Autoblog de la La quadrature du net

Ce site n'est pas le site officiel de la Quadrature du net.
C'est un blog automatisé qui réplique les articles de laquadrature.net

La Technopolice progresse, la Cnil mouline

Wed, 03 Jun 2020 11:35:49 +0000 - (source)

Depuis la crise sanitaire, la vidéosurveillance automatisée s’ancre un peu plus dans l’espace public : détection automatique du port de masque, de la température corporelle, des distances physiques… Ces dispositifs participent à la normalisation de la surveillance algorithmique et portent de nouvelles atteintes à nos libertés. Ils sont installés sans qu’aucune preuve de leur utilité n’ait été apportée, et souvent dans la plus complète opacité. La Cnil, en ne réagissant pas publiquement à ces dérives, participe à leur banalisation et à celle de toute la Technopolice.

Cela fait plus d’un an que nous combattons à travers la campagne Technopolice le déploiement de la vidéosurveillance automatisée. Elle s’est en quelques mois répandue dans de multiples villes en France (voir celles – très nombreuses – répertoriées sur le forum et le carré Technopolice). La crise sanitaire a, comme dans d’autres domaines, amplifié le phénomène. Ainsi, pendant que d’un côté la police a déployé illégalement ses drones pour démultiplier son pouvoir de surveillance sur le territoire, plusieurs collectivités ont passé des contrats avec des entreprises pour implémenter de nouvelles technologies de surveillance.

À Cannes et dans le métro parisien, la société Datakalab a fait installer son logiciel de détection de port de masque. Plusieurs mairies et écoles ont de leur côté déjà mis en place dans leurs locaux des caméras pour mesurer la température des personnes, avec pour objectif de les renvoyer chez elles en cas de température trop élevée – une expérimentation du même type est d’ailleurs en cours à Roissy. Quant à la mesure des distances physiques, elle est déjà en cours dans les transports à Cannes, et pas de doute qu’avec les propositions de plusieurs start-up, d’autres villes réfléchissent déjà à ces dispositifs.

Normalisation et opacité de la surveillance

La multiplication de ces dispositifs en crise sanitaire participe évidemment à la normalisation de la surveillance algorithmique. Derrière leurs apparences parfois inoffensives, ces technologies en banalisent d’autres, notamment la détection de « comportements suspects » ou le suivi automatique de personne selon un signe distinctif (démarches, vêtements…). Alors même que leur déploiement est programmé depuis plusieurs années, comment croire un seul instant que ces dispositifs seront retirés une fois la crise finie ? Au contraire, s’ils ne sont pas vigoureusement contestés et battus en brèche dès aujourd’hui, ils viendront simplement s’ajouter à l’arsenal toujours plus important de moyens de contrôle de la population. Le maire qui fait installer des caméras thermiques dans son école ne les considère-t-il pas lui-même comme « un investissement à long terme [pouvant] resservir au moment des épidémies de grippe et de gastro-entérite » ?

D’ailleurs, à Paris, l’expérimentation de détection de masque par la RATP dans la station de métro de Châtelet s’inscrit « dans le cadre du programme intelligence artificielle du groupe et du LAB’IA ». Nous dénoncions en février ce programme qui consiste pour la RATP à permettre aux industriels sécuritaires d’utiliser les usagères et usagers du métro comme des cobayes pour leurs algorithmes de détection automatique. Quelles entreprises y participent ? Quels algorithmes y sont testés ? Impossible de le savoir précisément. Car c’est l’autre caractéristique de ces expérimentations : leur opacité. Impossible de savoir quelles données traite le dispositif de Datakalab et de quelle manière, ou ce que captent, enregistrent et déduisent exactement les caméras thermiques d’Aéroports de Paris, ou les algorithmes de détection des distances à Cannes. À part une maigre communication dans la presse, les conventions conclues n’ont pas été publiées. Le seul moyen pour y avoir accès est d’adresser aux différents organismes concernés des demandes CADA (voir notre guide) et se plier à leur bon vouloir sur ce qu’ils souhaitent ou non communiquer.

Des dispositifs probablement illégaux

Au-delà de la normalisation et de l’opacité, plusieurs questions juridiques se posent.

On peut déjà critiquer la nécessité et la proportionnalité de tels outils : l’article 5 du RGPD impose que les données personnelles traitées doivent toujours être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Autrement dit, et comme le dit la Cnil elle-même : « les données ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens moins intrusifs ». Un tel questionnement semble totalement absent de la vidéosurveillance automatisée. N’y a-t-il vraiment aucun autre moyen de voir si des personnes portent un masque ou respectent des distances physiques que de les soumettre à une caméra et son algorithme ? N’importe quel humain semble pourtant capable de réaliser ces tâches. L’Humanité s’est très bien passée d’algorithme jusqu’à aujourd’hui.

Et quelle base légale pour ces dispositifs ? Par exemple, pour les caméras thermiques qui traitent des données dites « sensibles » (comme les données de santé) et dont le traitement est par principe interdit ? Il n’est autorisé que dans certaines conditions (article 9 du RGPD). Parmi ces exceptions, on trouve bien des motifs de « médecine du travail » ou de « santé publique » mais à chaque fois, de tels traitements doivent être basés sur le « droit de l’Union ou [le] droit de l’État membre ». Ce droit n’existe pas : il n’existe aucun cadre juridique spécifique à la vidéosurveillance automatisée. La Cnil dit d’ailleurs de nouveau elle-même : « En l’état du droit (notamment de l’article 9 du RGPD), et sauf à ce qu’un texte en prévoit expressément la possibilité, sont ainsi interdits aux employeurs (…) les opérations automatisées de captation de température ou au moyen d’outils tels que des caméras thermiques ».

De tels questionnements rejoignent ceux que nous posons constamment sur la vidéosurveillance automatisée et que nous avons soulevés lors d’un contentieux (aujourd’hui perdu) à Marseille. Comment ne pas s’étonner alors que la Cnil laisse se répandre cette Technopolice ?

Le silence coupable de la Cnil

Cela fait maintenant presque deux ans que nous avons rencontré des membres de la Cnil pour échanger sur ces sujets et depuis… rien. Ou presque : un avis sur les portiques de reconnaissance faciale et un avertissement sur un projet de capteurs sonores à Saint-Étienne (sur lesquels elle a volontairement communiqué). Et encore, seulement après que nous les ayons publiquement dénoncés et attaqués.

Depuis le début de la crise sanitaire, il semble bien qu’il y ait eu des échanges entre la Cnil et les entreprises ou autorités responsables sur les nouvelles expérimentations. C’est notamment le cas de celle à Cannes et dans le métro parisien, mais aussi pour l’expérimentation dans les aéroports. Or, là encore, aucune publicité n’a été faite sur ces échanges. Ils sont souvent pourtant d’un grand intérêt pour comprendre les velléités sécuritaires des autorités, des entreprises et pour mesurer les faiblesses des contrôles de la Cnil. C’était d’ailleurs le cas pour les portiques de reconnaissance faciale dans les lycées de la Région Sud où la Cnil avait rendu un avis non-public, que nous avons dû nous-même lui demander. La mollesse de la CNIL nous avait forcées d’agir de notre côté devant le tribunal administratif (où nous avons obtenu gain de cause quelques mois plus tard).

En dehors de ces quelques cas, l’action de la CNIL contre la Technopolice semble largement insuffisante. Son action se limite à émietter quelques principes théoriques dans ses communications (comme vu plus haut) mais n’en tire aucune conséquence concrète. Ou alors elle fait secrètement des contrôles dont nous ne sommes informés qu’après avoir attaqué nous-même le dispositif devant la justice. Ou alors elle ne veut rien faire. Rien sur les analyses d’émotions et la détection d’évènements violents en expérimentation à Nice, rien sur les logiciels de la société Briefcam installés dans plusieurs dizaines de villes en France, rien sur les capteurs sonores de Strasbourg, rien sur les logiciels de Huawei à Valenciennes.

Il est même extrêmement étonnant de voir être proposés et installés des outils de détection de température alors que la Cnil les a expressément interdits… On en vient presque à oublier qu’elle a le pouvoir d’ester en justice et de sanctionner (lourdement) le non-respect des textes [1]. Comme pour les drones, ce rôle semble quelquefois reposer sur les capacités contentieuses des associations.

Ce silence coupable participe à la prolifération des dispositifs sur le territoire français. Ces derniers, comme la reconnaissance faciale, doivent être combattus. Ils accroissent considérablement la capacité des autorités à nous identifier et à nous surveiller dans l’espace public, démultipliant les risques d’abus, et participent au déploiement d’une société de surveillance. Tout comme la reconnaissance faciale, ils entraînent un contrôle invisible, indolore et profondément déshumanisant.

[1] La critique de cette inaction de la Cnil pourrait d’ailleurs se faire de manière plus générale pour le peu de sanctions qu’elle rend au titre du RGPD, voir notamment 2 ans de RGPD : comparaison de l’application du règlement par les pays européens


Crise du Covid-19 : la technopolice profite de la stratégie du choc

Tue, 02 Jun 2020 15:21:01 +0000 - (source)

Ce texte a été publié au sein de l’œuvre collective « Résistons ensemble, pour que renaissent des jours heureux », (Télécharger au format epub et PDF) qui vise à faire le point sur la situation politique actuelle et à mettre en avant des propositions pour une société plus juste. Benoît Piédallu, membre de La Quadrature du Net, y tente une analyse de l’avancée des technologies de surveillance durant la crise du Covid19, dans un texte que nous reproduisons donc ci-dessous.

En février ou début mars 2020, voyant arriver la lame de fond de la pandémie, personne à La Quadrature du Net n’avait imaginé à quel point elle nous forcerait à mobiliser nos forces. Mobilisé·es à l’époque par la loi Avia (qui transfère des responsabilités de censure aux grandes plateformes), par la promotion de l’interopérabilité (qui imposerait ces mêmes grandes plateformes à se connecter à d’autres outils), ou encore à forcer la main à la CNIL (Commission Nationale de l’Informatique et des Libertés) sur la législation des cookies, comment aurions-nous pu penser qu’un événement sanitaire allait bousculer à ce point notre agenda ?

