Re: Veille des outils de répression

[nico37]

La France, championne d’Europe de la surveillance des télécommunications par Jean Marc Manach Le 11 mai 2011

Le taux d'élucidation du à la conservation des données de connexion (les "logs") ? 0,011%, selon la police allemande. Considérée comme une "atteinte massive à la vie privée", son utilisation pourrait être limitée.

Qui a téléphoné ou envoyé un mail à qui, quand, d’où, pendant combien de temps? Accéder au contenu des télécommunications, c’est bien, mais plutôt encadré, et donc compliqué à obtenir. Accéder au contenant de ces mêmes télécommunications, c’est beaucoup plus facile, et souvent tout aussi parlant.

La preuve : avec 514 813 demandes d’accès en 2009 aux données de trafic conservées par les opérateurs de téléphonie fixe ou mobile, et les
fournisseurs d’accès à l’internet, contre 503 437 en 2008, la France est championne d’Europe! Elle occupe la première place pour ce qui est de
l’exploitation des “logs“, également nommées “données de trafic“, ou “données de connexion“, encore plus intrusives que ne le sont les désormais célèbres “FaDet” (pour “factures détaillées“). Toutes ces demandes étant faites par des OPJ dans un cadre judiciaire.

Le Royaume-Uni arrive en seconde position, avec 470 222 demandes d’accès, loin devant la Lituanie (85 315), les Pays-Bas (85 000) ou encore l’Espagne (53 578), l’Allemagne n’en dénombrant de son côté “que” 12 684 (pour 81,5 millions d’habitants). Comme le soulignait ce matin Le Canard enchaîné, “en bonne logique, le territoire de nos voisins allemands devrait être livré à la terreur et à la dévastation“.

Ces chiffres de la Commission européenne, publiés en annexe du Rapport d’évaluation concernant la directive sur la conservation des données (.pdf), contrastent très fortement avec ceux dont on disposait jusqu’alors. Deux sources ont récemment livrés des estimations très inférieures :
Le Figaro soulignait ainsi récemment que le nombre d’écoutes téléphoniques était passé de 5 845 en 2001 à 35 000 aujourd’hui, mais qu’il n’y aurait eu “que 500 interceptions sur Internet alors que le besoin en France est dix fois supérieur“. La Commission nationale de contrôle des interceptions de sécurité (CNCIS) qui, en 2008 et pour les seules enquêtes relatives à l’antiterrorisme, avaient recensé 34 911 d’accès aux “données techniques” en 2008, et 39 070 en 2009.

Conclusion logique: 93% des demandes d’accès concernent donc des enquêtes autres que terroristes.

De la lutte antiterroriste aux atteintes à la propriété intellectuelle

C’est pourtant le terrorisme qui est à l’origine de cette législation. Le dispositif a été introduit, en France, suite aux attentats du 11 septembre 2001, afin d’obliger les fournisseurs d’accès à internet (FAI) à garder la trace, pendant un an, de tout ce que font les internautes sur les réseaux.

Adoptée en 2006 en réaction aux attentats de Madrid et de Londres, la directive sur la conservation des données a quant à elle élargi le dispositif à “la recherche, la détection et la poursuite d’infractions pénales graves“, ainsi qu’aux opérateurs de téléphonie et non plus seulement d’internet, afin de les “contraindre à conserver les données relatives au trafic et les données de localisation pendant une durée comprise entre six mois et deux ans“. Sont concernées les données mentionnant :

La source, la destination, la date, l’heure, la durée et le type de communication, ainsi que le matériel de communication des utilisateurs et, dans le cas de la téléphonie mobile, des données relatives à la localisation de l’équipement.

Cette directive constitue “sans aucun doute l’instrument le plus préjudiciable au respect de la vie privée jamais adopté par l’Union européenne eu égard à son ampleur et au nombre de personnes qu’elle touche“, a récemment déclaré (.pdf) le contrôleur européen à la protection des données, qui dénonce cet espionnage généralisé de nos télécommunications. Une situation qui pourrait changer, nombreux étant ceux qui, en Europe, plaident pour une révision de la directive.

Le rapport de la Commission relève à ce titre que “la plupart des États membres qui ont transposé la directive autorisent, dans leur législation,
l’accès aux données conservées et leur utilisation pour des finalités dépassant celles couvertes par la directive“. La France est ainsi le seul pays à préciser que la conservation des données vise tout à trac “la prévention d’actes de terrorisme et la protection de la propriété intellectuelle” :

Explication de la “limitation des finalités de la conservation des données dans le droit national”

A en croire le tableau comparatif de la Commission, la France est le seul pays à mentionner ainsi explicitement la “protection de la propriété
intellectuelle“. Les autres évoquent successivement:

“les missions des services de renseignement et de sécurité” (Belgique) de “lutte contre la corruption, de contre-espionnage et de renseignement militaires” (Pologne) les infractions “graves” (Chypre) “très graves” (Lituanie) “particulièrement graves” (Grèce) ou susceptibles d’une peine de prison d’au moins un (Luxembourg), deux (Hongrie) trois (Estonie) ou cinq ans (Irlande) ou encore la “sauvegarde de la sécurité de l’État et la préservation de la vie humaine” (Irlande)

La France est aussi le seul pays à avoir lancé la chasse aux “pirates” avec sa Hadopi… Objectif : identifier les sources des journalistes

Dans sa réponse à la Commission européenne, la France précise que les autorités nationales autorisées à accéder aux données sont le parquet, ainsi que les officiers de police et les gendarmes désignés. Chaque demande d’accès doit être motivée, puis l’agent doit “demander l’autorisation de la personne du ministère de l’intérieur désignée par la Commission nationale de contrôle des interceptions de sécurité“. Au passage, Paris omet soigneusement de préciser que le fisc et le gendarme de la Bourse y accèdent eux aussi à l’envi, tout comme les douaniers et ce, sans aucun contrôle judiciaire.

