Le Commandement du ministère de l’Intérieur dans le cyberespace (COMCYBER-MI) vient d’annoncer le lancement, en collaboration avec Cybermalveillance.gouv.fr, SenCy-Crise. C’est un programme (gratuit) de « e-sensibilisation » afin d’initier les petites et moyennes structures, publiques ou privées, aux fondamentaux de la gestion de crise cyber.

Les PME, TPE, ETI et collectivités sont en effet « particulièrement vulnérables », et « souvent les principales victimes des cyberattaques, sans pour autant avoir les ressources nécessaires pour gérer ces crises ».

En 2023, l’ANSSI avait, en effet, relevé que 43 % des cyberattaques ciblaient les petites entreprises. Avec des conséquences parfois « dévastatrices » pouvant conduire jusqu’à la fermeture de la structure, voire au suicide de certaines victimes, précise le MOOC. Il évoque également une augmentation de 40 % du nombre de cyberattaques en cinq ans.

« Il est important que chacun comprenne que face à la crise cyber, nous ne sommes pas seuls ! », explique le Général de division Christophe Husson, chef du COMCYBER-MI :

« Les forces de l’ordre aux côtés d’autres acteurs publics comme Cybermalveillance.gouv.fr ou encore l’ANSSI se mobilisent pour venir en aide aux victimes de cyberattaques. Pas seulement quand il est trop tard, mais également en amont en accompagnant celles et ceux qui souhaitent renforcer la cybersécurité de leur organisation. SenCy-Crise permettra une sensibilisation du plus grand nombre aux fondamentaux de la gestion de crise cyber. C’est ensemble que nous renforcerons la cyberrésilience de notre nation ! »

SenCy-Crise propose un MOOC (cours en ligne ouvert à tous), préparé par des réservistes cyber de la Gendarmerie Nationale, et fondé sur les trois phases de la gestion de crise cyber : l’anticipation, la résilience et la capitalisation, via trois modules : « Avant la crise : anticiper pour mieux se préparer », « Pendant la crise : Faire preuve de résilience », et « Après la crise : Capitaliser pour mieux anticiper ».

Ils abordent les fondamentaux de la gestion de crise cyber en répondant à 4 objectifs principaux :

1. Mieux connaitre votre structure pour identifier les menaces auxquelles elle est exposée.
2. Préparer votre organisation à faire face à une crise cyber.
3. Savoir réagir au mieux à une cyberattaque.
4. Tirer des enseignements des incidents passés pour mieux anticiper.

« En moins de deux heures, nous accompagnons les apprenants du début à la fin d’une gestion de crise cyber », résume le COMCYBER-MI.

Conçus pour être accessible à tous à travers des conseils simples à mettre en œuvre, des témoignages de professionnels et de victimes de cyberattaques et des outils d’aide à la réflexion, les modules, « entièrement composés contenus vidéos dynamiques de courte durée, laissant ainsi la possibilité d’avancer progressivement et à son rythme ».

Le Commandement du ministère de l’Intérieur dans le cyberespace (COMCYBER-MI) vient d’annoncer le lancement, en collaboration avec Cybermalveillance.gouv.fr, SenCy-Crise. C’est un programme (gratuit) de « e-sensibilisation » afin d’initier les petites et moyennes structures, publiques ou privées, aux fondamentaux de la gestion de crise cyber.

Les PME, TPE, ETI et collectivités sont en effet « particulièrement vulnérables », et « souvent les principales victimes des cyberattaques, sans pour autant avoir les ressources nécessaires pour gérer ces crises ».

En 2023, l’ANSSI avait, en effet, relevé que 43 % des cyberattaques ciblaient les petites entreprises. Avec des conséquences parfois « dévastatrices » pouvant conduire jusqu’à la fermeture de la structure, voire au suicide de certaines victimes, précise le MOOC. Il évoque également une augmentation de 40 % du nombre de cyberattaques en cinq ans.

« Il est important que chacun comprenne que face à la crise cyber, nous ne sommes pas seuls ! », explique le Général de division Christophe Husson, chef du COMCYBER-MI :

« Les forces de l’ordre aux côtés d’autres acteurs publics comme Cybermalveillance.gouv.fr ou encore l’ANSSI se mobilisent pour venir en aide aux victimes de cyberattaques. Pas seulement quand il est trop tard, mais également en amont en accompagnant celles et ceux qui souhaitent renforcer la cybersécurité de leur organisation. SenCy-Crise permettra une sensibilisation du plus grand nombre aux fondamentaux de la gestion de crise cyber. C’est ensemble que nous renforcerons la cyberrésilience de notre nation ! »

SenCy-Crise propose un MOOC (cours en ligne ouvert à tous), préparé par des réservistes cyber de la Gendarmerie Nationale, et fondé sur les trois phases de la gestion de crise cyber : l’anticipation, la résilience et la capitalisation, via trois modules : « Avant la crise : anticiper pour mieux se préparer », « Pendant la crise : Faire preuve de résilience », et « Après la crise : Capitaliser pour mieux anticiper ».