Et pourtant, les premiers sujets sont vite arrivés. Quelques jours après le début du confinement officiel (le 17 mars), Orange a informé les médias que 17 % des Parisien·ne·s avaient quitté la capitale au début du confinement, ce que l’opérateur n’avait pu savoir qu’en utilisant des données de bornage de téléphones mobiles, pourtant non prévues à cette fin. Puis c’est la mise en place d’un système de traçage total de la population dont il a très vite été question. La police, décidant seule de qui avait le droit de se trouver dans les rues ou pas, en profita pour utiliser de manière massive ses drones, de la prévention à la verbalisation, à l’image de ces vidéos venant de Chine dont tout le monde se moquait pourtant quelques semaines plus tôt. Profitant de cette situation d’urgence, les élus locaux se trouvant sommés d’agir alors qu’ils se trouvaient dans un entre-deux-tours sans fin, de nombreuses entreprises se mirent à proposer, au vu et au su de tous, leurs technologies de surveillance, même gracieusement, sous prétexte de lutte contre la pandémie.

La surveillance de la population est un sujet de lutte depuis bien longtemps entre les associations de défense des droits fondamentaux d’une part, et les entreprises privées et les autorités d’autre part. Passées de paranos à tout juste réalistes à l’occasion de la parution des révélations Snowden en 2013, ces associations ont bénéficié d’une très courte fenêtre de tir avant qu’entreprises spécialisées et politiques pro-surveillance ne reprennent la main. C’est le RGPD, Règlement général sur la protection des données européen, qui en aura bénéficié dans sa rédaction. Mais, dans le fond, jamais le gouvernement français n’aura cessé d’ajouter des réglementations pour installer de nouveaux outils de surveillance de sa population, quand ce ne sont pas des technologies de surveillance mises en œuvre illégalement par différents services, et rendues légales une fois le législateur mis devant le fait accompli.

« Technopolice » est une campagne lancée par la Quadrature en septembre 2019, qui liste, dénonce – et lutte contre – les outils de surveillance urbaine. Qu’il s’agisse de la reconnaissance biométrique, de détection d’événement, d’usage de drones, de croisement et d’analyse algorithmique branchée sur les données urbaines, ils sont, depuis quelques années, déployés en catimini par des collectivités locales, majoritairement sous couvert d’expérimentation. Ce principe est un paravent qui leur permet souvent d’éviter le lancement d’appels d’offres, mais aussi de rassurer la population : en présentant à ses administré·e·s un projet comme « temporaire », un·e responsable politique peut plus facilement, sans avoir à prouver l’efficacité d’un système, le déployer dans l’espace public.

C’est aussi une technique utilisée au niveau national : à l’occasion de la loi de finances 2020, un article prévoyait la mise en place d’une expérimentation de trois ans (sic) par laquelle le ministère des Finances se voyait autorisé à capter des données sur divers services en ligne (leboncoin, eBay…), puis à leur appliquer des algorithmes à des fins de lutte contre la fraude fiscale. Et Cédric O demandait encore, fin décembre 2019, la mise en place d’une expérimentation nationale de la technologie de reconnaissance faciale, dont nous demandons de notre côté l’interdiction totale.

Pour chaque déploiement, il existe dans le monde une démonstration de détournement par l’administration : la reconnaissance faciale en Inde, présentée initialement pour retrouver les enfants perdus ? Utilisée pour lister les manifestant·e·s. L’utilisation du big data pour lutter contre la fraude fiscale ? Détournée aux Pays-Bas pour discriminer les populations les plus pauvres.

La crise que nous traversons a changé la donne : ces entreprises sécuritaires ne se cachent plus et vont démarcher les collectivités, organismes ou établissements de santé pour leur proposer des outils de surveillance et de contrôle de la population.
La police avoue utiliser ses drones sans base légale. Et en profite pour plus que doubler sa flotte à travers un contrat de quatre millions d’euros. Même des entreprises sans activité militaire ou de sécurité s’y mettent, à l’image de Sigfox dont le patron propose, comme solution alternative à l’application de traçage StopCovid, de fournir à la population des bracelets électroniques.

C’est la stratégie du choc qui est à l’œuvre. Profitant du traumatisme des bilans quotidiens de morts par milliers et du confinement imposé à une société animée par le lien social, les profiteurs de crise avancent leurs pions pour ouvrir une place durable à leurs marchés sécuritaires.
Pour certains, leurs noms sont connus de toutes et tous : ainsi Orange vend-il à des clients professionnels des statistiques basées sur les déplacements de ses abonnés, sans l’accord de ces derniers. Son nom se retrouve aussi lié à Dassault Système et Capgemini dans le développement de StopCovid, l’application de traçage de la population.

Tout est mis en œuvre dans l’idée que l’ennemi est le peuple. On lui ment, on le surveille, on le trace, on le verbalise s’il sort de chez lui. On rend responsables les malades, car ce sont certainement ceux qui n’ont pas respecté le confinement. On rend le peuple responsable individuellement en lui faisant porter le poids de la mort des autres. Pas une fois le pouvoir politique, durant cette crise, ne fera amende honorable sur ses manquements. Non : pour les gouvernants, dont les administrations détruisaient encore des masques courant mars, les solutions sont des outils de contrôle (température, port du masque), de surveillance (StopCovid, drones, patrouilles dans les rues), de nouvelles bases de données (extension de ADOC, pour les verbalisations routières, Contact Covid et SIDEP pour le traçage manuel des « brigades Covid »), ou encore le contrôle de l’information (Désinfox Coronavirus)…

Cet état d’urgence sanitaire, qui impose le confinement et ouvre de nouvelles bases de données de la population, devrait se finir au plus tard au 10 juillet 2020. Mais l’histoire récente montre qu’un état d’urgence temporaire peut aisément être reconduit plusieurs fois, jusqu’à entrer dans le droit commun. Et, même sans une reconduction législative perpétuelle, c’est l’entrée dans les habitudes qui est à craindre.

Le risque, c’est l’effet cliquet : une fois une technologie déployée, l’effort pour la supprimer sera largement supérieur à celui nécessaire pour empêcher son installation. Côté politique, par volonté de rentabiliser un investissement ou par peur de se voir reprocher par son électorat d’avoir réduit l’illusoire protection. Côté population, supprimer une technologie à laquelle les habitants se seront accoutumés demandera un effort considérable. Le déploiement, durant des mois, d’outils de contrôle tend à les faire se fondre dans le décor. Qui ira demander l’abandon d’outils acquis à grands frais (8 000 € la caméra thermique fixe) une fois la pandémie passée ? Et comment décidera-t-on de la fin de cette pandémie : par l’arrivée d’un vaccin ? Tout comme l’état d’urgence contre le terrorisme a été intégré dans le droit commun, il est possible que l’hypothèse d’un retour du danger sanitaire autorise les autorités à conserver les dispositions prévues pour le Covid-19.

Mais la lutte contre un danger sanitaire est l’objet d’un plan de gestion des risques, pas d’un système de surveillance généralisé et permanent. Un plan qui prévoirait la mise à disposition continue d’un nombre suffisant de masques, et un système hospitalier adapté.

Alors quoi ? Quels outils politiques pour éviter la prolongation d’un état d’exception et cette tentation permanente de fliquer la population ?

Les élus, l’administration, le pouvoir, sont les moteurs, depuis plusieurs dizaines d’années, de cette inflation sécuritaire qui alimente quantité de discours et sert les idéologies politiques. Il faut donc dès maintenant informer l’opinion publique sur les risques qu’il y a à continuer dans cette voie, et la mobiliser pour la mise en place ou le renforcement de garde-fous. Nous proposons quelques pistes pour aller dans ce sens.

• La CNIL est en France l’autorité dont la mission est de veiller au respect des données personnelles, que ce soit par l’État ou les entreprises privées. Avant 2004, toute création de traitement devait passer par une autorisation de la CNIL. Elle n’est, depuis, qu’une autorité consultative dont le pouvoir a été limité aux sanctions contre les entreprises privées. Il est nécessaire que son autorité à l’encontre du législateur soit restaurée, ce qui implique d’améliorer son indépendance, par une augmentation de son budget, un changement du processus de nomination des commissaires, en développant la place de la société civile en son sein ainsi qu’en restituant son pouvoir de blocage réglementaire.

• L’utilisation de l’outil informatique par l’État doit être transparente. Les algorithmes utilisés pour prendre des décisions administratives doivent être publiés dès leur mise en œuvre.

• Afin de garantir une indépendance technique de ces mêmes administrations, il est nécessaire qu’elles utilisent des logiciels libres, que ce soit pour le système d’exploitation ou les logiciels courants.

• Les décisions politiques autour de l’usage de technologies ne doivent pas se faire sans la population. Il est nécessaire pour cela de prévoir à l’école et par la suite une formation suffisante au numérique, à ses conséquences techniques, sociales et politiques.

• L’installation d’outils de contrôle dans l’espace public doit être interdite tant qu’une alternative non automatisée est possible, ce qui exclut la quasi-totalité des outils déployés durant cette crise.

• Une limitation drastique des champs du renseignement (et l’arrêt de l’expérimentation sine die des boîtes noires), et un développement de ses contre-pouvoirs.

• Une limitation immédiate de la collecte et de la conservation des données de connexion, en conformité avec la jurisprudence européenne.

• Des sanctions rapides et drastiques contre le secteur du traçage publicitaire en ligne pour faire cesser rapidement les illégalités au regard du RGPD.

• Le développement d’un contre-pouvoir sérieux face aux abus de la police.


Loi Avia, nos observations devant le Conseil constitutionnel

Tue, 26 May 2020 14:11:50 +0000 - (source)

Lundi dernier, les sénateurs Républicains ont saisi le Conseil constitutionnel contre la loi Avia, qui avait été définitivement adoptée le 13 mai. Le Conseil devrait se prononcer dans les semaines à venir. Pour l’y aider, nous nous joignons à Franciliens.net pour envoyer au Conseil notre contribution extérieure (accessible en PDF, 7 pages, ou ci-dessous). Notre objectif principal est de démontrer que le nouveau délai d’une heure prévu en matière de censure anti-terroriste est contraire à la Constitution.