C’est aussi grâce à ces FaDet que la Direction centrale du renseignement intérieur (DCRI), à qui il avait été demandé d’identifier les hauts-fonctionnaires soupçonnés d’informer la presse, a réussi à contourner la loi sur les écoutes téléphoniques, l’an passé, avant d’”outer” David Sénat, membre du cabinet de la Garde des Sceaux Michèle Alliot-Marie, ainsi que quelques agents du Quai d’Orsay magistrats.

Le rapport de la Commission fait curieusement l’impasse sur ces écarts, avançant qu’il n’y aurait aucune preuve d’un quelconque détournement de données personnelles… ce qui fait bondir l’European Digital Rights (Edri, qui réunit 28 ONG européennes de défense des libertés et de la vie privée), mais également le Conseil de l’Union qui, dans sa réponse (.pdf) à la Commission, rappellent, a contrario, plusieurs autres cas d’excès ou d’abus de ce type.

En Allemagne, Deutsche Telekom s’est ainsi servi de ces données pour espionner 60 personnes, dont des journalistes et des syndicalistes, afin de trouver l’informateur qui leur avait confié des documents. En Pologne, deux services de renseignement avaient eux aussi utilisé illégalement ces données, sans contrôle judiciaire, pour identifier les sources de journalistes. En Hongrie, des policiers ont contourné la loi pour confier des données à des personnes non autorisées. Une directive anticonstitutionnelle ?

Les cours constitutionnelles de trois pays (Roumanie, Allemagne et République tchèque) ont annulé leurs transpositions en droit interne de la directive “au motif qu’elles étaient inconstitutionnelles“, et la Cour de justice va elle aussi devoir se prononcer sur la légalité de la directive.

Le rapport de la Commission souligne également, mais très pudiquement, que “ le contrôleur européen à la protection des données a, lui aussi, exprimé des doutes quant à (sa) nécessité “.

Pour être exact, Peter Hustinx a qualifié la directive d’ ”atteinte massive à la vie privée “, et déclaré que “ conserver les données relatives aux
communications et les données de positionnement de tous les citoyens de l’Union européenne, chaque fois qu’ils utilisent leur téléphone ou internet, constitue une énorme ingérence dans le droit au respect de la vie privée de la population ” :

En fait, la question qui se pose n’est pas de savoir si l’accès à certaines données de la téléphonie et de l’Internet peuvent être nécessaires pour lutter contre des crimes graves, mais si cet objectif nécessite que les données relatives au trafic des communications de l’ensemble des citoyens soient conservées systématiquement pour des périodes allant jusqu’à deux ans ?

Un taux d’efficacité de… 0,011%

En l’état, la directive repose en effet “seulement sur la supposition qu’elle constitue une mesure nécessaire et proportionnée“, le contrôleur estimant que “ l’heure est venue de fournir suffisamment de preuves pour étayer cet argument ” :

Sans ces preuves, la directive sur la conservation des données devrait être retirée ou remplacée par un instrument plus ciblé et moins invasif remplissant les exigences de nécessité et de proportionnalité.

Peter Hustinx se permettait même d’exprimer “des doutes quant au fait que des preuves convaincantes seront fournies concernant la nécessité de conserver des données à une si grande échelle“, soulignant qu’ ”un certain nombre de juridictions dans le monde semblent survivre sans ce type de mesures “.

De fait, le rapport n’apporte aucune évaluation statistique sur l’efficacité de la conservation des données. Arguant de quelques affaires de
cybercriminalité et de pédopornographie, les services de police la qualifient d’ ”absolument indispensable et déterminante “, non seulement parce qu’elle permet de confondre des suspects, vérifier des alibis, contacter des témoins, démontrer une complicité mais également, et la Commission insiste lourdement à ce sujet, parce qu’elle permet d’acquitter des innocents, ou de “ mettre hors de cause des personnes soupçonnées, sans devoir recourir à d’autres méthodes de surveillance, telles que l’interception de communications et la perquisition, susceptibles d’être jugées plus intrusives “.

En 2006, une étude de l’office fédéral de police criminelle allemand (BKA) avait estimé, en 2007, que le taux d’élucidation était passé de 55% à 55,006%, grâce à l’exploitation des données de trafic, soit un taux de progression de 0,011%… ce qui fait dire au groupe de travail du Parlement allemand sur la conservation des données que celle-ci complètement “disproportionnée” quant à sa finalité :

Il apparaît clair que le succès de la rétention massive des données est très limité.

Les experts du parlement allemand estiment également qu’ ”il est impossible de réécrire la directive de sorte qu’elle se mette en conformité avec la charte des droits fondamentaux “, et se prononcent clairement pour un dispositif plus respectueux de la présomption d’innocence :

L’Union européenne doit abandonner cette expérience immédiatement et remplacer cette collecte totalement disproportionnée de données des télécommunications de l’ensemble de la population par un instrument qui ne préserve que les seules données des suspects.

Reste donc à savoir combien de personnes ont été visées par le 1/2 million de demandes d’accès aux données de trafic effectué chaque année en France, mais aussi, et surtout, combien ont été condamnées…

[nico37]

www.desobeir.net

Amis parents d'élèves de CE1, instituteurs, et désobéissants

Dans toute la France et pour la 3ème année, des enseignants disent NON aux EVALUATIONS NATIONALES des élèves des écoles primaires. Certains seront en grève pendant la semaine du 16 au 20 mai prochains, afin de ne pas faire passer les évaluations aux enfants de CE 1, prévues cette semaine-là. Un préavis ayant été déposé pour toute la semaine, vous pouvez faire grève un ou plusieurs jours cette semaine-là. D'autres instituteurs, qui n'osent pas faire grève par crainte des représailles, tenteront de « saboter » les évaluations, en parallèle, de diverses manières.