Ils abordent les fondamentaux de la gestion de crise cyber en répondant à 4 objectifs principaux :

1. Mieux connaitre votre structure pour identifier les menaces auxquelles elle est exposée.
2. Préparer votre organisation à faire face à une crise cyber.
3. Savoir réagir au mieux à une cyberattaque.
4. Tirer des enseignements des incidents passés pour mieux anticiper.

« En moins de deux heures, nous accompagnons les apprenants du début à la fin d’une gestion de crise cyber », résume le COMCYBER-MI.

Conçus pour être accessible à tous à travers des conseils simples à mettre en œuvre, des témoignages de professionnels et de victimes de cyberattaques et des outils d’aide à la réflexion, les modules, « entièrement composés contenus vidéos dynamiques de courte durée, laissant ainsi la possibilité d’avancer progressivement et à son rythme ».

Un ingénieur en informatique de 26 ans a été interpelé dans son appartement toulousain en mai, mis en examen par un juge d’instruction parisien pour extorsion en bande organisée, et placé en détention provisoire, révèle Le Parisien.

Formé à l’Épitech, il travaillait pour Cap Gemini depuis 2021. Or, son employeur avait été victime d’une attaque de rançongiciel le 2 octobre dernier. Les données d’un de ses serveurs, contenant des informations sensibles au sujet d’un récepteur nouvelle génération portant sur la navigation par satellite, avaient été chiffrées.

« Les experts en cybersécurité soupçonnent aussitôt un hacker russophone », explique Le Parisien, au motif que, d’après un spécialiste de cybercriminalité, les attaques par rançongiciel sont menées par des cracks, ne « sont pas du tout à la portée du premier venu », et parce qu’ « il faut faire partie d’un réseau » d’affiliés à un gang, souvent d’origine russophone.

Étrangement, eu égard au chiffre d’affaires du géant de l’informatique (3,5 milliards d’euros l’an passé), la demande de rançon n’était pourtant que de 5 000 dollars en bitcoin, « non négociable », à payer dans les quatre jours, sous peine de voir les données revendues. Un montant qui ne colle pas vraiment avec celui que réclame les gangs russophones ciblant les grandes entreprises.

L’enquête a été confiée à la brigade de lutte contre la cybercriminalité (BL2C), le service spécialisé de la police judiciaire parisienne pionnier dans la lutte contre les rançongiciels. Elle a finalement débouché, 6 mois plus tard, sur l’interpellation de l’employé toulousain de Cap Gemini.

Interrogé par le juge d’instruction, il aurait nié être l’auteur de cette attaque, mais n’en a pas moins été, malgré son casier judiciaire vierge, placé en détention provisoire en attendant la fin de l’instruction à la prison de la Santé.

L’ingénieur est soupçonné d’avoir récupéré le rançongiciel utilisé, Knight, « pour allumer un contre-feu en faisant croire que l’ennemi venait de loin », résume Le Parisien.

Un ingénieur en informatique de 26 ans a été interpelé dans son appartement toulousain en mai, mis en examen par un juge d’instruction parisien pour extorsion en bande organisée, et placé en détention provisoire, révèle Le Parisien.

Formé à l’Épitech, il travaillait pour Cap Gemini depuis 2021. Or, son employeur avait été victime d’une attaque de rançongiciel le 2 octobre dernier. Les données d’un de ses serveurs, contenant des informations sensibles au sujet d’un récepteur nouvelle génération portant sur la navigation par satellite, avaient été chiffrées.

« Les experts en cybersécurité soupçonnent aussitôt un hacker russophone », explique Le Parisien, au motif que, d’après un spécialiste de cybercriminalité, les attaques par rançongiciel sont menées par des cracks, ne « sont pas du tout à la portée du premier venu », et parce qu’ « il faut faire partie d’un réseau » d’affiliés à un gang, souvent d’origine russophone.

Étrangement, eu égard au chiffre d’affaires du géant de l’informatique (3,5 milliards d’euros l’an passé), la demande de rançon n’était pourtant que de 5 000 dollars en bitcoin, « non négociable », à payer dans les quatre jours, sous peine de voir les données revendues. Un montant qui ne colle pas vraiment avec celui que réclame les gangs russophones ciblant les grandes entreprises.