Objet : Contribution extérieure des associations La Quadrature du Net et Franciliens.net sur la loi visant à lutter contre les contenus haineux sur internet (affaire n° 2020-801 DC)

Monsieur le président,

Mesdames et Messieurs les membres du Conseil constitutionnel,

La Quadrature du Net est une association qui œuvre à la défense des libertés à l’ère du numérique. Franciliens.net est un fournisseur d’accès à Internet. À ce titre, les deux associations ont, durant les débats parlementaires de la proposition de loi visant à lutter contre les contenus haineux sur internet, attiré l’attention du public et des parlementaires notamment sur les articles 1er et 6 du texte, qui, pour plusieurs raisons, nous semblent contraires à la Constitution. Nous avons ainsi l’honneur de vous adresser cette présente contribution extérieure au nom des associations La Quadrature du Net et Franciliens.net afin de démontrer l’inconstitutionnalité de ces deux articles.

I. Sur le délai d’une heure en matière de censure antiterroriste

Le I de l’article 1er de la loi qui vous est déférée modifie le régime de censure administrative du Web, dont il faut brièvement rappeler l’historique.

L’article 4 de la loi n° 2011-267 du 14 mars 2011 a ajouté un cinquième alinéa au 7 du I de l’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN). Cette disposition a donné à l’administration un pouvoir jusqu’ici réservé à l’autorité judiciaire : exiger que les fournisseurs d’accès à Internet bloquent les sites qu’elle désigne comme diffusant des images d’abus d’enfant. Dans la limite de la lutte contre de telles images, le Conseil constitutionnel avait reconnu cette disposition conforme à la Constitution dans sa décision n° 2011-625 DC du 10 mars 2011.

Trois ans plus tard, l’article 12 de la loi n° 2014-1353 du 13 novembre 2014 a déplacé cette disposition à l’article 6-1 de la LCEN en y apportant d’importantes modifications. La principale modification a été d’étendre cette censure aux sites que l’administration considère comme relevant du terrorisme – et ce toujours sans appréciation préalable d’un juge. Le Conseil constitutionnel n’a jamais examiné la constitutionnalité d’une telle extension.

Six ans plus tard, aujourd’hui, le I de l’article 1er de la loi déférée modifie encore cette disposition. La principale modification est de réduire à une heure le délai, jusqu’alors de 24 heures, dont disposent les sites et hébergeurs Web pour retirer un contenu signalé par l’administration avant d’être bloqués par les fournisseurs d’accès à Internet et moteurs de recherche.

C’est la réduction de ce délai que le Conseil constitutionnel examine aujourd’hui. Il ne fait pas débat que le dispositif de censure administrative et, par là-même, la réduction du délai de ce dispositif, porte atteinte à la liberté d’expression. S’il est de jurisprudence constante que le droit à la liberté d’expression est un droit fondamental protégé par le Conseil constitutionnel, il sera démontré ci-dessous que l’atteinte portée par la loi qui vous est déférée est disproportionnée et contraire à la Constitution.

Sur le défaut d’adéquation

En droit, la jurisprudence du Conseil constitutionnel exige que « toute mesure restreignant un droit fondamental […] doit être adéquate, c’est-à-dire appropriée, ce qui suppose qu’elle soit a priori susceptible de permettre ou de faciliter la réalisation du but recherché par son auteur »1« Le contrôle de proportionnalité exercé par le Conseil constitutionnel », Valérie Goesel-Le Bihan, Cahier du Conseil constitutionnel, n° 22 (juin 2007), https://www.conseil-constitutionnel.fr/nouveaux-cahiers-du-conseil-constitutionnel/le-controle-de-proportionnalite-exerce-par-le-conseil-constitutionnel.

En l’espèce, aucun site ou hébergeur Web n’est techniquement capable de supprimer en une heure l’ensemble des contenus que l’administration est susceptible de lui signaler. L’exemple le plus flagrant est celui de la vidéo de la tuerie de Christchurch du 15 mars 2019. Facebook a expliqué2« Update on New Zealand », Facebook Newsroom, 18 mars 2019, https://newsroom.fb.com/news/2019/03/update-on-new-zealand que, au cours des 24 heures suivant la publication de la vidéo sur sa plateforme, ses services de modération ont supprimé 1,2 million de copies de la vidéo, mais ont échoué à en bloquer 300 000 autres copies. Si Facebook, avec ses milliers de modérateurs et ses algorithmes de pointe, a échoué à retirer entièrement cette vidéo en 24 heures, il est certain que la vaste majorité des hébergeurs seront parfaitement incapables de le faire en seulement une heure.

De façon plus triviale, mais tout aussi probante, les très nombreux sites ou hébergeurs Web, dont les administrateurs techniques ne travaillent ni la nuit ni le week-end, seront dans l’impossibilité de retirer en une heure les contenus signalés par la police au cours de ces périodes. Il en va ainsi par exemple de La Quadrature du Net, qui héberge 24 000 utilisateurs sur son réseau social mamot.fr, et dont les administrateurs techniques, bénévoles, ne travaillent ni la nuit ni le week-end.

En conclusion, le nouveau délai ne correspondant à aucune réalité technique, il n’est manifestement pas adéquat.

Sur le défaut de nécessité

En droit, une mesure restreignant un droit fondamental n’est conforme à la Constitution que si elle « n’excède pas ce qui est nécessaire à la réalisation de l’objectif poursuivi »3Valérie Goesel-Le Bihan,op. cit..

En l’espèce, le gouvernement n’a jamais produit la moindre étude ou analyse pour expliquer en quoi les contenus terroristes devraient systématiquement être censurés en moins d’une heure. La recherche scientifique est pourtant riche à ce sujet, et va plutôt dans un sens contraire. En 2017, l’UNESCO publiait un rapport4Les Jeunes et l’extrémisme violent dans les médias sociaux : inventaire des recherches, 2018, https://unesdoc.unesco.org/ark:/48223/pf0000261841 analysant 550 études concernant la radicalisation des jeunes sur Internet. Le rapport conclut que « les données dont on dispose actuellement sur les liens entre l’Internet, les médias sociaux et la radicalisation violente sont très limitées et ne permettent pas encore de tirer des conclusions définitives » et que « les données sont insuffisantes pour que l’on puisse conclure à l’existence d’un lien de cause à effet entre la propagande extrémiste ou le recrutement sur les réseaux sociaux et la radicalisation violente des jeunes ». Le rapport souligne que « les tentatives pour prévenir la radicalisation violente des jeunes sur l’Internet n’ont pas fait la preuve de leur efficacité, alors qu’il est clair qu’elles peuvent porter atteinte aux libertés en ligne, en particulier la liberté d’expression ». La radicalisation semble avant tout résulter d’interactions interpersonnelles et non de propagande en ligne – par exemple, Mohammed Merah, Mehdi Nemmouche, Amedy Coulibably et les frères Kouachi n’avaient pas d’activité en ligne5Damien Leloup, « Paris, Bruxelles, Toulouse… la radicalisation des terroristes n’a pas eu lieu sur le Web », Le Monde, 12 janvier 2015, https://www.lemonde.fr/pixels/article/2015/01/12/paris-bruxelles-toulouse-la-radicalisation-des-terroristes-n-a-pas-eu-lieu-sur-le-web_4554384_4408996.html en lien avec le terrorisme.

Puisque, dans la majorité des cas, il semble peu utile de censurer la propagande terroriste en ligne, il n’est manifestement pas nécessaire de la censurer systématiquement en moins d’une heure. Dans les cas où la censure rapide d’un contenu particulièrement dangereux serait requise, il suffirait de déterminer au cas par cas l’urgence nécessaire pour ce faire. C’est la solution qui a toujours résulté de l’application de la LCEN depuis 2004. Par exemple, en 2012, un hébergeur Web a été définitivement condamné6Cour d’appel de Bordeaux, civ. 1ere, sect. B, 10 mai 2012, Krim K. c. Amen SAS et Pierre G., n° 11/01429 par la cour d’appel de Bordeaux pour ne pas avoir retiré en moins de 24 heures un contenu particulièrement sensible – des écoutes téléphoniques réalisées au cours de l’enquête judiciaire sur l’affaire AZF.

En conclusion, il n’est pas nécessaire d’exiger que les contenus terroristes soient systématiquement retirés en une heure dans la mesure où le droit antérieur suffit largement pour atteindre l’objectif poursuivi.

Sur le défaut de proportionnalité

En droit, « toute mesure restreignant un droit fondamental […] doit enfin être proportionnée au sens strict : elle ne doit pas, par les charges qu’elle crée, être hors de proportion avec le résultat recherché »7Valérie Goesel-Le Bihan, op. cit..

En l’espèce, le délai d’une heure est si court qu’il accroît hors de toute proportion acceptable les risques d’erreurs et d’abus.

Premièrement, l’urgence imposée par ce nouveau délai conduira à une multitude d’erreurs techniques et à retirer davantage de contenus que nécessaire. Ces erreurs seront d’autant plus probables que la plupart des hébergeurs n’auront jamais les moyens organisationnels de grandes plateformes comme Google ou Facebook. Trop souvent, dans l’urgence et sans organisation dédiée pour ce faire, la meilleure façon de retirer une image ou une vidéo en moins d’une heure sera de bloquer l’accès à l’ensemble d’un service. Ce type de dysfonctionnement n’est ni rare ni limité aux petites structures : en octobre 2016, en tentant d’appliquer l’article 6-1 de la LCEN, Orange avait bloqué par erreur8Voir le communiqué du ministère de l’Intérieur : https://www.interieur.gouv.fr/Archives/Archives-des-communiques-de-presse/2016-Communiques/Redirection-vers-la-page-de-blocage-des-sites-terroristes-pour-les-clients-de-l-operateur-orange l’accès à Google, Wikipédia et OVH pour l’ensemble de ses utilisateurs.

Deuxièmement, ce nouveau délai intervient dans un contexte juridique qui était déjà particulièrement flou. Les « actes de terrorisme » visés à l’article 421-2-5 du Code pénal, auquel l’article 6-1 de la LCEN renvoie, ne sont pas explicitement définis par la loi française. Il faut se référer à l’article 3 de la directive 2017/541, relative à la lutte contre le terrorisme, pour en avoir une définition textuelle. Il s’agit notamment du fait, ou de la tentative, de « causer des destructions massives […] à un lieu public ou une propriété privée », quand bien même aucun humain n’aurait été mis en danger et que le risque se limiterait à des « pertes économiques ». Pour relever du terrorisme, il suffit que l’acte vise à « contraindre indûment des pouvoirs publics ou une organisation internationale à accomplir ou à s’abstenir d’accomplir un acte quelconque ».