Aidons-les ! Si vous êtes parents d'élèves de CE 1, vous pouvez faire échec aux évaluations. Le logiciel des évaluations ne supporte pas les absences : s'il y en a au moins 3, l'évaluation de la classe toute entière n'est pas prise en compte... ce qui fiche en l'air l'évaluation ! Entre le 16 mai et le 20 mai, gardez le plus possible vos enfants à la maison. Même une demie-journée d'absence peut compromettre l'évaluation, si d'autres parents font aussi la grève des enfants cette semaine-là... L'idéal étant que les absences des enfants soient organisées par les parents à tour de rôle, pour qu'elles ne puissent pas être rattrapées. Si cela est en plus doublé d'un jour de grève au moins par l'enseignant de la classe... c'est encore mieux !

Pour qu'on ait une visibilité nationale sur cette grève des parents/enfants, signalez-nous s'il vous plait les absences de vos enfants cette semaine-là en adressant un message court à : manifestedesobeir.net

Cette action a reçu le soutien de nombreux instituteurs grévistes et non grévistes.

Mais pourquoi refuser les évaluations ?

Stress des élèves et compétition

Les enfants sont mis en situation d’examen dès 8 ans (et bientôt dès 5 ans).
Certains exercices sont d’une telle difficulté qu’ils mettent la plupart des élèves en échec. Elles instaurent une compétition au sein de la classe et entre les classes.

Fichage des élèves

L’école n’est plus perçue comme un lieu d’apprentissage, mais comme une machine à enregistrer des résultats. Très prochainement, ils seront collectés sur des bases de données telles que BASE ELEVES qui suivront les élèves jusqu’à la fin de leur scolarité et même au-delà. Tout ceci, grâce au Livret Personnel de Compétences.

Mise en concurrence des écoles

Depuis 2009, la publication des résultats permet d’établir des statistiques et des comparatifs par académie (Paris, Versailles, Créteil, …). Bientôt, elles permettront de comparer les écoles entre elles, ce qui accélèrera le démantèlement de la carte scolaire et la ghettoïsation de nombreuses écoles.

Casse du service public

Ces évaluations servent à orienter très tôt les élèves en difficulté vers des dispositifs d’aide peu pertinents et à moindre frais (aide personnalisée, « stage vacances » et accompagnement éducatif réalisés en heures supplémentaires par des enseignants), ce qui est très cohérent avec les suppressions massives de postes.

Flicage des enseignants

Les enseignants seront essentiellement évalués à partir des résultats de leurs élèves à ces évaluations, et non plus sur la qualité de leur enseignement (réalisation de projets, travail en équipe, relation aux enfants et aux parents, …). On achète leur soumission avec une prime. Les enseignants qui respecteront le protocole recevront 400€ !!!

Tri social

Les évaluations sont un outil au service du tri social. Si l’Ecole en tant qu’institution, se base sur la compétition et les évaluations, elle ne peut que renforcer les inégalités sociales, au lieu de les combattre, comme elle prétend le faire.

[nico37]

Comment sortir de l’”ère du soupçon” ? 13 mai 2011

Trop peu de gens savent qu’en Europe, les traces de tout ce qu’ils font sur les réseaux sont conservés par les opérateurs de téléphonie et d’internet pendant pendant une durée allant de 6 mois à deux ans (en France, c’est un an).

Et si, plutôt que de surveiller l’ensemble des citoyens, les autorités décidaient de ne plus placer sous surveillance que les seules personnes suspectées d’activités criminelles ?

Non seulement cela limiterait considérablement cette forme de presomption de suspicion, et respecterait la presomption d’innoncence qui, normalement, constitue l’un des fondements de ce qu’on qualifie de démocratie, mais la procédure existe, elle est même en pleine expansion.

Son existence, qui n’avait jamais jusque là été publiquement révélée (Google n’en trouve aucune occurence en français), vient d’être révélée dans un rapport de la Commission européenne. Mais la plupart des pays européens préfèrent continuer à surveiller les télécommunications de l’ensemble des citoyens, au motif qu’il ne s’agit pas tant de surveiller les suspects, mais également de “recueillir des preuves sur les mouvements des victimes ou des témoins“… La France, championne d’Europe de la surveillance des télécommunications

Le Canard Enchaîné & OWNI ont révélé, ce mercredi, que la France était championne d’Europe de la surveillance des télécommunications.

En 2009, la France a en effet procédé à 514 813 demandes d’accès aux “logs“, également nommées “données de trafic“, ou “données de connexion” (qui a téléphoné ou envoyé un mail à qui, quand, d’où, pendant combien de temps ?) conservées par les opérateurs de téléphonie fixe ou mobile, et les fournisseurs d’accès à l’internet.

Le Royaume-Uni arrive en seconde position, avec 470 222 demandes d’accès, loin devant la Lituanie (85 315), les Pays-Bas (85 000) ou encore l’Espagne (53
578), l’Allemagne n’en dénombrant de son côté “que” 12 684 (pour 81,5 millions d’habitants). Comme le soulignait Le Canard enchaîné, “en bonne logique, le
territoire de nos voisins allemands devrait être livré à la terreur et à la dévastation…

Ces chiffres figurent en annexe d’un rapport de la Commission européenne sur la conservation des données, qui a pour objet de préparer une révision de la
directive, en vue d’harmoniser la conservation des données dans l’Union afin, notamment, “de réduire au minimum le risque de violation de la vie privée et de préserver la confiance des citoyens“.