L’enquête a été confiée à la brigade de lutte contre la cybercriminalité (BL2C), le service spécialisé de la police judiciaire parisienne pionnier dans la lutte contre les rançongiciels. Elle a finalement débouché, 6 mois plus tard, sur l’interpellation de l’employé toulousain de Cap Gemini.

Interrogé par le juge d’instruction, il aurait nié être l’auteur de cette attaque, mais n’en a pas moins été, malgré son casier judiciaire vierge, placé en détention provisoire en attendant la fin de l’instruction à la prison de la Santé.

L’ingénieur est soupçonné d’avoir récupéré le rançongiciel utilisé, Knight, « pour allumer un contre-feu en faisant croire que l’ennemi venait de loin », résume Le Parisien.

Le numéro 440 de juillet-août de la revue Cahiers français de La Documentation française propose un dossier de 90 pages consacré aux « coulisses du renseignement ».

Le renseignement français est-il suffisamment doté et équipé sur le plan technologique pour faire face aux menaces extérieures ? Pour Bernard Bajolet, directeur général de la sécurité extérieure de 2013 à 2017, la France est le premier pays de l’Union dans ce domaine :

« On peut dire que oui, car un effort considérable a été fourni depuis près d’une vingtaine d’années et poursuivi par tous les gouvernements qui se sont succédé pendant cette période. Cela fait de la France le premier pays parmi les 27 membres de l’Union européenne dans le domaine du renseignement technique. »

Il reconnaît cependant qu’elle demeure « encore assez loin derrière le Royaume-Uni » et son Government Communications Headquarters (GCHQ, l’équivalent britannique de la NSA), qui emploie plus de 7 000 personnes. En guise de comparaison, la direction technique et de l’innovation de la DGSE emploie environ 3 500 des 7 000 agents du service de renseignement extérieur.

• Ce que révèlent les offres d’emploi de la DGSE

En 2010, Bernard Barbier, alors le directeur technique de la DGSE, expliquait que dans les années 80, la France avait près de 40 ans de retard sur les anglo-saxons. Depuis, elle figurerait « en première division ». Elle ferait même partie du « Top 5 » (avec les États-Unis, la Grande-Bretagne, Israël et la Chine) des pays en termes de renseignement technique.

À l’époque, la direction technique (DT), à la tête de « la plus forte équipe de crypto mathématiciens » de France, n’employait que 1 100 personnes, soit un peu moins du quart des 4 750 agents de la DGSE. La NSA en employait alors 40 000, le GCHQ 5 000 (tout comme l’Unité 8200 israélienne), le Centre de la sécurité des télécommunications (CST) canadien 2 500, et la Chine de 100 000 à 300 000 personnes.

• La DGSE peine à recruter ses futurs maîtres espions en informatique

Bernard Bajolet relève en outre que la loi renseignement, adoptée en 2015 pour encadrer le renseignement technique et garantir la protection des citoyens, « est une des plus avancées dans le monde ». Chaque recours à une technique de renseignement doit faire l’objet d’une autorisation après avis d’une commission indépendante, la Commission nationale de contrôle des techniques de renseignement (CNCTR) :

« Ce protocole s’applique même à la surveillance internationale, c’est-à-dire à l’espionnage électronique hors de nos frontières. Ni la National Security Agency (NSA) américaine ni le GCHQ britannique ne s’embarrassent de telles précautions, et on ne parle pas de la Chine ni de la Russie ! »

• 24 000 personnes ont été surveillées par les services de renseignement français en 2023
• Des techniques de renseignement mieux contrôlées, même a posteriori

Le numéro 440 de juillet-août de la revue Cahiers français de La Documentation française propose un dossier de 90 pages consacré aux « coulisses du renseignement ».

Le renseignement français est-il suffisamment doté et équipé sur le plan technologique pour faire face aux menaces extérieures ? Pour Bernard Bajolet, directeur général de la sécurité extérieure de 2013 à 2017, la France est le premier pays de l’Union dans ce domaine :

« On peut dire que oui, car un effort considérable a été fourni depuis près d’une vingtaine d’années et poursuivi par tous les gouvernements qui se sont succédé pendant cette période. Cela fait de la France le premier pays parmi les 27 membres de l’Union européenne dans le domaine du renseignement technique. »

Il reconnaît cependant qu’elle demeure « encore assez loin derrière le Royaume-Uni » et son Government Communications Headquarters (GCHQ, l’équivalent britannique de la NSA), qui emploie plus de 7 000 personnes. En guise de comparaison, la direction technique et de l’innovation de la DGSE emploie environ 3 500 des 7 000 agents du service de renseignement extérieur.