Ainsi, même s’il peut sembler évident de qualifier de terroriste une vidéo revendiquant un attentat meurtrier, cette qualification est beaucoup moins évidente s’agissant de propos politiques bien plus triviaux qui, d’une façon ou d’une autre, peuvent être liés à des destructions matérielles. Il peut s’agir par exemple d’appels vigoureux à aller manifester, ou encore de l’éloge de mouvements insurrectionnels historiques (prise de la Bastille, propagande par le fait, sabotage luddite…). Les hébergeurs n’auront plus qu’une heure pour apprécier des situations qui, d’un point de vue juridique, sont tout sauf univoques. Devant la menace d’importantes sanctions, les hébergeurs risquent de censurer quasi-automatiquement la plupart des contenus signalés par l’administration, sans la moindre vérification sérieuse.

Troisièmement, l’article 6-1 de la LCEN échoue à compenser le défaut de contrôle judiciaire préalable en prévoyant qu’une personnalité qualifiée de la CNIL, informée de toutes les demandes de censure émises par l’administration, puisse contester celles-ci devant les juridictions administratives. Dans les faits et depuis 2015, cette personnalité qualifiée est Alexandre Linden, qui n’a eu de cesse de dénoncer l’absence d’effectivité de sa mission. Il concluait ainsi son dernier rapport de 20199Alexandre Linden, Rapport d’activité 2018 de la personnalité qualifiée, CNIL, 27 mai 2019, https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_blocage_2018_web.pdf, quant aux façons d’améliorer les conditions d’exercice de sa mission : « On peut une nouvelle fois légitimement s’interroger sur l’utilité de formuler des préconisations à l’issue de cette quatrième année d’activité, lorsque l’on constate que les préconisations mentionnées dans les trois premiers rapports d’activité n’ont pas été prises en compte par les autorités publiques […]. Cette situation compromet l’effectivité de son contrôle sur l’ensemble des demandes de retrait de contenus, de blocage ou de déréférencement ». Ne pouvant mener correctement cette mission, la CNIL a demandé au gouvernement qu’elle lui soit retirée – ce que l’article 7, IV, 3°, de la loi déférée a réalisé en confiant désormais cette mission au CSA.

Quatrièmement, à défaut d’intervention préalable de l’autorité judiciaire, cette nouvelle urgence permettra à l’administration d’abuser plus facilement de son pouvoir, tel qu’elle a déjà pu le faire. En septembre et octobre 2017, par exemple, la police nationale a invoqué l’article 6-1 de la LCEN pour exiger aux hébergeurs Indymedia Nantes et Indymedia Grenoble de retirer quatre tribunes anarchistes faisant l’apologie d’incendies de véhicules de le police et de la gendarmerie. La personnalité qualifiée de la CNIL, informée de ces demandes de censure, en a contesté la légalité devant le tribunal administratif de Cergy-Pontoise. Il a fallu attendre le 4 février 2019 pour que ce dernier reconnaisse10TA Cergy-Pontoise, 4 févr. 2019, n° 1801344, 1801346, 1801348 et 1801352 que la police avait abusé de ses pouvoirs dans l’ensemble des quatre demandes. Ainsi, l’administration a pu contourner la justice pendant un an et demi afin de censurer des opposants politiques. Réduire à une heure le délai laissé aux hébergeurs pour évaluer un contenu signalé par la police ne fera qu’accroître les risques que celle-ci abuse de son pouvoir.

En conclusion, le nouveau délai d’une heure aggrave hors de toute proportion acceptable les risques d’erreurs techniques ou juridiques propres au dispositif de censure administrative, ainsi que les risques d’abus de la part d’une administration qui échappe à tout contre-pouvoir effectif.

Il est utile de souligner que, si le projet de règlement européen visant à lutter contre les contenus terroristes en ligne prévoit aussi un délai d’une heure pour retirer les contenus signalés, ce délai est le principal point de désaccord du débat législatif concernant ce texte, et ce débat est loin d’être achevé. Au cours du dernier examen du Parlement européen, un amendement11Voir l’amendement n° 157 : https://www.europarl.europa.eu/doceo/document/A-8-2019-0193-AM-156-157_FR.pdf de Mme Eva Joly a proposé de remplacer le « délai d’une heure » par « les plus brefs délais » : cet amendement n’a été rejeté qu’à 297 voix favorables contre 300 voix défavorables12Voir les résultats du vote, page 17, à propos de l’amendement n° 157 : http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+PV+20190417+RES-VOT+DOC+PDF+V0//FR&language=FR, et ce alors même que le texte prévoit davantage de garanties que le droit français, en exigeant notamment que l’injonction de retrait ne puisse être émise que par « une autorité judiciaire ou une autorité administrative fonctionnellement indépendante »13Voir article 17, §1, du texte adopté par le Parlement européen : https://www.europarl.europa.eu/doceo/document/TA-8-2019-0421_FR.html.

II. Sur le nouveau régime de censure en 24 heures

Le II de l’article 1er de la loi qui vous est déférée ajoute un article 6-2 à la LCEN, qui crée un nouveau régime de responsabilité spécifique à certains intermédiaires techniques et à certaines infractions. Ce nouveau régime est contraire à la Constitution en raison de l’atteinte disproportionnée à la liberté d’expression qu’elle entraîne, au moins de deux façons.

Sur les plateformes concernées

L’objectif de ce nouveau régime est de contenir la diffusion des discours de haine et de harcèlement sur les grandes plateformes commerciales, en premier titre desquelles Facebook, Youtube et Twitter, en leur imposant des obligations spécifiques. Toutefois, cette obligation ne pèse pas seulement sur les grandes plateformes commerciales, à l’origine du problème, mais sur tout « opérateur » visé à l’article L. 111-7 du code de la consommation et dont le nombre d’utilisateurs dépasse un seuil fixé par décret (que l’on nous annonce à 2 millions). En pratique, des sites sans activité commerciale, tel que Wikipédia, seront aussi concernés.

Pourtant, le modèle de modération de ces plateformes non-commerciales, qui repose sur une communauté bénévole et investie, a pu se montrer plus efficace pour limiter la diffusion de la haine et du harcèlement que les grandes plateformes commerciales. Ce constat n’est remis en cause ni par la rapporteure de la loi déférée ni par le gouvernement. Tout en restant perfectibles, les plateformes non-commerciales satisfont déjà largement l’objectif poursuivi par la loi déférée. Il n’est pas nécessaire de leur imposer de nouvelles obligations qui nuiront à leur développement et à la liberté de communication de leurs utilisateurs.

En conséquence, ce nouveau régime porte une atteinte disproportionnée au droit à la liberté d’expression. À titre subsidiaire, ce nouveau régime ne pourrait être conforme à la Constitution qu’à la condition que son champ d’application soit interprété de façon à exclure les plateformes non-lucratives, par exemple tel que le prévoit l’actuel projet de loi relatif à la communication audiovisuelle14http://www.assemblee-nationale.fr/15/textes/2488.asp#D_Article_16 dont l’article 16, qui crée un nouveau régime de responsabilité en matière de droit d’auteur, ne s’applique qu’aux opérateurs qui organisent et promeuvent les contenus hébergés en vue d’un tirer un profit, direct ou indirect.

Sur le délai de 24 heures

Le nouveau régime impose un délai de 24 heures pour retirer les contenus signalés. La disproportion de ce nouveau délai résulte des mêmes constats déjà détaillés pour le nouveau délai d’une heure imposé en matière de terrorisme.

Le délai de 24 heures n’est pas adéquat, car il ne sera techniquement pas réaliste – même Facebook échoue à supprimer en 24 heures les pires vidéos terroristes. Le délai de 24 heures n’est pas nécessaire, car le droit actuel suffit largement pour fixer au cas par cas, en fonction de la gravité de chaque contenu, la célérité requise pour le retirer. Le délai de 24 heures n’est pas proportionné, car il aggravera les risques d’abus par la police, qui pourra plus facilement faire exécuter des demandes de censure excessives que les hébergeurs avaient, jusqu’alors, le temps d’analyser et de refuser.

En conséquence, le II de l’article 1er de la loi déférée porte une atteinte manifestement disproportionnée au droit à la liberté d’expression.

III. Sur l’augmentation des sanctions pénales

L’article 6 de la loi déférée fait passer de 75 000 euros à 250 000 euros le montant de l’amende prévue au 1 du VI de l’article 6 de la LCEN et qui sanctionne les fournisseurs d’accès à Internet et les hébergeurs qui ne conservent pas pendant un an les données de connexion de l’ensemble de leurs utilisateurs.

Aucun élément n’a été avancé pour justifier une telle augmentation. Au contraire, l’actualité jurisprudentielle européenne aurait dû entraîner la disparition de cette sanction. Comme La Quadrature du Net a déjà eu l’occasion de l’exposer au Conseil constitutionnel, la Cour de justice de l’Union européenne a, dans son arrêt Tele2 du 21 décembre 2016, déclaré qu’une telle mesure de conservation généralisée est contraire à la Charte des droits fondamentaux de l’Union.

En conséquence, l’article 6 de la loi déférée est contraire à la Constitution en ce qu’il augmente le montant d’une amende pénale sans que cette augmentation ne soit nécessaire à la poursuite d’aucun objectif légitime.

**

Pour ces motifs, les associations La Quadrature du Net et Franciliens.net estiment que les articles 1er et 6 de la loi visant à lutter contre les contenus haineux sur internet sont contraires à la Constitution.

Nous vous prions de croire, Monsieur le président, Mesdames et Messieurs les membres du Conseil constitutionnel, l’assurance de notre plus haute et respectueuse considération.