De fait, trois pays (Roumanie, Allemagne et République tchèque) ont estimé que la conservation des “logs” était anticonstitutionnelle au motif, notamment,
qu’elle constituait “une grave restriction du droit à la vie privée et devait donc n’être admise que dans des circonstances extrêmement limitées“, la cour
constitutionnelle allemande ayant ainsi conclu que la loi créait un “sentiment de surveillance, qui pouvait entraver le libre exercice des droits fondamentaux” :

Les données ne devaient être demandées que lorsqu’il existait déjà une suspicion d’infraction pénale grave ou une preuve d’un danger pour la sécurité publique, et l’extraction des données devrait être interdite pour certaines communications privilégiées (c’est-à-dire celles liées à un besoin affectif ou social), qui reposent sur la confidentialité.

L’instrument le plus préjudiciable jamais adopté dans l’Union

Qualifiant la conservation des “logs” d’”atteinte massive à la vie privée“, Peter Hustinx, contrôleur européen à la protection des données a pour sa part
déclaré que la directive européenne ayant généralisé cette surveillance des télécommunications constituait “sans aucun doute l’instrument le plus préjudiciable au respect de la vie privée jamais adopté par l’Union européenne eu égard à son ampleur et au nombre de personnes qu’elle touche” :

En fait, la question qui se pose n’est pas de savoir si l’accès à certaines données de la téléphonie et de l’Internet peuvent être nécessaires pour lutter contre des crimes graves, mais si cet objectif nécessite que les données relatives au trafic des communications de l’ensemble des citoyens soient conservées systématiquement pour des périodes allant jusqu’à deux ans ?

Rappelant que “la directive avait été adoptée à un moment où les risques d’attentats terroristes imminents étaient majeurs” (suite aux attentats de Londres et de Madrid, NDLR), la Commission conclue son rapport en reconnaissant que “la directive ne garantit pas en soi que les données conservées seront stockées, extraites et utilisées dans le strict respect du droit à la vie privée et à la protection des données à caractère personnel“, parce que “la responsabilité de faire respecter ces droits incombe aux États
membres“.

A ce titre, la Commission précise qu’elle “veillera à ce que toute proposition future relative à la conservation des données respecte le principe de proportionnalité et soit apte à atteindre l’objectif de lutte contre les infractions graves et le terrorisme, et n’aille pas au-delà de ce qui est nécessaire pour y parvenir“. En prévision d’une révision de la directive, une étude d’impact devrait ainsi examiner :

la réduction des durées de conservation obligatoire des données,
la limitation des autorités autorisées à accéder aux données,
la réduction des catégories de données à conserver,
la prévention de la recherche aléatoire de données («data mining»).

«Quick freeze plus», la nouvelle vague des écoutes

De fait, la solution existe, et son existence est révélée dans ce même rapport de la Commission. Moins intrusive, parce que ciblée, et non généralisée à l’ensemble des abonnés, la conservation des données “a posteriori” (ou “data preservation“, également appelée “gel immédiat“), oblige les opérateurs ayant
reçu une injonction judiciaire à “conserver des données portant uniquement sur des personnes déterminées soupçonnées d’une activité criminelle” :

Récemment, un mode de conservation des données a posteriori appelé «quick freeze plus» ou «gel immédiat plus» a été mis au point: sa nouveauté est que le juge peut également accorder l’accès à des données qui n’ont pas encore été effacées par les opérateurs.

De plus, il comporterait une exemption légale très limitée de l’obligation d’effacer, pendant une courte période, certaines données de communication qui ne sont normalement pas stockées, telles que les données de localisation, celles concernant les connexions à l’internet, et les adresses IP dynamiques pour les utilisateurs ayant un abonnement forfaitaire ainsi que lorsqu’il n’est pas nécessaire de stocker des données pour la facturation.

La Commission relève cela dit que “la plupart des États membres contestent que la conservation des données a posteriori puisse valablement remplacer la simple conservation des données” dans la mesure où elle ne permet pas de remonter dans le temps, “pas plus qu’elle ne permet de recueillir des preuves sur les mouvements des victimes ou des témoins d’une infraction, par exemple“.

Et c’est bien tout le problème : dans un état de droit, seuls les suspects devraient pouvoir faire l’objet de mesures de surveillance. En l’état, c’est l’ensemble de ceux qui communiquent qui sont surveillés.

En novembre 2001, lorsque la France, réagissant en urgence aux attentats du 11 septembre, avait adopté cette surveillance préventive des traces laissées par
les internautes, nous avions été nombreux à dénoncer cette ère du soupçon. Un sénateur socialiste, Michel Dreyfus-Schmidt, avait d’ailleurs lui-même vendu la mèche avec un lapsus lourd de sous-entendus :

« Il y a des mesures désagréables à prendre en urgence, mais j’espère que nous pourrons revenir à la légalité républicaine avant la fin 2003 ».

Les mesures attentatoires à la vie privée et aux libertés devaient en effet ne s’appliquer que jusqu’en 2003… 42 lois sécuritaires plus tard, il serait peut-être effectivement temps d’en revenir à la “légalité républicaine“.

[nico37]

" C'est normal de télécharger aujourd'hui ", affirme Louis Bertignac
Julien L. - publié le Mercredi 20 Juillet 2011 à 11h51

Dans un entretien accordé à Corse Matin, le guitariste Louis Bertignac a de nouveau attaqué la loi Hadopi, qu'il estime stupide et limitée. L'ancien membre du groupe Téléphone estime que le problème de la rémunération des artistes n'est toujours pas résolu.


En matière de téléchargement de musique sur Internet, les lignes de fracture sont très profondes entre les artistes. Si certains ont accepté d'associer leur nom à la lutte contre le téléchargement illégal, d'autres se montrent beaucoup plus hostiles à la répression des internautes. C'est le cas de Louis Bertignac, guitariste et ancien membre du groupe Téléphone.