• Ce que révèlent les offres d’emploi de la DGSE

En 2010, Bernard Barbier, alors le directeur technique de la DGSE, expliquait que dans les années 80, la France avait près de 40 ans de retard sur les anglo-saxons. Depuis, elle figurerait « en première division ». Elle ferait même partie du « Top 5 » (avec les États-Unis, la Grande-Bretagne, Israël et la Chine) des pays en termes de renseignement technique.

À l’époque, la direction technique (DT), à la tête de « la plus forte équipe de crypto mathématiciens » de France, n’employait que 1 100 personnes, soit un peu moins du quart des 4 750 agents de la DGSE. La NSA en employait alors 40 000, le GCHQ 5 000 (tout comme l’Unité 8200 israélienne), le Centre de la sécurité des télécommunications (CST) canadien 2 500, et la Chine de 100 000 à 300 000 personnes.

• La DGSE peine à recruter ses futurs maîtres espions en informatique

Bernard Bajolet relève en outre que la loi renseignement, adoptée en 2015 pour encadrer le renseignement technique et garantir la protection des citoyens, « est une des plus avancées dans le monde ». Chaque recours à une technique de renseignement doit faire l’objet d’une autorisation après avis d’une commission indépendante, la Commission nationale de contrôle des techniques de renseignement (CNCTR) :

« Ce protocole s’applique même à la surveillance internationale, c’est-à-dire à l’espionnage électronique hors de nos frontières. Ni la National Security Agency (NSA) américaine ni le GCHQ britannique ne s’embarrassent de telles précautions, et on ne parle pas de la Chine ni de la Russie ! »

• 24 000 personnes ont été surveillées par les services de renseignement français en 2023
• Des techniques de renseignement mieux contrôlées, même a posteriori

La direction de Zoom, qui s’était notamment illustrée en contribuant à généraliser le télétravail pendant la pandémie de COVID-19, a demandé à ceux de ses employés vivant dans un rayon de 80 km d’un de leurs quatre bureaux (à San José, Denver, Santa Barbara et Kansas City) de revenir y travailler deux jours par semaine, rapporte Fortune.

« Nous sommes toujours majoritairement à distance, mais je pense que beaucoup de gens oublient nos nombreux produits et solutions qui ne sont conçus que pour le travail au bureau », explique Matthew Saxon, directeur des ressources humaines de Zoom depuis 2022 : « Dès la première semaine du déploiement, les idées ont commencé à fuser pour améliorer les produits et accroître l’efficacité » de l’entreprise.

Ces deux jours au bureau pour les travailleurs locaux sont consacrés à des travaux qui seraient plus efficaces en présentiel, « comme la formation et les réunions de l’ensemble du personnel, avec un simple verre après le travail », précise Fortune.

Ironie de l’histoire, Matthew Saxon, vit quant à lui à Austin, qui est à 2 760 kilomètres de San José, 1 465 de Denver, 2 371 de Santa Barbara et 1 183 de Kansas City, ce pourquoi il continue de son côté à télétravailler.

« Je pense que je peux gérer efficacement le personnel de Zoom tout en travaillant à distance », a-t-il répondu à Fortune. « Je pense que nous pouvons très, très efficacement faire avancer les choses » sans avoir besoin de retourner au bureau, a-t-il ajouté, avant de préciser :

« Lorsque nous avons eu une approche de laisser-faire [en français dans le texte, ndlr] pour venir certains jours, cela a été sous-optimisé, nous ont expliqué des employés. Nous nous sommes donc dit : « D’accord, essayons différemment ». Et je pense que cela a été un succès. »

La direction de Zoom, qui s’était notamment illustrée en contribuant à généraliser le télétravail pendant la pandémie de COVID-19, a demandé à ceux de ses employés vivant dans un rayon de 80 km d’un de leurs quatre bureaux (à San José, Denver, Santa Barbara et Kansas City) de revenir y travailler deux jours par semaine, rapporte Fortune.

« Nous sommes toujours majoritairement à distance, mais je pense que beaucoup de gens oublient nos nombreux produits et solutions qui ne sont conçus que pour le travail au bureau », explique Matthew Saxon, directeur des ressources humaines de Zoom depuis 2022 : « Dès la première semaine du déploiement, les idées ont commencé à fuser pour améliorer les produits et accroître l’efficacité » de l’entreprise.

Ces deux jours au bureau pour les travailleurs locaux sont consacrés à des travaux qui seraient plus efficaces en présentiel, « comme la formation et les réunions de l’ensemble du personnel, avec un simple verre après le travail », précise Fortune.

Ironie de l’histoire, Matthew Saxon, vit quant à lui à Austin, qui est à 2 760 kilomètres de San José, 1 465 de Denver, 2 371 de Santa Barbara et 1 183 de Kansas City, ce pourquoi il continue de son côté à télétravailler.