References   [ + ]

1. « Le contrôle de proportionnalité exercé par le Conseil constitutionnel », Valérie Goesel-Le Bihan, Cahier du Conseil constitutionnel, n° 22 (juin 2007), https://www.conseil-constitutionnel.fr/nouveaux-cahiers-du-conseil-constitutionnel/le-controle-de-proportionnalite-exerce-par-le-conseil-constitutionnel
2. « Update on New Zealand », Facebook Newsroom, 18 mars 2019, https://newsroom.fb.com/news/2019/03/update-on-new-zealand
3. Valérie Goesel-Le Bihan,op. cit.
4. Les Jeunes et l’extrémisme violent dans les médias sociaux : inventaire des recherches, 2018, https://unesdoc.unesco.org/ark:/48223/pf0000261841
5. Damien Leloup, « Paris, Bruxelles, Toulouse… la radicalisation des terroristes n’a pas eu lieu sur le Web », Le Monde, 12 janvier 2015, https://www.lemonde.fr/pixels/article/2015/01/12/paris-bruxelles-toulouse-la-radicalisation-des-terroristes-n-a-pas-eu-lieu-sur-le-web_4554384_4408996.html
6. Cour d’appel de Bordeaux, civ. 1ere, sect. B, 10 mai 2012, Krim K. c. Amen SAS et Pierre G., n° 11/01429
7. Valérie Goesel-Le Bihan, op. cit.
8. Voir le communiqué du ministère de l’Intérieur : https://www.interieur.gouv.fr/Archives/Archives-des-communiques-de-presse/2016-Communiques/Redirection-vers-la-page-de-blocage-des-sites-terroristes-pour-les-clients-de-l-operateur-orange
9. Alexandre Linden, Rapport d’activité 2018 de la personnalité qualifiée, CNIL, 27 mai 2019, https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_blocage_2018_web.pdf
10. TA Cergy-Pontoise, 4 févr. 2019, n° 1801344, 1801346, 1801348 et 1801352
11. Voir l’amendement n° 157 : https://www.europarl.europa.eu/doceo/document/A-8-2019-0193-AM-156-157_FR.pdf
12. Voir les résultats du vote, page 17, à propos de l’amendement n° 157 : http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+PV+20190417+RES-VOT+DOC+PDF+V0//FR&language=FR
13. Voir article 17, §1, du texte adopté par le Parlement européen : https://www.europarl.europa.eu/doceo/document/TA-8-2019-0421_FR.html
14. http://www.assemblee-nationale.fr/15/textes/2488.asp#D_Article_16

Hadopi, une victoire de façade ?

Wed, 20 May 2020 14:02:21 +0000 - (source)

Mise à jour, 20 mai 20h : Avec le recul de l’analyse juridique minutieuse – incompatible avec la pression de l’urgence médiatique – cette décision pourrait constituer une victoire nettement plus modeste.

La censure prononcée par le Conseil constitutionnel nous a conduit à penser, dans le feu de l’action, à une victoire décisive que l’on espérait. Toutefois, malgré la restriction du champ des données de connexion accessibles à la HADOPI – qui reste une victoire -, une lecture plus attentive nous amène à penser que demeure une interprétation selon laquelle son activité devrait pouvoir persister. C’est cette interprétation possible que nous avons échoué à déceler dans l’urgence – nous remercions les personnes qui ont pu nous la signaler.

Ce recours devant le Conseil constitutionnel venait se greffer sur un contentieux au temps plus long, dont une autre partie est actuellement en cours notamment devant le Conseil d’État. D’autres aspects du dispositif de riposte graduée demeurent très critiquables. Nous allons désormais nous y attaquer.

Nous présentons nos sincères excuses à celles et ceux qui se sont réjouis trop vite à la lecture de notre communiqué enthousiaste. Nous avons lu la décision sous le prisme de notre préjugé et l’enthousiasme a limité notre regard critique sur ses détails. Nous présentons nos excuses pour cette fausse joie, il y a bien une censure de morceaux du dispositif, mais nous avons encore certains doutes parmi nous sur l’enchevêtrement de différents éléments du dispositifs et allons avoir besoin d’un temps de recul pour fournir une analyse finale de cette décision. Nous allons prendre le temps de faire cela correctement. Le débat consiste à savoir quelle portée a l’alinéa 3, censuré, de l’article L. 331-21 du code de la propriété intellectuelle. À lire l’exposé des motifs de la loi Hadopi de la loi Hadopi en 2008, plusieurs lectures paraissent possibles. On reviendra vers vous pour donner notre lecture en présentant à nouveau nos excuses pour cet enthousiasme prématuré et nous allons tâcher de redoubler d’efforts pour obtenir vraiment cette victoire.

Le Conseil constitutionnel vient de répondre à la question prioritaire de constitutionnalité transmise le 12 février 2020 par La Quadrature du Net, FDN, FFDN et Franciliens.net (lire la décision). Il déclare contraire à la Constitution les pouvoirs que la loi a donné à la HADOPI pour identifier les personnes qui partagent des œuvres sur Internet, par exemple en identifiant les adresses IP connectées à divers flux BitTorrent. Ces pouvoirs prendront fin à la fin de l’année

La décision d’aujourd’hui n’a rien de surprenant : elle s’inscrit dans la continuité d’une jurisprudence déployée depuis cinq ans par le Conseil constitutionnel, en parallèle de la Cour de justice de l’Union européenne (relire l’explication détaillée de notre action). Cette jurisprudence tend à replacer l’autorité judiciaire dans son rôle de contrôle préalable de l’administration, notamment quand il s’agit de lever l’anonymat des internautes. Or, la raison d’être de la HADOPI était précisément de contourner la justice afin de surveiller le plus plus grand nombre d’internautes et de les dissuader de partager des œuvres en ligne. Puisqu’il lui est enfin imposée de passer par la justice, la raison d’être de la HADOPI disparait. Nul doute que son budget annuel de 10 millions d’euros sera utile ailleurs.

Le projet de loi audiovisuelle, débattu depuis quelques mois par le Parlement, prévoyait déjà de supprimer la HADOPI. Mais il prévoit aussi de transmettre ses missions au CSA. La stratégie de notre action contentieuse consistait à attendre ce moment pour inciter le Parlement, au moment de supprimer la HADOPI, à ne pas perpétuer des missions dont l’incompatibilité à la Constitution a été aujourd’hui reconnue.

Il s’agit de l’aboutissement de 10 ans de lutte pour La Quadrature du Net. Si nous avons été nombreuses à nous moquer, avant son adoption, de l’inutilité de la HADOPI, il ne faut pas minimiser la nocivité qu’aura eu son action en 10 années. Elle aura vivement dissuadé la population de recourir à la pratique vertueuse, libre et décentralisée qu’est le partage d’œuvres de pair à pair. Au contraire, la HADOPI aura forcé nombre d’internautes dans les bras d’une poignée de méga-plateformes, licites ou non, qui auront centralisé les échanges culturels en quelques points dominants. Cette centralisation aura surtout permis à ces méga-plateformes d’imposer leurs conditions aux artistes. Au final, à part ces plateformes, tout le monde – internautes, artistes, etc. – aura perdu au change.

Nous espérons que la victoire d’aujourd’hui sera un pas de plus vers la décentralisation du Net et le libre partage de la culture, accessible à toutes et à tous sans condition de richesse.


Les goélands abattent leur premier drone

Mon, 18 May 2020 10:33:31 +0000 - (source)

Suite à notre recours, l’ordonnance du Conseil d’État est une victoire historique contre la surveillance par drone. La décision reconnaît l’illégalité de tout drone qui, volant suffisamment bas et étant équipé de caméra, permet à la police de détecter des individus, que ce soit par leurs habits ou un signe distinctif.

D’après le Conseil d’État, cette illégalité ne saurait être corrigée que par un arrêté ministériel pris après avis de la CNIL. Dans l’attente d’un tel arrêté, que nous recevrons de pied ferme, la police devra maintenir au sol la grande majorité de ses drones dans l’ensemble du pays. En effet, l’ordonnance d’aujourd’hui concerne le déploiement de drones pour lutter contre le virus et on peut douter que les autres drones de la police soient déployés pour un motif plus impérieux — qui permettraient de se passer d’un arrêté.

D’autres outils de la Technopolice restent sans cadre juridique et continuent pourtant de se déployer : vidéosurveillance automatisée, capteurs sonores, police prédictive… Une telle décision nous encourage à continuer nos combats.


EDRi demande l’interdiction de la surveillance biométrique

Thu, 14 May 2020 15:40:46 +0000 - (source)

L’association internationale EDRi, soutenue par La Quadrature du Net, lance une campagne européenne pour faire interdire la reconnaissance faciale et plus généralement la surveillance de masse biométrique. Nous publions la traduction du communiqué de lancement.

À travers toute l’Europe, des technologies de reconnaissance faciale et d’identification biométrique, intrusives et violant les droits, se répandent discrètement dans les espaces publics. Comme la Commission européenne consulte le public à ce sujet, EDRI appelle les États membres de l’UE à garantir que de telles technologies soient totalement interdites, à la fois dans la loi et dans la pratique.

Circulez, y a rien à voir…

À la fin de l’année 2019, au moins 15 pays européens ont expérimenté des technologies de surveillance de masse utilisant l’identification biométrique, comme la reconnaissance faciale. Ces technologies sont conçues pour surveiller, suivre et analyser les individus, pour les noter et les juger dans leur vie quotidienne.
Pire, plusieurs gouvernements l’ont fait en collaboration avec des entreprises technologiques secrètes, en l’absence de débat public et sans avoir démontré que ces systèmes respectent les critères les plus élémentaires de responsabilité, de nécessité, de proportionnalité, de légitimité, de légalité ou de sécurité.

Quelques milliers de caméras pour les gouverner tous

Sans la vie privée, vous n’avez plus de conversations privées avec vos ami·es, votre famille, votre supérieur ou même votre docteur. Votre militantisme et votreengagement pour sauver la planète sont connus de tous et toutes. Si vous lancez l’alerte pour dénoncer un fait d’exploitation ou de corruption, ou si vous assistez à une manifestation politique qui déplaît à votre gouvernement, on peut vous retrouver. Vous perdez de fait le droit d’assister à une cérémonie religieuse ou à une réunion syndicale sans qu’on garde un œil sur vous, le droit d’étreindre votre partenaire sans que quelqu’un vous regarde, le droit de flâner librement sans que quelqu’un puisse trouver ça louche.

La surveillance de masse permanente supprime le droit d’être réellement seul et instaure l’obligation d’être constamment surveillé et contrôlé.