Au détour d'une interview accordée à Corse Matin, le musicien a de nouveau taclé la loi Hadopi. Alors que la Haute Autorité a récemment fait un point sur l'efficacité de la riposte graduée en France, Louis Bertignac a jugé que cette loi n'offrait aucune perspective pour les artistes, puisqu'elle ne résout en aucune façon le problème de la rémunération des artistes à l'heure du numérique.

"Elle n'est pas intelligente, elle est punitive. C'est normal de télécharger aujourd'hui. Le problème c'est de rémunérer" a-t-il expliqué à la presse corse. "Donc, il faut savoir ce qui a été téléchargé et rémunérer en fonction. Ce n'est pas compliqué de remonter pour savoir ce qui a été téléchargé sur un ordi. Il faut juste que les fournisseurs d'accès jouent le jeu".

En avril dernier, le guitariste avait déclaré à l'antenne de RMC que la loi Hadopi est "royalement inutile" et que lui-même télécharge des fichiers sur Internet. Des solutions de rémunération alternatives existent, avait-il rappelé, comme les concerts. D'ailleurs, Louis Bertignac avait estimé que le téléchargement est un bon moyen de promotion pour inciter les gens à venir aux représentations.

Rappelons qu'il y a maintenant près de cinq ans, Louis Bertignac s'était montré sensible au mécanisme de la licence globale. Sur son site Internet, il avait évoqué la licence forfaitaire optionnelle.

[nico37]

Le honeypot de TMG
... heu, dites moi que c'est un honeypot svp !

C’est tellement énorme que c’est à se demander si TMG n’est pas récemment devenu une filiale de Sony, ou si ce que vous allez découvrir n’est pas un honeypot. A tout hasard, et vu qu’il y a quand même un paquet d’IP, nous n’allons pas faire tourner l’adresse de cette machine. Voilà en gros ce qu’on trouve de croustillant, il y a tout ce qu’il faut pour comprendre comment TMG procède et même plus :
un exécutable,
un password en clair dans un file de config
des hashing torrent des oeuvres surveillées pour piéger les internautes partageurs,
les scripts de traitement des logs,
les ip des connectés aux peers etc etc…).
Nous allons donc, de manière responsable, laisser TMG corriger ce qui ressemble quand même vachement à une négligence ultra caractérisée.
Le serveur ne présente strictement aucune protection tout est accessible, à portée de clic, c’est noël avant l’heure. Encore du grain à moudre pour les parlementaires qui s’inquiétaient qu’une société privée se voit confier une mission de monitoring de population et manipuler des quantités non négligeables de données personnelles sans contrôle sérieux.
Rappel : TMG, Trident Media Guard est une société privée mandatée par les ayants-droit pour relever les adresses IP des internautes en infraction sur les réseaux P2P.
Houston appelle la CNIL… répondez ! Allo la CNIL, we’ve got a problem !

[nico37]

Internet : les jean-foutres ont pris le pouvoir

En 1994, apparaissait le Web. L’un des premiers sites était Playboy.com.
Depuis cette époque, toutes les entreprises ont ouvert une vitrine sur cette sous-partie d’Internet. Avec l’explosion du nombre d’ordinateurs interconnectés, sont apparus… les piratages. Car ce réseau a été bâti pour faire un nombre incroyable de choses, mais pas du commerce sécurisé. Tout est troué, mal installé, mal pensé. Les contraintes liées à la sécurité empêchent de faire du commerce en rond. Elles le compliquent. Du coup, tout le monde fait l’impasse sur la sécurité. En partie, ou en totalité.

D’autant que généralement, le seul perdant, c’est le client. Les hacks ultra médiatiques sont oubliés aussi vite qu’ils apparaissent. Et dans ce domaine, personne n’est épargné. Les plus gros, les plus riches, comme les plus anonymes. Tous se font avoir un jour ou l’autre.
Pas de souci, tout cela est si vite oublié…
Ceux qui ne l’oublieront pas sont généralement des anonymes, qui n’ont pas les moyens de faire payer ceux qui sont à l’origine de leurs ennuis.
Des clients lambda dont les données personnelles se retrouvent sur le Net. Noms, adresse, numéro de sécurité sociale, numéro de carte bancaire, logins et mots de passe pour tel ou tel service en ligne. Factures qui s’allongent, comptes en banques qui se vident. Bienvenue sur Internet, le réseau où ceux qui transigent avec la sécurité de vos données ne seront jamais poursuivis.
Bien entendu, ces entreprises, ces ministères, blâmeront les « pirates » qui ont accédé à ces données. Ils sont maléfiques, viennent au choix de l’Est ou de Chine, mettent en péril le gentil capitalisme. Pourtant, on semble oublier un peu vite que le défaut de protection des infrastructures est le fait desdites entreprises, desdits ministères.
Leurs économies de bouts de chandelles ont des conséquences.
Tu vas voir ta gueule à la récré si tu protèges pas les données Le législateur Français, à une époque lointaine, lorsqu’il réagissait avec sa tête plutôt qu’en fonction de peurs infondées et sur la base d’un savant storytelling, avait compris que, s’il fallait punir le « pirate », il fallait aussi punir celui qui ne prenait pas les mesures nécessaires pour protéger les données qui lui étaient confiées.

Ainsi, la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (Journal Officiel du 7 janvier 1978 ) en son article 34 dispose que :
« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
Et l’article 226-17 du Code Pénal dispose que :
« Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi nº 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende. »
Maintenant, observons la jurisprudence en France dans ce domaine. Si les condamnations pour « piratage » sont légion (mais pas aussi dures que ce que la loi permet), celles qui concernent la non protection des données personnelles sont… inexistantes.