« Je pense que je peux gérer efficacement le personnel de Zoom tout en travaillant à distance », a-t-il répondu à Fortune. « Je pense que nous pouvons très, très efficacement faire avancer les choses » sans avoir besoin de retourner au bureau, a-t-il ajouté, avant de préciser :

« Lorsque nous avons eu une approche de laisser-faire [en français dans le texte, ndlr] pour venir certains jours, cela a été sous-optimisé, nous ont expliqué des employés. Nous nous sommes donc dit : « D’accord, essayons différemment ». Et je pense que cela a été un succès. »

1984 was not supposed to be an instruction manual

Dans la dernière partie de notre dossier sur le long avis de la Commission nationale consultative des droits de l’homme consacré à la vidéosurveillance, nous revenons sur ses conclusions, et ses dix propositions afin que les caméras ne se déploient plus sans contrôles.

Dans la première partie de notre dossier, nous étions revenus sur l’augmentation du nombre de caméras dédiées à la vidéosurveillance. Nous avons ensuite étudié le rayon d’action qui augmente de manière significative au fil des années, avec des garanties « insuffisantes, faute d’une mise en œuvre appropriée ». Dans cette troisième et dernière partie, nous revenons sur les conclusions et les recommandations de la Commission nationale consultative des droits de l’homme.

Notre dossier sur l’avis de la CNCDH :

• Vidéosurveillance (1/3) : des caméras toujours plus nombreuses et intrusives
• Vidéosurveillance (2/3) : un rayon d’action toujours plus large, des garanties insuffisantes

Réformer les commissions départementales de vidéoprotection

La CNCDH relève que les commissions départementales de vidéoprotection chargées d’examiner les demandes d’autorisation de recourir à des caméras de surveillance dans l’espace public « avaient été conçues à l’origine comme un véritable levier de contrôle, en amont et en aval », mais qu’ « il convient non seulement de renforcer leurs prérogatives de contrôle, mais également de revoir leur composition ».

Don't be devIAnt

Le PDG de Google avait annoncé, en janvier, des licenciements « pour simplifier l’exécution et accélérer la vitesse » du lancement de nouveaux produits liés à l’IA. Depuis, plusieurs des principaux responsables en charge du respect des réglementations ont quitté l’entreprise.

« Au moins six des principaux responsables de la protection de la vie privée et de la réglementation de Google ont quitté l’entreprise au cours des derniers mois, et une équipe de surveillance clé a été dissoute » révèle une enquête de POLITICO :

« Les dirigeants qui quittent l’entreprise sont le responsable de la protection de la vie privée, Keith Enright ; le directeur de la protection de la vie privée pour les produits et l’ingénierie, Lawrence You ; la fondatrice de l’équipe responsable des opérations d’IA et de la gouvernance, Jen Gennai ; le responsable mondial de la conformité, Spyro Karetsos ; la responsable de la conformité pour l’Amérique latine, Patricia Godoy Oliveira ; et le responsable de l’équité en matière de santé, le Dr Ivor Horn. »

Or, souligne POLITICO, les équipes de Google chargées de la confidentialité et de la conformité sont chargées de veiller à ce que les projets n’aillent pas à l’encontre de textes tels que le RGPD et autres règlements européens. Elles doivent aussi prendre en compte les préoccupations éthiques telles que les résultats biaisés découlant des résultats de l’intelligence artificielle.

• AI Act : le règlement européen est publié au Journal officiel, la CNIL propose une FAQ
• Google se sépare de ses responsables vie privée et concurrence, un tiers de sa Legal Team licencié

Trois équipes dissoutes ou affaiblies en quelques mois

Des caméras hors la loi ?

La vidéosurveillance occupe une place toujours plus importante, au grand dam de la Commission nationale consultative des droits de l’homme. Elle formule ainsi 10 propositions pour que les caméras ne se déploient plus sans contrôles. Seconde partie de notre dossier sur son long avis.

Hier, nous expliquions que la Commission nationale consultative des droits de l’homme (CNCDH) s’inquiétait de la « banalisation » et de la « prolifération » des caméras de vidéosurveillance. Ce n’est pas le seul point problématique. Le rayon d’action s’est considérablement étendu et les méthodes de contrôle insuffisamment appliquées, au point que la CNCDH en arrive à comparer les caméras à « des outils d’intimidation ».