COVID-1984 ?

Les débats autour de la pandémie de coronavirus ont vu naître des idées d’applications et d’autres propositions pour étendre rapidement les systèmes de surveillance, sous couvert de santé publique. Le risque est considérable que les dégâts causés par cet élargissement des mesures de surveillance survivent à l’épidémie. On peut se demander, par exemple, si les employeurs enlèveront les caméras thermiques des bureaux une fois la pandémie passée.

Les systèmes de surveillance biométriques exacerbent les inégalités structurelles, accélèrent la création de fichiers et de « profilages » illégaux, ont un effet intimidant sur les libertés d’expression et de réunion, et limitent les capacités de chacun·e à participer à des activités sociales publiques.

Fanny Hidvegi, responsable de la politique européenne à Access Now, insiste sur ce point :

« Les droits humains s’appliquent en temps de crise et d’urgence. On ne doit pas avoir à choisir entre la vie privée et la santé : protéger les droits numériques favorise la santé publique. La suspension des droits à la protection des données en Hongrie est la preuve que l’UE doit renforcer la protection des droits fondamentaux. »

La surveillance biométrique : une architecture d’oppression

Se présentant comme une « architecture d’oppression », la capture et le traitement non ciblé de données biométriques sensibles permet aux gouvernements et aux entreprises d’enregistrer en permanence et en détail qui vous rencontrez, où vous allez, ce que vous faites. Cela leur permet aussi d’utiliser ces informations contre vous — que ce soit par les pouvoirs publics pour faire appliquer la loi ou à des fins commerciales. Une fois ces enregistrements reliés à nos visages et corps, il n’y a plus de retour possible, nous sommes marqués au fer rouge. Il ne peut y avoir de place pour de telles pratiques dans une société démocratique.

Ioannis Kouvakas, juriste chez Privacy International (PI), membre d’EDRi met en garde :

« L’introduction de la reconnaissance faciale dans les villes est une idée extrémiste et dystopique qui menace explicitement nos libertés et pose des questions fondamentales sur le type de société dans laquelle nous voulons vivre. En tant que technique de surveillance très intrusive, elle offre aux autorités de nouvelles opportunités de s’en prendre à la démocratie sous prétexte de la défendre. Nous devons interdire son déploiement dès maintenant et de manière définitive avant qu’il ne soit trop tard. »

EDRi demande donc une interdiction immédiate et permanente de la surveillance de masse biométrique dans l’Union européenne.

La surveillance de masse biométrique est illégale

Cette interdiction est fondée sur les droits et protections consacrés par la Charte des droits fondamentaux de l’Union européenne, le Règlement général sur la protection des données (RGPD) et la Directive Police Justice. Ensemble, ces textes garantissent aux résidents de l’UE de vivre sans la crainte d’un traitement arbitraire ou d’un abus de pouvoir, et le respect de leur autonomie. La surveillance de masse biométrique constitue une violation de l’essence de ces textes et une violation du cœur même des droits fondamentaux de l’UE.

Une fois que des systèmes qui normalisent et légitiment la surveillance constante de tout le monde sont en place, nos sociétés glissent vers l’autoritarisme. L’UE doit donc veiller, par des moyens notamment législatifs, à ce que la surveillance de masse biométrique soit totalement interdite en droit et en pratique. Lotte Houwing, conseillère politique chez Bits of Freedom (BoF), membre d’EDRi, déclare :

« Les mesures que nous prenons aujourd’hui façonnent le monde de demain. Il est de la plus haute importance que nous gardions cela à l’esprit et que nous ne laissions pas la crise du COVID-19 nous faire sombrer dans un état de surveillance (de masse). La surveillance n’est pas un médicament. »

L’UE réglemente tout, des médicaments aux jouets pour enfants. Il est inimaginable qu’un médicament dont l’efficacité n’a pas été prouvée ou un jouet présentant des risques importants pour la santé des enfants soient autorisés sur le marché. Cependant, en ce qui concerne la captation et le traitement des données biométriques, en particulier à la volée dans les espaces publics, l’UE a été un foyer pour les expérimentations illégales. D’après une étude de 2020, plus de 80% des Européens sont pourtant opposés aux partages de leurs données faciales avec les autorités.

EDRi appelle la Commission européenne, le Parlement européen et les États membres à respecter leurs valeurs et à protéger nos sociétés en interdisant la surveillance de masse biométrique. S’ils s’y refusent, nous augmentons nos chances de voir naître une dystopie numérique incontrôlable.


Vote final de la « loi haine »

Mon, 11 May 2020 12:38:47 +0000 - (source)

Mise à jour : tel que redouté, la loi a été adoptée dans sa pire version.

L’urgence de LREM est de donner à la police de nouveaux pouvoirs pour lutter contre le « terrorisme » sur Internet. L’Assemblée nationale votera le 13 mai 2020 la proposition de loi de Laetitia Avia qui, initialement présentée comme une loi « contre la haine », s’est transformée en janvier dernier en une loi « antiterroriste », telle qu’on en connait depuis des années, de plus en plus éloignée du principe de séparation des pouvoirs. Mercredi sera la dernière chance pour les député·es de rejeter cette dérive inadmissible.

Pour rappel, la proposition de loi initiale demandait aux très grandes plateformes (Facebook, Youtube, Twitter…) de censurer en 24h certains contenus illicites, tels que des contenus « haineux » signalés par le public ou la police. Pour une large partie, ces obligations seront inapplicables et inutiles, Laetitia Avia ayant systématiquement refusé de s’en prendre à la racine du problème – le modèle économique des géants du Web – en dépit de nos propositions, reprises par tous les bords du Parlement.

L’histoire aurait pu en rester à ce coup d’épée dans l’eau si le gouvernement n’avait pas saisi l’occasion pour pousser sa politique sécuritaire. Le 21 janvier, alors que la loi était examinée une deuxième fois par une Assemblée presque vide, le gouvernement a fait adopter un amendement de dernier minute renversant toute la situation.

Une nouvelle obligation vient éclipser le reste de la loi, ajoutée au paragraphe I de son article 1. Elle exige que tous les sites Web (pas uniquement les plateformes géantes) censurent en 1h (pas en 24h) les contenus signalés par la police comme relevant du « terrorisme » (sans que cette qualification ne soit donnée par un juge, mais par la police seule). Si le site ne censure par le contenu (par exemple car le signalement est envoyé un week-end ou pendant la nuit) la police peut exiger son blocage partout en France par les fournisseurs d’accès à Internet (Orange, SFR…).

La séparation des pouvoirs est entièrement écartée : c’est la police qui décide des critères pour censurer un site (en droit, la notion de « terrorisme » est suffisamment large pour lui donner un large pouvoir discrétionnaire, par exemple contre des manifestants) ; c’est la police qui juge si un site doit être censuré ; c’est la police qui exécute la sanction contre le site. Le juge est entièrement absent de toute la chaîne qui mène à la censure du site.

Le 26 février, le Sénat avait supprimé cette nouvelle disposition. Le texte revient mercredi pour une toute dernière lecture par l’Assemblée nationale, qui aura le dernier mot. Il est indispensable que les député·es suppriment l’article 1, paragraphe I de cette loi, qui permet à la police d’abuser de son pouvoir pour censurer le Web à des fins politiques – en cherchant à censurer les attaques contre le Président ou contre la police, comme elle le fait déjà.

Appelons les député·es sur cette page pour qu’ils rejettent ce texte.


Nous attaquons les drones de la police parisienne

Mon, 04 May 2020 08:56:06 +0000 - (source)

Mise à jour du 5 mai à 21h : dans une première décision, le tribunal administratif de Paris rejette notre recours. Il n’aborde aucun de nos arguments, se contentant d’un débat hors-propos sur la présence ou non de données personnelles. La Quadrature du Net a décidé de faire appel pour obtenir dans les prochains jours une décision du Conseil d’État avec qui nous espérons avoir un débat plus constructif.

La Quadrature du Net et la Ligue des Droits de l’Homme viennent de déposer un recours en urgence contre le déploiement de drones par la préfecture de police de Paris. Depuis le début du confinement et un peu partout en France, la police prétend se faire assister de drones pour lutter contre les infractions. Pourtant, puisqu’ils sont déployés en l’absence de tout cadre légal spécifique et adapté, ce sont eux qui violent la loi et nos libertés. Nous espérons qu’une victoire à Paris aura des effets dans tout le pays..

Depuis le début du confinement, la police et la gendarmerie utilisent de façon massive et inédite les drones pour surveiller la population et faire appliquer les règles du confinement : diffusion des consignes par haut-parleurs ainsi que surveillance par vidéo pour repérer les contrevenants, guider les patrouilles au sol et filmer les personnes échappant à la police pour mieux les sanctionner après.

Le déploiement de ces drones, déjà utilisés notamment pour la surveillance des manifestations, ne fait que s’amplifier avec la crise sanitaire. En avril, le ministère de l’Intérieur a par ailleurs publié un appel d’offres portant sur l’acquisition de plus de 650 nouveaux drones pour plus que doubler sa flotte. Selon un rapport sénatorial, entre le 24 mars et le 24 avril, la police nationale a déclenché 535 vols de drones dont 251 de surveillance.

Ce déploiement, en plus d’augmenter de manière inédite les capacités de surveillance de la police, se fait en l’absence de tout cadre légal spécifique quant à l’utilisation des images filmées. Aucun texte ne prévoit un délai de suppression pour ces images ou n’en limite l’accès aux seuls agents de la préfecture pour une mission de police identifiée. D’ailleurs, dans un premier temps, cette absence de texte nous a empêchés d’attaquer les drones.

Heureusement, la publication par Mediapart le 25 avril dernier, dans un article de Clément Le Foll et Clément Pouré, de deux documents issus du service de communication de la préfecture de police de Paris a apporté plusieurs éléments concrets nous permettant d’agir en justice. La préfecture y reconnait notamment qu’il n’existe aucun cadre juridique spécifique pour les images captées par les drones, et cela alors qu’ils sont équipés de caméras haute-résolution permettant « la captation, la transmission et l’enregistrement des images » ainsi que « l’identification d’un individu ».