La dernière remonte à l’époque du Minitel. De mémoire, une femme avait mis en vente son appartement sur un serveur immobilier et ses données avaient malencontreusement « basculé » sur un serveur « rose ».
Les fuites de données personnelles sans même avoir besoin d’avoir recours à un quelconque « piratage » sont légion depuis l’arrivée d’Internet. Et pas une seule condamnation.
Le législateur (français et européen) réfléchit actuellement à un projet obligeant les entreprises à rendre public un éventuel piratage de leurs infrastructures. Voilà qui fera une belle jambe aux personnes dont les données auront fuité…
Depuis 1998, Kitetoa.com, vite rejoint par nombre de sites, dont l’excellent blog de Korben, ou le site Zataz.com, listent inlassablement les milliers de serveurs qui, mal paramétrés, laissent fuiter les données.
Que l’on se comprenne bien, pour ce qui est de Kitetoa.com, il ne s’agit pas d’expliquer des piratages, des moyens illégaux pour accéder à ces données. L’utilisation d’un simple navigateur, sans aucune identification sur le serveur suffit.
Bilan des courses ? Rien.

Avec un peu d’imagination, on comprend ce que de vrais pirates pourraient faire.
Et de tout ça, de toutes ces informations rendues publiques…, qu’en est-il ressorti ?
Rien.
La CNIL ne s’est jamais appropriée un seul de ces dossiers. Elle n’en a jamais transmis un seul au procureur.
Et les procureurs, justement… Aucun ne s’est jamais saisi de ces affaires, pourtant publiques. Imaginez un site listant des infractions, des actes pénalement répréhensibles. Donnant tous les détails. Il a des chances pour que des procureurs se réveillent et fassent en sorte que des vérifications soient menées. Dans le domaine de la non protection des données personnelles, rien.
Reflets.info vient de démontrer en quelques lignes que l’ensemble de la loi Hadopi est boguée et qu’il importe de tout revoir. Le problème n’est pas récent, il avait été souligné par des parlementaires pendant les débats, par exemple sous forme de questions au ministre de la culture, des questions dont certaines sont encore sans réponse. La Haute Autorité consciente du problème, s’est montrée très réceptive aux problématiques de protection des données personnelles qui refont aujourd’hui surface.
Pour autant, très probablement, les avocats ont désormais en main de quoi faire annuler toute procédure se fondant sur ce texte (Maître Eolas ?).

Ce dernier événement dans la trop longue liste des sites troués charrie un sacré cortège de questions. Pourquoi ce texte a-t-il pu être voté par les députés et les sénateurs ? Pourquoi le sénateur, Alex Türk a-t-il voté un texte critiqué par la CNIL qu’il préside par ailleurs ? Pourquoi personne n’a écouté ceux qui savent et qui fournissaient leurs analyses gratuitement ? Pourquoi tant de questions sont-elles restées sans réponses ?
Le règne des costumes cravates
Depuis que le Net est là, depuis plusieurs postes d’observation, je contemple l’action des commerciaux en costumes cravates de mauvaise facture vendre à prix d’or des projets troués d’avance. Je les regarde vanter les mérites de leurs entreprises, qui n’en ont aucun. Les marchands de vent qui viennent crier sur tous les toits que leurs logiciels protègent contre les « hackers », contre les failles passées, présentes et futures. Je les contemple enfumer leurs clients, mais aussi les représentants du peuple.
Parmi les hommes en costumes cravates de mauvaise facture, il y en a même qui s’arrogent le droit de jouer aux cow-boys du Net. C’était le cas de HBGary aux Etats-Unis et l’affaire a très mal fini. Rien ne dit qu’il n’y a pas en France une ou des entreprises qui pensent engranger des millions en suivant cette voie périlleuse. L’avenir le dira sans doute. Patience ©.

Quoi qu’il en soit, le réseau Internet n’a pas été conçu pour faire du commerce électronique, bien au contraire. Il est tout sauf sécurisé.
Allons plus loin, il est tout sauf sécurisable. C’est juste impossible. Alors vendre du stockage de données personnelles, du paiement d’impôts, de la e-administration publique, du commerce électronique, c’est simplement laisser, en toute conscience, un crime se dérouler.
J’ai coutume de dire dans des conférences qu’il ne faut pas craindre les piratages qui font la Une des journaux. Aussi incroyables soient-ils, aussi dérangeants puissent-ils paraître. Ce qu’il faut craindre, ce sont les piratages dont on n’entend jamais parler. Ils sont bien plus inquiétants. Et ils existent.
Pour ce qui est de la loi Hadopi, dire que les particuliers doivent sécuriser leur accès Internet, c’est très con. Et c’est faire preuve d’une fabuleuse mauvaise foi. Désolé de faire une comparaison avec le monde réel, mais visiblement un sénateur comme M. Türk ne doit pas comprendre autre chose.
Imaginons que l’on oblige les particuliers à prendre des mesures pour éviter que leurs voitures ne soient volées et ne servent à commettre un délit, comme une attaque à la voiture-bélier. Sans quoi ils seraient poursuivis. Ca vous paraît con ? C’est à peut près aussi con que de dire que les particuliers doivent sécuriser leurs accès.

Dire que si l’adresse IP d’un particulier est repérée en train de télécharger un film cela doit aboutir à une coupure de l’accès au Net, c’est simplement méconnaître la réalité. Avec les millions de bots qui tournent pour exploiter des Windows troués, avec les milliers de logins et mots de passe qui trainent sur le Net pour se connecter à des accès Wifi de particuliers, c’est une honte de passer une telle loi.
Tout cela a été dit lors des débats précédant le vote de la loi par ceux qui savent comment fonctionne le réseau. Personne ne les a écoutés.
Depuis des années et des années, nous sommes nombreux à dire que si l’on n’attaque pas les entreprises au portefeuille, les données personnelles continueront de fuiter. En vain.
Laisser le secteur s’auto-réguler, prendre des dispositions comme PCI-DSS, c’est le laisser faire n’importe quoi (voir Sony et Hartland par exemple). C’est à peu près aussi stupide que d’attendre des financiers qu’ils arrêtent, sans aucune pression extérieure, de créer des crises monumentales.
Les seuls qui pourraient faire quelque chose, les procureurs, la CNIL, le législateur, les politiques, sont silencieux et inactifs. Il y a bien quelques écrans de fumée déclenchés de temps à autre. Sept minutes d’amende pour Google par exemple. Mais pour TMG, combien ? Pour ceux qui ont monté l’usine à gaz qu’est la loi Hadopi, combien de minutes d’amende ?