Notre dossier sur l’avis de la CNCDH :

• Vidéosurveillance (1/3) : des caméras toujours plus nombreuses et intrusives
• Vidéosurveillance (2/3) : un rayon d’action toujours plus large, des garanties insuffisantes
• Vidéosurveillance (3/3) : « ce qui se joue, c’est un choix de société » (à venir)

De la surveillance des rues à celle des manifestations et frontières

La CNCDH relève que depuis leur légalisation par la loi n° 95-73 d’orientation et de programmation relative à la sécurité de 1995, la liste des finalités justifiant l’installation de caméras sur la voie publique « a été progressivement allongée et en compte désormais onze », contre cinq à l’origine.

L’ANSSI vient de publier son « CyberDico », qui présente les traductions et définitions en français et en anglais des principaux mots, sigles et expressions de la cybersécurité, et qui sera « mis à jour régulièrement ».

BYOD (Bring Your Own Device) devrait ainsi désormais être remplacé par AVEC (pour « Apportez Votre Equipement personnel de Communication »), cloud par infrastructure nuagique, cookie par témoin de connexion, darknet et dark web par Internet clandestin et Internet caché/sombre, jailbreak par débridage système, et Domain name system/DNS par système d’adressage par domaines.

Spyware devrait faire place à espiogiciel, malware à maliciel, la catégorie d’attaque Man-in-the-middle deviendrait « Homme-au-milieu-entre-deux » (sic), Peer-to-peer (P2P) Poste-à-poste, spam pourriel ou « polluriel », les vulnérabilités Zero-day ou 0-day se renommeraient 0 jour ou jour zéro, et les webcams des cybercaméras.

L’ANSSI ne le mentionne pas, mais vous trouverez de nombreuses autres traductions sur l’ « ensemble de conducteurs d’interconnexion de plusieurs organes numériques d’un ordinateur » bitoduc.fr.

L’ANSSI vient de publier son « CyberDico », qui présente les traductions et définitions en français et en anglais des principaux mots, sigles et expressions de la cybersécurité, et qui sera « mis à jour régulièrement ».

BYOD (Bring Your Own Device) devrait ainsi désormais être remplacé par AVEC (pour « Apportez Votre Equipement personnel de Communication »), cloud par infrastructure nuagique, cookie par témoin de connexion, darknet et dark web par Internet clandestin et Internet caché/sombre, jailbreak par débridage système, et Domain name system/DNS par système d’adressage par domaines.

Spyware devrait faire place à espiogiciel, malware à maliciel, la catégorie d’attaque Man-in-the-middle deviendrait « Homme-au-milieu-entre-deux » (sic), Peer-to-peer (P2P) Poste-à-poste, spam pourriel ou « polluriel », les vulnérabilités Zero-day ou 0-day se renommeraient 0 jour ou jour zéro, et les webcams des cybercaméras.

L’ANSSI ne le mentionne pas, mais vous trouverez de nombreuses autres traductions sur l’ « ensemble de conducteurs d’interconnexion de plusieurs organes numériques d’un ordinateur » bitoduc.fr.

Souriez, vous êtes « vidéoprotégés »

Fustigeant la banalisation de la vidéosurveillance, et déplorant qu’elle « ne fait plus débat depuis longtemps », la Commission nationale consultative des droits de l’homme formule 10 propositions afin que les caméras ne se déploient plus sans contrôles, comme c’est le cas depuis des années. Première partie de notre dossier sur son long avis.

La Commission nationale consultative des droits de l’homme (CNCDH) s’inquiète de la « banalisation » et de la « prolifération » des caméras de vidéosurveillance, « auxquelles se sont ajoutées récemment les caméras aéroportées (drones) », qui « dénaturent l’espace public en suscitant un sentiment de surveillance accrue au sein de la population ».

Elle déplore également l’insuffisance des contrôles en amont de ces dispositifs, le déficit de formation et de sensibilisation aux enjeux liés aux droits fondamentaux de l’usage de dispositifs de surveillance, notamment lorsqu’ils sont associés à des logiciels d’intelligence artificielle, et le défaut d’information claire pour le grand public.

Dans un avis adopté (à l’unanimité) le 20 juin, la Commission formule une série de recommandations pour que l’encadrement des dispositifs de vidéosurveillance garantisse davantage le respect des droits et libertés fondamentaux.

Notre dossier sur l’avis de la CNCDH :

• Vidéosurveillance (1/3) : des caméras toujours plus nombreuses et intrusives
• Vidéosurveillance (2/3) : un rayon d’action toujours plus large, des garanties insuffisantes (à venir)
• Vidéosurveillance (3/3) : « ce qui se joue, c’est un choix de société » (à venir)

Elle craint, en effet, que cette « société panoptique » n’induise « un nouveau type de rapport entre la police et la population, caractérisé par la défiance et la distance ».

De « profondes inquiétudes »

Elle rappelle aussi son opposition à l’identification biométrique à distance en temps réel dans l’espace public et les lieux accessibles au public, « en admettant pour seule exception son utilisation pour la prévention d’une menace grave et imminente pour la vie, ou la sécurité des personnes et celle des ouvrages, installations et établissements d’importance vitale ».

Apple a envoyé une nouvelle série de notifications de menace à des utilisateurs d’iPhone dans 98 pays, les mettant en garde contre de potentielles attaques de logiciels espions mercenaires, rapporte TechCrunch :

« Apple a détecté que vous étiez la cible d’une attaque de logiciels espions mercenaires qui tentent de compromettre à distance l’iPhone associé à votre identifiant Apple ID -xxx-. Cette attaque vous cible probablement en raison de votre identité ou de vos activités. Bien qu’il ne soit jamais possible d’atteindre une certitude absolue dans la détection de telles attaques, Apple a une grande confiance dans cet avertissement – veuillez le prendre au sérieux. »

Il s’agit de la deuxième campagne d’alerte de ce type menée par l’entreprise cette année, après des notifications similaires envoyées à des utilisateurs de 92 pays en avril.

En octobre, Apple avait aussi envoyé des avertissements à plusieurs journalistes et hommes politiques indiens. Amnesty International, un groupe de défense des droits de l’homme, a ensuite déclaré avoir découvert la présence de Pegasus, un logiciel espion très invasif développé par la société israélienne NSO Group, sur les iPhone d’éminents journalistes indiens.

Apple envoie régulièrement depuis 2021 ce type de notifications, touchant des utilisateurs dans plus de 150 pays au total.

L’entreprise a cela dit opéré un changement notable dans son langage en avril, en choisissant de décrire ces incidents comme des « attaques mercenaires de logiciels espions », au lieu du terme précédemment utilisé d’attaques « parrainées par un État ».

Apple a envoyé une nouvelle série de notifications de menace à des utilisateurs d’iPhone dans 98 pays, les mettant en garde contre de potentielles attaques de logiciels espions mercenaires, rapporte TechCrunch :

« Apple a détecté que vous étiez la cible d’une attaque de logiciels espions mercenaires qui tentent de compromettre à distance l’iPhone associé à votre identifiant Apple ID -xxx-. Cette attaque vous cible probablement en raison de votre identité ou de vos activités. Bien qu’il ne soit jamais possible d’atteindre une certitude absolue dans la détection de telles attaques, Apple a une grande confiance dans cet avertissement – veuillez le prendre au sérieux. »

Il s’agit de la deuxième campagne d’alerte de ce type menée par l’entreprise cette année, après des notifications similaires envoyées à des utilisateurs de 92 pays en avril.

En octobre, Apple avait aussi envoyé des avertissements à plusieurs journalistes et hommes politiques indiens. Amnesty International, un groupe de défense des droits de l’homme, a ensuite déclaré avoir découvert la présence de Pegasus, un logiciel espion très invasif développé par la société israélienne NSO Group, sur les iPhone d’éminents journalistes indiens.

Apple envoie régulièrement depuis 2021 ce type de notifications, touchant des utilisateurs dans plus de 150 pays au total.

L’entreprise a cela dit opéré un changement notable dans son langage en avril, en choisissant de décrire ces incidents comme des « attaques mercenaires de logiciels espions », au lieu du terme précédemment utilisé d’attaques « parrainées par un État ».

Un tribunal du sud-ouest de l’Espagne a condamné 15 écoliers pour avoir créé et diffusé des images de leurs camarades de classe dénudées par une intelligence artificielle, rapporte The Guardian.

La police avait commencé à enquêter sur cette affaire l’an passé après que des parents de la ville d’Almendralejo, dans l’Estrémadure, signalent que de fausses photos nues de leurs filles circulaient sur des groupes WhatsApp.

Âgés de 13 à 15 ans, ils avaient utilisé des applications d’IA pour accoler les visages de leurs camarades, récupérés sur les réseaux sociaux, sur des corps de femmes nues.

« De nombreuses filles étaient complètement terrifiées et avaient de terribles crises d’angoisse parce qu’elles subissaient cela en silence », avait expliqué la mère de l’une d’entre elles : « Elles se sentaient mal et avaient peur d’en parler, mais aussi d’en être blâmés ».

• Alexandria Ocasio-Cortez décrit le « traumatisme » du deepfake pornographique
• Deepfakes pornographiques : quand l’intelligence artificielle sert à humilier

Un tribunal pour mineurs de la ville de Badajoz a reconnu ces adolescents coupables de 20 chefs d’accusation pour création d’images d’abus d’enfants et de 20 chefs d’accusation pour atteinte à l’intégrité morale de leurs victimes.