Nous avons déposé samedi un référé-liberté devant le tribunal administratif de Paris pour lui demander de faire cesser immédiatement ce dispositif illégal. Notre recours est notamment fondé sur l’absence de cadre légal spécifique, qui implique de multiples atteintes au droit à la vie privée (absence d’information des personnes filmées ou de délai de conservation de ces images…), et la disproportion de ce dispositif. Il est enfin évident qu’en cas de victoire, les principes d’une telle décision devront être respectés par l’ensemble de la police et de la gendarmerie, partout en France, et pas seulement par la préfecture de police de Paris.

Si la police comptait profiter de la crise sanitaire pour tester ses nouveaux gadgets, elle s’est trompée. Nous sommes là pour la ramener à la froide réalité des choses : ce n’est pas elle qui fait la loi.


Crise sanitaire : la Technopolice envahit l’université

Thu, 30 Apr 2020 08:41:37 +0000 - (source)

Dans le contexte de la pandémie, le gouvernement recommande officiellement aux établissements d’enseignement supérieur la télésurveillance des examens à l’aide de dispositifs invasifs, discriminants et manifestement illégaux : reconnaissance faciale, vidéosurveillance par webcam et smartphone, détection de bruits suspects… Ou quand la Technopolice envahit l’enseignement. Ces dispositifs doivent être rejetés dès maintenant

En mars 2020, le ministère de l’Enseignement supérieur a publié un « plan de continuité pédagogique » composé de plusieurs fiches visant à accompagner les établissements dans le contexte de la pandémie (et depuis régulièrement mis à jour). La fiche n°6 « Évaluer et surveiller à distance » indique que « les examens écrits nécessitent une télé-surveillance particulière qui permet de vérifier l’identité de l’étudiant et d’éviter les fraudes. Ils nécessitent donc un recours à des services de télésurveillance ». Le document recommande ensuite aux établissements une liste de fournisseurs de services « qui ont l’habitude de travailler avec des établissements d’enseignement supérieur ».

Cette liste, qui est donc une recommandation officielle du gouvernement, fait la promotion d’outils de surveillance extrêmement invasifs, dangereux et profondément discriminants. Au programme : reconnaissance faciale, vidéosurveillance continue avec analyse comportementale (par utilisation simultanée de la webcam et du smartphone), voire détection sonore de bruits suspects.

Enseignement technopolisé

Commençons par une rapide présentation des pires solutions envisagées :

Managexam propose des solutions de surveillance audio et vidéo, avec « prise de photos fréquentes, régulières ou aléatoires » ou « vidéo captée en continue ». Sur son site, l’entreprise promet de repérer « automatiquement les anomalies pouvant survenir dans la session d’évaluation grâce à une recherche et une classification visuelle de l’environnement des candidats » ;

– C’est le cas également pour Proctorexam, qui propose une « technologie avec deux prises de vues simultanées sur l’étudiant (webcam+appli smartphone) » et Evalbox, qui propose « des algorithmes d’analyse comportementale pour détecter les comportements suspicieux » ;

TestWe, solution qui revient souvent dans les média, offre un système de photographie de la carte d’étudiant ou d’identité par webcam « pour vérifier que la bonne personne est en face de l’écran ». Son PDG, Benoît Sillard, se vante également de mettre « en place actuellement un système à double caméras, celle de l’ordinateur qui filme par l’avant, et celle de votre smartphone qui filme l’ensemble de la pièce, pour vérifier qu’il n’y a pas un deuxième ordinateur ou quelqu’un en train de vous souffler » ;

– et enfin Smowl qui « utilise un algorithme de reconnaissance automatique des visages pour vérifier l’identité de l’utilisateur en ligne et un système qui détecte les comportements incorrects ».

Ces services ne sont malheureusement pas nouveaux et sont déjà utilisés par plusieurs établissements. Selon le document du ministère, c’est notamment le cas de l’Université de Caen-Normandie depuis 2017 et de Sorbonne Université (même s’il est difficile de connaître exactement la solution mise en place). Le contexte de la pandémie provoque une démultiplication leur utilisation et plus de 50 universités et écoles seraient en train d’envisager ce type de procédés.

Surveillance et discrimination

Ces dispositifs sont pourtant profondément intrusifs : ces logiciels bloquent les ordinateur des étudiant.es, déclenchent une double surveillance obligatoire de la webcam et de la caméra du téléphone et nécessitent quelquefois un enregistrement sonore. Mais il est également nécessaire de prendre en compte les profondes discriminations que ces outils risquent d’entraîner, notamment pour les étudiant·es n’ayant pas l’équipement adapté, ou un environnement propice à ce genre d’examens (la surveillance visuelle et sonore nécessite un lieu à soi, sans bruits, etc.).

Ce sont bien ces mêmes arguments qui ont déjà été soulevés par le journal Le Poing (à ne pas confondre avec Le Point) qui souligne le « protocole aussi kafkaïen qu’orwellien, intrusif pour sa vie privée, et lourd de contrainte, en particulier pour les étudiants précaires » et le SNESUP-FSU (syndicat d’enseignement supérieur) qui dénonce ces dispositifs en considérant justement que « la plus grande liberté laissée aux établissements d’une dématérialisation complète des examens pouvant faire appel à de la télésurveillance, outre qu’elle se heurte à des problèmes techniques souvent insurmontables, facilite la réalisation par les établissements d’un suivi individualisé des enseignant·es, au mépris de leur liberté pédagogique, et accentue potentiellement l’inégalité des étudiant·es ».

Illégalités manifestes

Il est encore plus étonnant de voir le gouvernement recommander des solutions aussi manifestement illégales. Car en ce qui concerne le système de reconnaissance faciale ou d’enregistrement sonore d’une voix en particulier, l’article 9 du règlement général sur la protection des données (RGPD) interdit tout traitement de données biométriques « aux fins d’identifier une personne physique de manière unique » – ce qui est bien le cas ici. Et si cette interdiction de principe souffre quelques exceptions, aucune d’elle ne permet d’autoriser ce type d’outils (et sûrement pas le « consentement » de l’élève, qui doit être libre, c’est-à-dire non contraint…).

De manière générale, outre que personne ne devrait être forcé à une surveillance constante par sa webcam ou son téléphone, les solutions décrites ci-dessus ne sont en aucun cas « adéquates, pertinentes et limitées à ce qui est nécessaire » comme le recommande pourtant le RGPD (article 5) – Nous ne voyons pas ici quel objectif rendrait licite une surveillance d’une telle intensité. Ce qui rend la plupart de ces dispositifs simplement illégaux.

Voir le gouvernement recommander de telles solutions illustre sa fuite systématique vers la surveillance numérique. Fuite que nous appelons les établissements d’enseignement à ne pas suivre en renonçant à ces dispositifs invasifs

Recommander ces méthodes est d’autant plus dommageable que des alternatives existent, comme l’annulation ou le report des examens, ou plus simplement le passage d’une évaluation en contrôle terminal à une évaluation en contrôle continu. Mieux encore : cette situation inédite peut être l’occasion de préférer de véritables innovations pédagogiques à de pseudo-innovations techniques. Plutôt que de fonder l’évaluation sur la crainte de la triche, il serait ainsi possible d’évaluer élèves et étudiant·e·s sur leurs compétences, d’aménager individuellement les évaluations, ou de recourir à l’auto-évaluation supervisée.


Que penser du protocole de traçage des GAFAM ?

Wed, 29 Apr 2020 15:58:40 +0000 - (source)

Tribune de Guinness, doctorante en informatique et membre de La Quadrature du Net

À l’heure où toutes les puissances de la planète se mettent à réfléchir à des solutions de traçage de contact (contact tracing), les GAFAM sautent sur l’occasion et Apple et Google proposent leur propre protocole.
On peut donc se poser quelques minutes et regarder, analyser, chercher, et trouver les avantages et les inconvénients de ce protocole par rapport à ses deux grands concurrents, NTC et DP-3T, qui sont similaires.

Commençons par résumer le fonctionnement de ce protocole. Je me base sur les documents publiés sur le site de la grande pomme. Comme ses concurrents, il utilise le Bluetooth ainsi qu’un serveur dont le rôle est de recevoir les signalements de personnes infecté·es, et de communiquer aux utilisateurices de l’application les listes des personnes infectées par SARS-Cov2 qu’elles auraient pu croiser.

Mais commençons par le début.

Le protocole utilisant de nombreux protocoles et fonctions cryptographiques, et étant assez long, je ne vais pas l’expliquer en détail, et si vous voulez plus d’informations, vous pouvez vous référer à la note en bas de page.1L’application commence par générer un identifiant unique de 256 bits. Suffisamment long pour qu’il n’y ait pas de risque de collisions (deux personnes qui génèrent par hasard – ou non – le même identifiant), et ce même si toute la population terrestre utilisait l’application. Cet identifiant est appelé Tracing Key.
Puis, chaque jour, un identifiant pour la journée (appelé Daily Tracing Key) est calculé à partir de la Tracing Key. Pour ce faire, on utilise la fonction à sens unique HKDF, qui permet à partir de paramètres d’entrée de générer une clef unique et à partir de laquelle il est impossible en pratique de remonter aux informations d’origine. Dans notre cas, les paramètres d’entrée sont la Tracing Key et le numéro du jour courant, ce qui nous permet de calculer une clef journalière de 128 bits.
Pour la dernière étape, le protocole dérive un nouvel identifiant, celui qui sera communiqué via Bluetooth aux autres utilisateurices de l’application: le Rolling Proximity Identifier (RPI) un « identifiant de proximité continu » au sens où celui-ci change constamment. Il est recalculé toutes les 15 minutes, chaque fois que l’adresse physique de la puce Bluetooth change et on stocke un nombre appelé TINj qui augmente de 1 toutes les 15 minutes de même que j ; à la différence que j est réinitialisé chaque jour. On utilise pour calculer la RPI la fonction HMAC, une autre fonction à sens unique, qui utilise comme paramètres la Daily Tracing Key du jour courant ainsi que le TINj du quart d’heure en cours.
Finalement, la partie intéressante : que se passe-t-il lorsqu’une personne est déclarée infectée ?
L’application crée une clef de diagnostic, qui n’a ici aucune fonction cryptographique : on envoie les dernières 14 Daily Tracing Keys, ainsi que les numéros des jours associés, puis on continue chaque jour d’envoyer les 14 dernières Daily Tracing Keys ainsi que le jour associé (voir ce PDF au paragraphe §CTSelfTracingInfoRequest) . Cette clef est ensuite envoyée sur un serveur qui stocke toutes les clefs de diagnostic.
Par ailleurs, de manière fréquente, les client·es récupèrent la liste des clefs de diagnostic, utilisent ces clefs pour recalculer tous les RPI, et voir si dans la liste des personnes croisées, on retrouve un de ces RPI. Si c’est le cas, on prévient l’utilisateurice.