[nico37]

Digiposte : la poste garde vos données en toute sécurité… ou pas !

Internet c’est une vraie jungle, un far west avec des terroristes numériques qui violent des femmes de chambre la démocratie ! Mais putain en même temps si vous faisiez un peu attention avant de sortir un service plein de trous ça serait aussi une bonne idée non ?

La poste a sorti hier un service en partenariat avec myid.is (sur lequel je reviendrai à l’occasion) ce qui m’a amené à regarder un peu leur offre précédente : Digiposte. L’idée de ce machin est de « sauvegarder et protéger vos données », on vous encourage à y stocker tous les documents confidentiels dont vous pouvez avoir besoin, … Bref un beau repos de données confidentielles qui intéresseront moultes Hackers mal-intentionnés.

Coup de bol, je suis bien intentionné et autour de moi je ne connais que peu de personnes prêtes à faire confiance à la poste… Pourquoi coup de bol ? Bah je vous laisse avec la capture ci-dessous :



Je n’ai pas le temps d’auditer le site complet… Mais il y a fort à parier que si une erreur aussi basique (qui permet juste, encore une fois, de récupérer la session d’un utilisateur connecté) traine d’autres soient aussi là.

En passant : la méthode d’authentification de ce site est insupportable, basée sur deux mots de passe dont un que l’on doit donner en entier et le second en partie… Ça ne sert à rien si on peut gentiment récupérer l’identifiant de session d’un utilisateur déjà connecté

[nico37]

La vie secrète des adolescents dans les réseaux sociaux

Yann Leroux revient sur un texte de danah boyd et Alice Marwick, où elles y expliquent que les jeunes sont soucieux de leur vie privée, contrairement à ce que les adultes pensent.

Les adolescents se soucient peu de leur vie privée. Ils auraient la fâcheuse tendance à partager n’importe quel contenu avec n’importe qui. Ils ne prendraient pas suffisamment en compte que ce qui est écrit aujourd’hui peut être retrouvé demain, et ils auraient même la légèreté d’ignorer que 10 ans plus tard, des contenus en ligne pourraient leur coûter un emploi.

Un texte de danah boyd et Alice Marwick – La vie privée dans les réseaux sociaux, les attitudes, pratiques et stratégies des adolescents [PDF] – fait le point sur les pratiques adolescentes en ligne. Il montre que les pratiques adolescents en ligne sont conditionnées par le sens que les adolescents donnent à la situation et qu’ils sont toujours soucieux de leur vie privée.

La vie privée est d’abord une histoire d’espace. C’est l’espace dans lequel il est possible d’être seul. C’est l’espace dans lequel chacun a la maitrise de l’ouverture et de la fermeture à l’autre. Cet espace peut être un objet – un coffre, par exemple. Il peut être un espace d’inscriptions – c’est le journal intime. Il peut encore être l’espace dans lequel sont contenues des conduites ou des relations qui doivent être masquées des autres. La maison, telle que nous l’expérimentons depuis la Seconde Guerre mondiale, en est le modèle parfait.

L’espace privé n’est pas nécessairement un espace physique. Il peut s’agir d’un espace psychologique : c’est alors le secret des pensées que l’on se dit qu’à soi-même. L’espace privé se superpose alors à ce qui n’est pas dit ou exprimé.

De la même façon que l’épaisseur des murs et leur agencement masquent plus ou moins la maison aux regard extérieurs, dans le cyberespace, les dispositifs sont plus ou moins ouverts sur l’espace public. Ainsi, Facebook a de plus en plus ouvert les comptes sur l’espace public. Le flux d’actualité qui avait suscité beaucoup de résistance lors de sa mise en place est parfaitement accepté par tous. Mais il ne s’agit pas seulement de code. Celui-ci ne fait pas la loi, contrairement à ce que Lawrence Lessig pouvait affirmer. Des pratiques sociales se greffent sur ces dispositifs, et les amendent fortement.
Par exemple, Blizzard a dû reculer devant la levée des boucliers lors de la mise en place de la fonctionnalité Nom Réel. Google a dû aussi largement modifier Google Buzz devant les plaintes des utilisateurs, et la fonctionnalité annoncée comme une révolution qui allait culbuter Facebook végète aujourd’hui dans un coin du cyberespace. Double discours

danah boyd et Alice Marwick mettent le doigt sur une certaine hypocrisie : on reproche souvent aux adolescents de ne pas être suffisamment précautionneux en ligne sans tenir compte du fait que ceux qui ont pouvoir sur eux, c’est-à-dire les parents, rompent régulièrement les barrières de leur vie privée sous des prétextes fallacieux. Un double langage se met alors en place. Les adultes se plaignent du manque de retenue des adolescents en ligne et ils se comportent dans l’espace physique comme s’ils n’avaient pas droit à un espace privé.

Elles donnent un exemple qui est d’autant plus parlant que le procédé est souvent utilisé par les formateurs. Lors d’une session de formation auprès d’adolescents, des adultes font un diaporama de toutes les images qu’ils ont trouvées sur les comptes des adolescents. Le diaporama provoque une bronca des adolescents et l’incompréhension des adultes. Pour ces derniers, les images sont publiques, puisque trouvées sur Facebook. Pour les adolescents, il s’agit d’une trahison. danah boyd et Alice Marwick interprètent la situation en
termes de pouvoir : ce n’est pas que les adolescents ne prennent pas en compte la question de la vie privée sur Facebook mais plutôt les autres qui ne la respectent pas.

