèmes de sécurité sont souvent économiques

Notifiez, quitte à supprimer

Cinq ans après la mise en œuvre du RGPD, l’autorité de protection des données personnelles relève que, si la moitié des violations de données sont identifiées en moins de 10 heures, et notifiées dans les 72 heures, les organismes mettent, « en moyenne », 113 jours à les constater.

Cinq ans après l’entrée en application du RGPD, la CNIL vient de dresser un premier bilan chiffré des violations de données personnelles qui doivent lui être notifiées « dès qu’un risque est engendré pour les droits et libertés des personnes concernées ».

La CNIL rappelle qu’ « une violation de données correspond à une perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, que son origine soit accidentelle ou la conséquence d’une action malveillante ».

Non content de devoir notifier ces violations à la CNIL, les entités en cause sont également tenues d’informer les personnes concernées individuellement et de les conseiller sur la manière de se prémunir des risques qu’ils encourent.

2 284 notifications en 2022, 4 668 en 2023

Pas vu pas pris, un peu vu pris

Un manifestant vient d’être condamné suite à une reconnaissance faciale via le fichier de Traitement d’Antécédents Judiciaires (TAJ). Il portait une capuche et un masque de ski, mais une reconnaissance faciale approfondie et manuelle a tout de même permis de l’identifier.

Un manifestant vient d’écoper d’une peine de quatre mois de sursis probatoire pour outrage à agent et participation à un groupement en vue de commettre des violences ou des dégradations, révèle le journaliste Olivier Tesquet, qui précise qu’il a fait appel.

Capuche et masque de ski

Il détaille dans Télérama que ce parisien de 53 ans avait été photographié par un gendarme, « visage découvert, le crâne couvert par une capuche et un masque de ski », en train d’adresser un doigt d’honneur en direction de l’objectif, lors de la manifestation anti-bassines de Sainte-Soline l’an passé.

Il avait ensuite été identifié via le Traitement d’Antécédents Judiciaires (TAJ), ce gigantesque fichier de police de 19 millions de personnes « mises en cause » (MEC), qui comporte aussi plus de 8 millions de photos (sans que l’on sache, cela dit, à combien de personnes cela correspond, le TAJ comportant quatre photographies des personnes fichées).

Les effectifs de Police Technique et Scientifique utilisent à cet effet un logiciel, GASPARD (pour « Gestion Automatisée des Signalements et des Photos Anthropométriques Répertoriées et Distribuables »), qui permet de recueillir les informations anthropométriques et photographiques pour alimenter les fichiers FAED (Fichier Automatisé des Empreintes Digitales) et le TAJ, lors de la signalisation (photographies, prises d’empreintes et prélèvement ADN) des mis en cause et auteurs.

• Le fichier des empreintes digitales sera interconnecté avec le casier judiciaire (3/3)

Stefan L. y figure pour des délits mineurs, notamment un graffiti « ACAB » (« All cops are bastards », « tous les flics sont des salauds », ndlr) sur un mur des locaux du syndicat de police Alliance en 2020, qui lui vaut d’être décrit comme « apparenté à la mouvance extrémiste des gilets jaunes », précise Télérama.

L’IRCGN procède à une reconnaissance faciale approfondie