Pour faire simple, on génère initialement une clef (Tracing Key ou TK), qu’on utilise chaque jour pour calculer une nouvelle clef (Daily Tracing Key ou DTK), qu’on utilise elle-même toutes les 15 minutes pour calculer une troisième clef (Rolling Proximity Identifier ou RPI), qu’on va appeler la «clef roulante de proximité», qui sera diffusée avec le Bluetooth.
Ce qu’il faut retenir, c’est que l’identifiant qui est diffusé via le Bluetooth change toutes les 15 minutes, et qu’il est impossible en pratique de déduire l’identité d’une personne en ne connaissant que cet identifiant ou plusieurs de ces identifiants.

Par ailleurs, si on se déclare comme malade, on envoie au serveur central la liste des paires (DTK, jour de création de la DTK) des 14 derniers jours, et de même pendant les 14 jours suivants. Cet ensemble forme ce qu’on appelle la clef de diagnostic.

Cryptographie

D’un point de vue cryptographique, tous les spécialistes du domaine (Anne Canteaut, Leo Colisson et d’autres personnes, chercheureuses au LIP6, Sorbonne Université) avec lesquels j’ai eu l’occasion de parler sont d’accord : les algorithmes utilisés sont bien connus et éprouvés. Pour les spécialistes du domaine, la documentation sur la partie cryptographique explique l’utilisation des méthodes HMAC et HKDF avec l’algorithme de hashage SHA256. Les clefs sont toutes de taille suffisante pour qu’on ne puisse pas toutes les générer en les pré-calculant en créant une table de correspondance également appelée « Rainbow table » qui permettrait de remonter aux Tracing Keys . L’attaque envisagée ici consiste à générer le plus de TK possibles, leurs DTK correspondantes et lorsque des DTK sont révélées sur quelques jours, utiliser la table de correspondance pré-calculée pour remonter à la TK.

On peut faire un gros reproche cependant : la non-utilisation de sel (une chaîne de caractères aléatoires, différente pour chaque personne et définie une fois pour toutes, qu’on ajoute aux données qu’on hashe) lors de l’appel à HMAC pour générer les DTK, ce qui est une aberration, et pire encore, aucune justification n’est donnée par Apple et Google.

Respect de la vie privée et traçage

Quand on écrit un protocole cryptographique, selon Apple et Google « with user privacy and security central to the design » (Traduction : « avec le respect de la vie privée de l’utilisateurice et la sécurité au centre de la conception »), on est en droit de chercher tous les moyens possibles de récupérer un peu d’information, de tracer les utilisateurices, de savoir qui iels sont.

Premier problème : La quantité de calcul demandée aux clients

À chaque fois que le téléphone du client récupère la liste des clefs de diagnostic des personnes déclarées malades, il doit calculer tous les RPI (96 par jour, faites moi confiance c’est dans le protocole, 96 * 15 min = 24 h) de toutes les clefs pour tous les jours. On peut imaginer ne récupérer que les nouvelles données chaque jour, mais ce n’est pas spécifié dans le protocole. Ainsi, au vu de la quantité de personnes infectées chaque jour, on va vite se retrouver à court de puissance de calcul dans le téléphone. On peut même s’imaginer faire des attaques par DoS (déni de service) en insérant de très nombreuses clefs de diagnostic dans le serveur pour bloquer les téléphones des utilisateurices.

En effet, quand on se déclare positif, il n’y a pas d’information ajoutée, pas d’autorité qui assure que la personne a bien été infectée, ce qui permet à tout le monde de se déclarer positif, en faisant l’hypothèse que la population jouera le jeu et ne se déclarera positive que si elle l’est vraiment.

Deuxième problème : Le serveur principal

Un design utilisant un serveur centralisé (possédé ici par Apple et Google), qui a donc accès aux adresses IP et d’autres informations de la part du client gagne beaucoup d’informations : il sait retrouver quel client est infecté, avoir son nom, ses informations personnelles, c’est-à-dire connaître parfaitement la personne infectée, quitte à revendre les données ou de l’espace publicitaire ciblé pour cette personne. Comment cela se passe-t-il ? Avec ses pisteurs embarqués dans plus de 45% des applications testées par Exodus Privacy, pisteurs qui partagent des informations privées, et qui vont utiliser la même adresse IP, Google va pouvoir par exemple recouper toutes ces informations avec l’adresse IP pour savoir à qui appartient quelle adresse IP à ce moment.

Troisième problème : Traçage et publicité

Lorsqu’on est infecté⋅e, on révèle ses DTK, donc tous les RPI passés. On peut donc corréler les partages de RPI passés avec d’autres informations qu’on a.

Pour aller plus loin, nous avons besoin d’introduire deux notions : celle d’adversaire actif, et celle d’adversaire passif. L’adversaire actif tente de gagner activement de l’information, en essayant de casser de la cryptographie, de récupérer des clefs, des identifiants. Nous avons vu précédemment qu’il a fort peu de chance d’y arriver.
L’adversaire passif quant à lui se contente de récupérer des RPIs, des adresses physiques de puces Bluetooth, et d’essayer de corréler ces informations.

Ce dernier type d’adversaire a existé et existe encore . Par exemple, la ville de Londres a longtemps équipé ses poubelles de puces WiFi, permettant de suivre à la trace les smartphones dans la ville. En France, l’entreprise Retency, ou encore les Aéroports de Paris font la même chose avec le Bluetooth. Ces entreprises ont donc des réseaux de capture de données, et se révéler comme positif à SARS-Cov2 permet alors à ces entreprises, qui auront capté les RPIs envoyés, de pister la personne, de corréler avec les données de la publicité ciblée afin d’identifier les personnes infectées et donc revendre des listes de personnes infectées.
On peut aussi imaginer des implémentations du protocole qui stockent des données en plus de celles demandées par le protocole, telles que la localisation GPS, ou qui envoient des données sensibles à un serveur tiers.

D’autres attaques existent, dans le cadre d’un adversaire malveillant, mais nous ne nous attarderons pas dessus ; un article publié il y a quelques jours (en anglais) les décrit très bien : https://eprint.iacr.org/2020/399.pdf.

Nous pouvons ainsi voir que, même si le protocole est annoncé comme ayant la sécurité et le respect de la vie privée en son centre, il n’est pas exempt de défauts, et il y a même, à mon avis, des choix techniques qui ont été faits qui peuvent permettre le traçage publicitaire même si on ne peut en prouver la volonté. Alors même que tous les pays du monde sont en crise, et devraient investir dans du matériel médical, dans du personnel, dans les hôpitaux, dans la recherche de traitements contre SARS-Cov2, ils préfèrent se tourner vers un solutionnisme technologique qui non seulement n’a aucune assurance de fonctionner, mais qui également demande que plus de 60 % de la population utilise l’application pour être efficace (voir cet article pour plus d’informations).
D’autant plus qu’une telle application ne peut être efficace qu’avec un dépistage massif de la population, ce que le gouvernement n’est actuellement pas en état de fournir (à raison de 700k tests par semaine, tel qu’annoncé par Édouard Philippe dans son allocution du 28 avril, il faudrait environ 2 ans pour dépister toute la population).

Pour plus d’informations sur les possibles attaques des protocoles de contact tracing, en particulier par des adversaires malveillants, je vous conseille l’excellent site risques-tracage.fr écrit par des chercheureuses INRIA spécialistes du domaine.

References   [ + ]

1. L’application commence par générer un identifiant unique de 256 bits. Suffisamment long pour qu’il n’y ait pas de risque de collisions (deux personnes qui génèrent par hasard – ou non – le même identifiant), et ce même si toute la population terrestre utilisait l’application. Cet identifiant est appelé Tracing Key.
Puis, chaque jour, un identifiant pour la journée (appelé Daily Tracing Key) est calculé à partir de la Tracing Key. Pour ce faire, on utilise la fonction à sens unique HKDF, qui permet à partir de paramètres d’entrée de générer une clef unique et à partir de laquelle il est impossible en pratique de remonter aux informations d’origine. Dans notre cas, les paramètres d’entrée sont la Tracing Key et le numéro du jour courant, ce qui nous permet de calculer une clef journalière de 128 bits.
Pour la dernière étape, le protocole dérive un nouvel identifiant, celui qui sera communiqué via Bluetooth aux autres utilisateurices de l’application: le Rolling Proximity Identifier (RPI) un « identifiant de proximité continu » au sens où celui-ci change constamment. Il est recalculé toutes les 15 minutes, chaque fois que l’adresse physique de la puce Bluetooth change et on stocke un nombre appelé TINj qui augmente de 1 toutes les 15 minutes de même que j ; à la différence que j est réinitialisé chaque jour. On utilise pour calculer la RPI la fonction HMAC, une autre fonction à sens unique, qui utilise comme paramètres la Daily Tracing Key du jour courant ainsi que le TINj du quart d’heure en cours.
Finalement, la partie intéressante : que se passe-t-il lorsqu’une personne est déclarée infectée ?
L’application crée une clef de diagnostic, qui n’a ici aucune fonction cryptographique : on envoie les dernières 14 Daily Tracing Keys, ainsi que les numéros des jours associés, puis on continue chaque jour d’envoyer les 14 dernières Daily Tracing Keys ainsi que le jour associé (voir ce PDF au paragraphe §CTSelfTracingInfoRequest) . Cette clef est ensuite envoyée sur un serveur qui stocke toutes les clefs de diagnostic.
Par ailleurs, de manière fréquente, les client·es récupèrent la liste des clefs de diagnostic, utilisent ces clefs pour recalculer tous les RPI, et voir si dans la liste des personnes croisées, on retrouve un de ces RPI. Si c’est le cas, on prévient l’utilisateurice.

Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles