france culture

France culture: À l’ère de la surveillance numérique

https://www.franceculture.fr/emissions/series/a-lere-de-la-surveillance-numerique

Avec l’Affaire Snowden, le scandale Cambridge Analytica, ou encore les révélations des Spy Files par Wikileaks, j’ai pris conscience que mes activités sur internet étaient surveillées. J’ai beau le savoir, je ne fais pas grand-chose pour l’éviter. Dans ma tête, c’est comme si c’était le prix à payer pour aller sur internet. Je continue à poster mes coups de gueule sur Facebook, je consulte Twitter plusieurs fois par jour, je commande des pizzas sur internet et je fais des milliers de recherches sur google. Mais à cause de l’épidémie de Covid19, quasiment toute ma vie, sociale et professionnelle, passe par mon ordinateur ou mon smartphone. Depuis le premier confinement, les questions se bousculent dans ma tête sans que j’arrive à les ignorer : que sont les données numériques ? Que révèlent-elles sur moi ? Qui les surveille et à quoi peuvent-elles servir ? Dans quelle mesure cette surveillance numérique est-elle problématique ? J’ai donc retroussé mes manches et, armé de mes livres, mon micro et mon clavier, j’ai décidé de mener l’enquête pour comprendre ce qu’il en était.

Une série documentaire d’Antoine Tricot, réalisée par Rafik Zenine 

messagerie instantanée

Vers un accès aux données cryptées pour lutter contre le terrorisme ?

Les États membres de l’UE souhaitent avoir plus de compétences afin de pouvoir examiner les discussions instantanées cryptées, comme le révèle un projet de résolution du Conseil de l’Union européenne. Un article d’Euractiv Allemagne.

Bien qu’il ne s’agisse encore que d’une volonté politique devant être adoptée en décembre, les organisations de sociétés civiles redoutent que sonne le glas du chiffrement de bout en bout, établi à la suite des « Crypto Wars » dans les années 1990.

Le chiffrement de bout en bout, ou « End-to-End (E2E) », c’est quoi ? Pour faire simple, il s’agit d’une fonctionnalité permettant de protéger les données contre toute tentative de détournement au cours de l’envoi d’un message entre une personne A et une personne B : le contenu est chiffré localement, avant d’être envoyé sur le réseau. Seuls les appareils de l’auteur et du destinataire disposent d’un code leur permettant de lire les informations transférées.

C’est aussi la raison pour laquelle les programmes dits « chevaux de Troie gouvernementaux » sont tant appréciés par les autorités – ils leur permettent de passer outre le chiffrement des applications de messagerie, et ce en plaçant le dispositif sur le terminal cible. Bien que l’outil soit utilisé en Allemagne, il est interdit en Autriche depuis 2019.

« Meilleur équilibre » entre la sphère privée et la lutte contre la criminalité

L’UE soutient encore un renforcement de l’E2E, car il constitue le point d’ancrage de la confiance en la numérisation, indique le document.

Toutefois, cette position du bloc confronte les autorités judiciaires des nations européennes à de nouveaux défis, car celles-ci « s’appuient de plus en plus sur des preuves numériques afin de contrer efficacement le terrorisme, le grand banditisme, la pédopornographie et toute autre forme de cybercriminalité ».

Aux yeux des États, le « End-to-End » représente donc un réel obstacle. « Il rend l’examen de contenu communicationnel très laborieux, voire quasi impossible. Il ne serait pourtant pas contraire à la loi d’avoir accès à ces données ». C’est pourquoi « les autorités compétentes » devraient offrir la possibilité de lire ces renseignements cryptés, afin de lutter – entre autres – contre le terrorisme.

Les solutions techniques à élaborer pour ce faire doivent encore faire l’objet de discussions, notamment avec les fournisseurs tels que Facebook, Twitter ou Signal.

La protection des droits fondamentaux de la population doit rester au cœur de chacune des parties concernées. C’est pourquoi le projet de résolution répète que seul l’accès légal aux données devrait être autorisé.

Quelle solution envisager ?

Les arguments mis en avant par le Conseil ne convainquent pas Thomas Lohninger, fervent défenseur de la protection de données en Autriche et chef d’« epicenter.works », une ONG spécialisée dans la politique numérique.

« Il n’est pas possible de lever la fonctionnalité simplement pour examiner des messages à caractère malveillant. Il ne s’agit pas ici d’un problème juridique, mais d’une réalité technologique », a-t-il expliqué lors d’un entretien avec Euractiv Alllemagne.

Comment les États vont-ils alors procéder sur le plan technique ? La question reste ouverte, car peu d’options sont envisageables.

Ceux-ci souhaiteraient coopérer avec les sociétés numériques afin d’introduire une porte dérobée à l’E2E, une « clé tierce » parallèle à celle que détiennent l’auteur et le destinataire. Ce dispositif devrait d’abord être développé par les prestataires de services et ensuite mis à disposition des services de sécurité.

Jusqu’à présent, les plateformes étaient en mesure de s’opposer à de telles demandes, qui nuisent à la sécurité de leurs produits. D’après M. Lohninger, le projet de résolution laisse toutefois entendre que les États ont sorti l’artillerie lourde sur le plan juridique dans le but de rendre la coopération contraignante.

Parmi les inquiétudes soulevées, le représentant d’« epicenter.works » craint que l’utilisation première d’une telle « clé » soit par la suite détournée.

Pour qui ?

« La création d’une telle clé suscitera la convoitise », soutient l’expert. Ainsi, des États tiers dont les systèmes juridiques sont moins solides, comme l’Arabie Saoudite ou la Chine, pourraient se procurer ce Saint-Graal numérique. Au sein même du navire européen figurent des acteurs entre les mains desquels M. Lohninger ne préférerait pas voir la clé : les services de renseignements.

Les « autorités judiciaires » figuraient toujours au centre des premiers projets de loi sur la surveillance. Désormais, il est plutôt question d’« autorités compétentes », autrement dit de services de renseignement, comme le « Bundesnachrichtendienst » allemand (BND). Bien qu’ils soient théoriquement soumis à l’État de droit, ils manquent souvent de transparence dans leurs actions.

Ainsi en mai 2019, le BND a été rappelé à l’ordre par la Cour constitutionnelle, considérant que leurs pratiques d’espionnage des personnes à l’étranger étaient contraires à la loi.

Le militant Viktor Schlüter est également inquiet à cet égard. « C’est comme si l’on ordonnait que les courriers épistolaires ne soient pas rédigés dans un style trop ornementé afin d’être mieux interceptés et lus », a fait valoir le cofondateur de l’initiative « Digitale Freiheit [Liberté numérique] » auprès d’Euractiv Allemagne. Il se demande en outre comment il est possible « qu’après des attaques, dans lesquelles les autorités ont commis des erreurs, ces mêmes autorités se voient attribuer davantage de compétences en matière de surveillance ».

Dans le cas de l’attentat à Vienne, les services autrichiens de renseignement du pays (BvT) sont sous pression : d’une part, l’assaillant était connu des autorités ; d’autre part, Bratislava avait mis en garde le BvT contre le fait que celui-ci avait acheté des munitions sur le territoire slovaque. Une commission d’enquête a été mandatée afin de définir leur responsabilité de l’attaque. Tandis qu’Erich Zwetter, responsable de la lutte antiterroriste à Vienne, a déjà démissionné, l’opposition appelle aussi au retrait du ministre de l’Intérieur Karl Nehammer (ÖVP).

Dans tous les cas, le projet de résolution est désormais entre les mains des groupes de travail du Conseil. Les États peuvent encore s’y opposer.

Article paru dans https://www.euractiv.fr/section/economie/news/eu-staaten-wollen-mitlesen-kommt-der-messenger-generalschluessel/

Le 10/11/2020
Par : Philipp Grüll | EURACTIV Allemagne | translated by Nathanaël Herman

justice privacy

CJUE : la surveillance de masse, seulement en cas de danger pour la sécurité nationale

Les pays européens sont autorisés à transmettre et sauvegarder des données de communication comme bon leur semble, en cas de présence d’un « grave danger pour la sécurité nationale », a statué la Cour de justice de l’Union européenne (CJUE).

La CJUE a déclaré que de telles pratiques entreprises par les services de sécurité devaient être « limitées au strict nécessaire » et sujettes à un examen effectué par une juridiction d’une autorité administrative indépendante.

Néanmoins, conformément aux conditions générales, les méthodes des États membres obligeant les prestataires de service à éplucher les données de communication transgressent la directive de 2002 sur la protection de la vie privée dans le secteur des communications électroniques (e-Privacy).

Pour la juridiction sise au Luxembourg, en l’absence de danger avéré à la sûreté de l’État, la surveillance de masse et injustifiée des réseaux de communication, est soumise à la législation européenne, mais elle n’entre pas dans les critères d’exemption de sécurité nationale, comme formulé dans l’article 15 (1) de la directive e-Privacy.

« Nul n’est au dessus des lois»

La décision de la CJUE est tombée à la suite de l’intervention de plusieurs associations de protection de la vie privée. Celles-ci avaient porté l’affaire à l’attention du Royaume-Uni, de la Belgique et de la France, arguant que ces pratiques enfreignaient le droit européen.

Les plaignants, une association caritative britannique intitulée « Privacy International » avaient initialement pris ombrage, lorsque les services de sécurité et de renseignements du pays avaient commencé à récolter des fichiers de données personnelles et des données de communication en masse.

Par conséquent, l’association a salué l’arrêt de la CJUE, en réaffirmant qu’il incombait aux services de police de mener des programmes de surveillance sous certaines conditions seulement.

« Le jugement d’aujourd’hui renforce l’état de droit au sein du navire européen. En ces temps quelque peu chamboulés, la décision de la CJUE sert de piqûre de rappel : nemo est supra legis. Nul n’est au-dessus de la loi. Les sociétés démocratiques doivent instaurer des limites et mener des contrôles relatifs aux compétences de surveillance de nos services de renseignements et de police », a indiqué Caroline Wilson Palow, directrice juridique de Privacy International.

« Les services de sécurité et de renseignements jouent certes un rôle primordial dans le maintien de la sûreté de l’État, mais leurs procédures doivent respecter un certain cadre afin d’éviter qu’ils n’abusent de leur pouvoir », a-t-elle ajouté.

Mardi (6 octobre), la CJUE a également averti que des données de la sorte, collectées dans le cadre de procédures pénales d’une manière qui enfreint le droit européen, ne seraient pas admises lors de procès.

Cependant, l’arrêt rendu hier clarifie également le fait qu’il en va de la responsabilité des États membres de définir quelles activités constituent un danger à la sécurité nationale. De plus, le recours aux outils de surveillance pourrait être autorisé au-delà d’un délai donné, si le danger persiste.

Inquiétudes face au transfert de données UE-GB

La décision de la Cour arrive à un moment éprouvant pour les transferts de données entre l’Union européenne et le Royaume-Uni, étant donné que Bruxelles continue d’évaluer l’adéquation de la protection britannique de données aux normes du bloc.

À l’heure actuelle, en vertu de la loi anglaise de 2016 régissant les pouvoirs d’investigation, les autorités britanniques de surveillance sont soumises au droit européen, tant que le Royaume-Uni demeure un État membre de l’UE. Autrement dit, les services anglais concernés ne sont donc pas conformes à la législation européenne en vigueur. Quelle est l’ampleur de l’écart de Londres conformément à la loi européenne sur la protection de données ? La question reste ouverte.

Si les acteurs européens chargés d’évaluer cette déviance la jugent trop importante, toutes les négociations relatives à la conclusion d’un accord entre l’UE et le Royaume-Uni sur le transfert de données seraient suspendues après le 31 décembre, date butoir de la période de transition.

« Voilà qui renforce les précédents arrêts de la CJUE selon lesquels les compétences des autorités britanniques de surveillance en matière de données personnelles tombent sous la législation européenne, et celles-ci ne la respectent pas », a soutenu Mark Taylor, avocat chez Osborne Clarke.

« Ce point sera très probablement un sujet de discorde entre Londres et Bruxelles, qui examine actuellement la possibilité d’octroyer au Royaume-Uni le statut d’adéquation sur le plan de la protection des données dans le cadre du Brexit. De ce fait, le jugement sur la sûreté de l’État présente bien plus de répercussions pour les entreprises britanniques qu’à première vue », a-t-il renchéri.

Si Londres ne conclut pas d’accord d’adéquation sur le transfert de données avec l’UE, les sociétés britanniques devraient revoir leurs dispositions contractuelles avec leurs clients, afin de faire perdurer la transmission de données en toute légalité, et ce, en y incluant des « clauses contractuelles types » pouvant assurer un niveau minimum de protection de données proportionnel aux normes européennes.

Dans ce contexte, l’exécutif européen soulève plusieurs inquiétudes relatives à certains aspects des systèmes britanniques en la matière. D’après le bloc, ces régimes de protection de données pourraient changer à l’avenir et avoir des répercussions négatives sur la sécurité des données personnelles européennes une fois transférées outre-Manche.

Par : Samuel Stolton | EURACTIV.com | translated by Nathanaël Herman

CJUE : la surveillance de masse, seulement en cas de danger pour la sécurité nationale

covid pretexte pour une surveillance numerique accrue

Le Covid-19, prétexte pour une surveillance numérique accrue ?

Pour suivre la propagation du nouveau coronavirus, les États membres de l’UE ont pris des mesures de surveillance supplémentaire, et ce, aux dépens des droits fondamentaux.

« Avez-vous téléchargé l’application Stop-Covid ? ». À cette question, même le Premier ministre Jean Castex a répondu « non » la semaine dernière lors de l’émission « Vous avez la parole ». Provoquant les rires et la stupeur chez les chroniqueurs face à l’ironie de la situation, ces propos ont relancé le débat sur l’utilité de l’application de traçage du SARS-CoV-2.

Selon le gouvernement, « [l’application] permet de prévenir les personnes qui ont été à proximité d’une personne testée positive, afin que celles-ci puissent être prises en charge le plus tôt possible, le tout sans jamais sacrifier nos libertés individuelles. »

La France a ainsi suivi le chemin de ses voisins européens en développant cette application mobile.

Le Centre européen de prévention et de contrôle des maladies (ECDC) a pourtant souligné l’importance de la recherche des contacts par les applications de téléphonie mobile. Néanmoins, la plupart des experts s’accordent à dire que les applications ne suffisent pas et devraient être complétées par d’autres mesures.

Défiance de la population

Bien que son utilité soit remise en question, la violation des droits fondamentaux, notamment à la vie privée, n’est que très peu abordée. Un point soulevé dans les bulletins mensuels de l’Agence des droits fondamentaux de l’Union européenne (FRA), y compris celui d’avril.

Le rapport cite, entre autres, le professeur Joseph A. Cannataci, rapporteur spécial de l’ONU : « [les smartphones et les autres applications de traçage sont potentiellement] parmi les développements technologiques les plus intrusifs en matière de protection de la vie privée au cours des vingt dernières années (…). »

Selon la FRA, ces applications risquent de nuire à d’autres droits, tels que la liberté de circulation, d’association et de religion. L’identification d’une personne, ses fréquentations ou sa localisation pourrait révéler ses convictions politiques ou religieuses.

De plus, les éventuelles erreurs de données pourraient renforcer les préjugés, la discrimination et les inégalités. Sans oublier le risque accru d’exclusion numérique et sociale pour les personnes peu informées dans le domaine.

« En général, la FRA a constaté un manque d’analyse approfondie des implications en matière de droits fondamentaux, lors de l’utilisation de nouvelles technologies », a expliqué Nicole Romain, directrice de communication de la FRA.

« Toutefois, de nombreux pays ont également collaboré activement avec leurs autorités de protection des données lors de l’élaboration d’applications de traçage. Celles-ci ont également publié des orientations de leur propre initiative, » précise-t-elle.

En France, la Commission nationale de l’informatique et des libertés (CNIL) explique avoir « procédé à trois contrôles afin de s’assurer que le fonctionnement de l’application “StopCovid France” réponde aux exigences de protection de la vie privée et des données personnelles de ses utilisateurs. »

Cependant, les citoyens se montrent très réticents à l’idée de partager leurs informations personnelles et ne font pas confiance aux gouvernements.

Ce phénomène peut s’expliquer par le manque de connaissance des utilisateurs au sujet des pratiques en matière de protection de la vie privée. Comme les sondages de la FRA le montrent, beaucoup ne savent pas vérifier les paramètres de confidentialité ou désactiver les paramètres de localisation. 77% des Français estiment qu’il n’est pas facile de consentir à l’utilisation de données personnelles par le biais de services en ligne.

Certains États ont également fait appel aux drones. L’Italie, la Hongrie et la Grèce ont ainsi contrôlé le respect des mesures d’éloignement physique dans les espaces publics et mesuré la température des personnes par voie aérienne.

L’Allemagne et la Roumanie sont allées plus loin en utilisant des bracelets biométriques. La Pologne et la Moldavie ont quant à elles eu recours à la reconnaissance faciale.

Nicole Romain souligne que « ces technologies traitent des données personnelles ou peuvent avoir un impact sur la manière dont les personnes jouissent de leurs droits fondamentaux. » Elle rappelle que « les droits fondamentaux ne peuvent être limités que dans des conditions strictes, justifiant la nécessité et la proportionnalité de leur limitation éventuelle. »

Il appartient certes aux pays européens d’assurer la conformité des technologies utilisées sur leur territoire aux règles de l’UE, mais la Commission européenne peut décider de porter plainte si tel n’est pas le cas.

Par : Anne Damiani | EURACTIV France

Le Covid-19, prétexte pour une surveillance numérique accrue ?

reconnaissance faciale

Sécurité numérique. En Chine, un marché noir des données de reconnaissance faciale

Ces dernières années, les systèmes fondés sur la reconnaissance faciale ont été promus par le pouvoir chinois comme garantie de la sécurité publique et se sont répandus à grande vitesse. Mais des enquêtes sur la vente illégale de ces données en révèlent les dangers.

Cinquante centimes de yuans, soit 0,06 euro, c’est le prix à l’unité d’une image faciale vendue sur Internet en Chine. Un vendeur a ainsi proposé “un total de 20 000 images, prix non négociable”, sur le réseau social WeChat, aux journalistes de l’agence de presse officielle Xinhua, qui enquêtent sur ce trafic. Les journalistes constatent que “de nombreuses personnes vendent ouvertement des données faciales” sur les différentes plateformes de vente en ligne, comme Taobao, poule aux œufs d’or d’Alibaba, le géant du commerce B2B.

À part la vente des données faciales, certains vendeurs proposent également un logiciel d’“animation des photos”. Un outil qui pourra transformer un portrait en animation 3D qui “cligne des yeux, ouvre la bouche, hoche la tête”, des expressions souvent demandées lors de la[…]

https://www.courrierinternational.com/revue-de-presse/securite-numerique-en-chine-un-marche-noir-des-donnees-de-reconnaissance-faciale

Whatsapp et Instagram échangent nos données privées avec Facebook

Quand Facebook a racheté WhatsApp en 2014, les utilisateurs ont craint pour leurs données. Les fondateurs de la messagerie avaient rapidement tenté de rassurer leurs utilisateurs : « le respect de votre vie privée est codé dans notre ADN ». Deux ans après, si le contenu des messages WhatsApp restera confidentiel, d’autres données permettant de vous identifier pourront être échangées avec Facebook. On pense notamment à votre numéro de téléphone. Objectif affiché : « vous offrir de meilleures suggestions d’amis et vous montrer des publicités plus pertinentes ». En d’autres termes, le groupe Facebook veut consolider les données des utilisateurs de tous ses services, de WhatsApp à Facebook en passant par Instagram.

Toute la « famille Facebook » est concernée

Car si le blog post que vient de publier WhatsApp à ce sujet n’est pas très clair, la page « Conditions d’utilisation et Politique de Confidentialité » l’est davantage – bien qu’il faille un peu fouiller dans les 7263 mots qu’elle contient. WhatsApp indique qu’en tant que membre de « la famille d’entreprises Facebook », l’application reçoit et partage des informations sur ses utilisateurs avec cette famille d’entreprise : Facebook, Facebook Payments, Atlas, Instagram, Onavo, Parse, Oculus, LiveRail et Masquerade. WhatsApp conseille à ses utilisateurs de lire les Privacy Policies de toutes ces entreprises pour bien comprendre l’usage de leurs données. Vous avez quatre heures.

Lire plus :

WhatsApp va transmettre les données de ses utilisateurs à Facebook

Publié par Thomas Coëffé |

Privacy on Cloud

Alternatives Cloud à DropBox, Google drive, OneDrive

Cloud

Google (Google Drive), Microsoft (OneDrive), Apple (iCloud) ou encore DropBox vous proposent via des offres Cloud d’héberger et de synchroniser gratuitement vos documents, contacts, photos et autres.
Or quand un service est gratuit, cela signifie que nous en sommes le produit. C’est à dire que ces grands groupes, en l’échange de mettre à disposition ces fantastiques services, utilisent nos données personnels ou professionnelles à des fins publicitaires et donc mercantiles. Nos données sont exposées, donc notre vie privée est exposée.

Écologiquement, ce n’est pas beaucoup mieux. Pour stoker les données de leurs millions utilisateurs, ces entreprises utilisent d’énormes centre de données (datacenter) qui consomment énormément d’énergie, parfois l’équivalent de grandes villes européennes. C’est la conséquence de la centralisation des données répartie chez 3 ou 4 grands fournisseurs de services “gratuits”.

Lire la suite

Mots de passe

Mots de passe: comment les gérer

Nous avons à gérer de plus en plus de mots de passe. Chaque mot de passe sert à protéger une partie plus ou moins critique de notre vie privée.

Pour un bon niveau de sécurité, chaque mot de passe doit être unique et complexe. Voilà le problème: il est quasiment impossible de mémoriser tant de mots de passe différents et complexes…

Pour résoudre cette situation, il existe plusieurs solutions.

Lire la suite

Configurer notre compte Google

Google met à disposition de plus en plus de services qui nous sont indispensables dans notre quotidien: Android, Google search, Gmail, Google Drive, Google maps, Youtube, Google+, Google Calendar, Picasa, Blogger, etc.

Ces services ne sont pas gratuits seulement pour notre bon plaisir, cela permet également à Google de recueillir nos données personnelles. En fait, chaque service permet à Google de récupérer un peu plus d’information sur notre vie privée: Profile (âge, sexe, profession, etc.), relations professionnelles et personnelles, centres d’intérêt, famille, positions géographique, itinéraires journaliers, sensibilités, loisirs, etc.

Google nous connait mieux que nous-même.Même si nous souhaitons protéger un peu plus notre vie privée, il est difficile de ne plus utiliser aucun service Google. Cependant, Google nous permet de paramétrer les données à recueillir ainsi que d’effacer les données déjà recueillies. C’est ce que nous allons découvrir dans cet article.

Lire la suite