Ils ont été condamnés à un an de mise à l’épreuve et à suivre des cours de sensibilisation aux questions de genre et d’égalité, ainsi qu’à « l’utilisation responsable de la technologie ».

« Au-delà de ce procès particulier, ces faits devraient nous faire réfléchir sur la nécessité d’éduquer à l’égalité entre les hommes et les femmes », a déclaré au journal ElDiario.es l’association féministe Malvaluna, qui a agi au nom des familles concernées.

• Deepfakes pornographiques : des spécialistes de l’IA sensibilisent la jeunesse
• Photos intimes, deepnudes : 13 femmes en colère s’organisent

Elle a ajouté que cette affaire soulignait la nécessité d’une éducation sexuelle appropriée à l’école, afin que les enfants n’apprennent pas la sexualité à partir de la pornographie, qui « génère davantage de sexisme et de violence ».

L'enfer c'est les autres

Le « home routing » permet aux abonnés voyageant à l’étranger de continuer à voir leurs télécommunications être relayées par leurs opérateurs nationaux. Cette technique d’itinérance entraverait les forces répressives dans leurs velléités de surveillance des utilisateurs de cartes SIM étrangères.

Europol aurait des problèmes avec les cartes SIM étrangères, rapportent un certain nombre de médias. L’agence déplore que « les cartes SIM étrangères sont plus compliquées à mettre sur écoute », rapporte ainsi DataNews. « Europol déclare que la fonction de chiffrement mobile Home Routing aide les criminels », titre de son côté BleepingComputer, quand The Register avance qu’ « Europol estime que la technologie de l’itinérance mobile lui rend la tâche trop difficile ».

Europol reste flou sur les types de réseaux concernés

Toutes les générations de réseaux (2G, 3G, 4G, 5G…) sont-elles concernées ? Le communiqué de presse d’Europol ne donne pas vraiment de détails. Il affirme simplement que « le Home Routing limite la collecte de preuves par les services répressifs », au point que « les criminels peuvent agir en toute impunité car les demandes légales de preuves sont rendues impossibles ».

En introduction de sa « prise de position » sur les risques posés par le « home routing », Europol précise que ce sont « les normes de sécurité élevées et l’architecture fragmentée et virtualisée de la 5G autonome [qui] rendront plus difficile l’interception légale », au point que « les autorités policières et judiciaires risquent de perdre l’accès à des données précieuses ».

Qu’est-ce que le home routing ?

Un tribunal du sud-ouest de l’Espagne a condamné 15 écoliers pour avoir créé et diffusé des images de leurs camarades de classe dénudées par une intelligence artificielle, rapporte The Guardian.

La police avait commencé à enquêter sur cette affaire l’an passé après que des parents de la ville d’Almendralejo, dans l’Estrémadure, signalent que de fausses photos nues de leurs filles circulaient sur des groupes WhatsApp.

Âgés de 13 à 15 ans, ils avaient utilisé des applications d’IA pour accoler les visages de leurs camarades, récupérés sur les réseaux sociaux, sur des corps de femmes nues.

« De nombreuses filles étaient complètement terrifiées et avaient de terribles crises d’angoisse parce qu’elles subissaient cela en silence », avait expliqué la mère de l’une d’entre elles : « Elles se sentaient mal et avaient peur d’en parler, mais aussi d’en être blâmés ».

• Alexandria Ocasio-Cortez décrit le « traumatisme » du deepfake pornographique
• Deepfakes pornographiques : quand l’intelligence artificielle sert à humilier

Un tribunal pour mineurs de la ville de Badajoz a reconnu ces adolescents coupables de 20 chefs d’accusation pour création d’images d’abus d’enfants et de 20 chefs d’accusation pour atteinte à l’intégrité morale de leurs victimes.

Ils ont été condamnés à un an de mise à l’épreuve et à suivre des cours de sensibilisation aux questions de genre et d’égalité, ainsi qu’à « l’utilisation responsable de la technologie ».

« Au-delà de ce procès particulier, ces faits devraient nous faire réfléchir sur la nécessité d’éduquer à l’égalité entre les hommes et les femmes », a déclaré au journal ElDiario.es l’association féministe Malvaluna, qui a agi au nom des familles concernées.

• Deepfakes pornographiques : des spécialistes de l’IA sensibilisent la jeunesse
• Photos intimes, deepnudes : 13 femmes en colère s’organisent

Elle a ajouté que cette affaire soulignait la nécessité d’une éducation sexuelle appropriée à l’école, afin que les enfants n’apprennent pas la sexualité à partir de la pornographie, qui « génère davantage de sexisme et de violence ».