En somme, les adolescents se comportent en ligne comme au supermarché. Tout le monde voit le contenu du caddy du voisin à la caisse, mais personne ne fait de commentaire, Qui, ici est à blâmer ? Est-ce les adolescents ou les adultes qui non seulement font preuve d’une curiosité déplacée, mais s’en servent pour faire honte et culpabiliser des adolescents ?

Danah boyd et Alice Marwick montrent que pour les adolescents, l’espace privé est d’abord un espace vide de la présence des parents. Pour certains adolescents, l’espace privé est un espace collectif. Il est séparé de l’espace public, mais à l’intérieur de cet espace, les adolescents ne bénéficient pas d’un espace qui leur appartienne en propre.

Les adolescents ont construit des pratiques sociales qui font de l’Internet un espace qui leur appartienne en propre. Observés de toutes parts, évalués de façon continuelle par les adultes, ils construisent dans les espaces publics des niches sociales. La cage d’escalier, le centre commercial étaient préférentiellement investis par les adolescents des générations précédentes.

Pour Danah boyd et Alice Marwick, il s’agit avant tout d’une histoire de pouvoir. Les adolescents sont un groupe d’individus dominés, et ils créent des “contre-espace” dans lesquels ils vont pouvoir re-formuler leurs identités, leurs besoins, leurs intérêts. Comme les espaces physiques de socialisation ont disparu ou ont été considérablement réduits, les adolescents ont massivement investi le cyberespace comme espace de rassemblement. La notion de “contre-espace subalterne” qu’elles empruntent à Nancy Frazer n’est pas sans faire penser aux espaces hétérotopiques dont parle Michel Foucault. Context is king

La pratique de l’Internet des adolescents se fait selon un” travail des frontières” qui définit sans cesse ce qui est privé et ce qui est public. Le contexte est ici la clé. On ne commente pas le contenu du caddy d’un étranger, mais on se sentira libre de le faire avec un ami. Cette règle fonctionne également en ligne. Elle est d’autant plus importante que différents mondes et types de relations s’y rencontrent régulièrement. L’effondrement des barrières qui maintenaient des acteurs dans des espaces sociaux différents produit des effets de convergence qui sont parfois malvenus.

danah boyd et Alice Marwick donnent quelques exemples de la manière dont se fait ce travail des frontières. Elles différencient des stratégies structurelles et des stratégies sociales. 1. Les stratégies structurelles

Le Top 8 de MySpace, les listes de Facebook permettent de composer des cercles de proches. Le Top 8 fonctionne comme signe : si vous n’êtes pas sur la liste, alors vous devez y penser à deux fois avant de poster un commentaire. Il est une ceinture rassurante : au-delà, c’est l’inconnu et en deçà c’est l’espace rassurant des relations privées. Les adolescents peuvent également utiliser différents dispositifs pour différentes audiences : la famille sur Facebook, les amis sur MSN. Chaque dispositif a des qualités qui le font ressentir plus ou moins public.

Sur Facebook, la désactivation du compte ou l’effacement des commentaires et des updates est aussi une façon de protéger sa vie privée. 2. Les stratégies sociales

Le travail ses frontières se fait également autour de stratégies relationnelles et de langage. Des private jokes, des allusions, des expressions argotiques permettent de rassembler des audiences et délimitent des espaces privés et des espaces publics. Par exemple, les paroles de “Always look on the bright side of life” peuvent être comprises comme un signe de bonne humeur ou de désespoir total. Les messages peuvent être encryptés dans des éléments de la culture populaire, ce qui les rend opaques aux adultes, et perméables à ceux qui ont la bonne référence. Une autre façon de procéder est de diminuer au maximum tout effet de contextualisation. Celui-ci n’est pas contenu dans le message, mais dans des interactions qui ont eu lieu ailleurs, ce qui empêche toute personne qui n’a pas le contexte de comprendre ce dont il s’agit. Savoir coder les labyrinthes de sens nécessaires à la protection

« La plupart des ados ont réalisé que limiter l’accès au sens peut être un moyen bien plus efficace que d’essayer de limiter l’accès au contenu lui-même », écrivent danah boyd et Alice Marwick. Cette limitation se fait grâce à des figures langagières qui permettent à des individus et des groupe de s’entretenir en privé en public.

On en arrive toujours à la même chose. Ceux qui ont un rapport facilité à la langue sauront créer les labyrinthes de sens nécessaires à leur protection.
Ils sauront encoder et décoder les contenus de l’Internet comme différentes figures transtextuelles (Genette, Ph. 1982). Ils sauront reconnaitre à l’intérieur d’un texte la présence d’un autre texte et qui lui donne tout son sens. Il sauront reconnaitre la citation, l’allusion ou le plagiat. Ils sauront décoder les signaux qui entourent un texte. Bref, ils sauront interpréter ce que l’Internet leur apporte.

Au final, la vie privée des adolescents en ligne est caractérisée par :

des paniques morales orchestrées par les adultes autour de la figure de l’étranger. une méconnaissance des pratiques réelle des adolescents en ligne de la part des adultes. des pratiques de discours qui permettent de s’entretenir en privé en public. une utilisation efficace et créative des dispositifs techniques.

[nico37]

G8 : Paris en retrait sur le rôle politique d'Internet

La France a choisi de pratiquement évacuer du G8, qu'elle préside cette année, le thème de la liberté d'expression sur Internet, ainsi que le soutien au rôle de la Toile comme facteur de démocratisation, dans le monde arabe et ailleurs. L'Elysée a décidé de privilégier d'autres priorités : le rôle économique d'Internet, avec notamment son impact sur le commerce et la propriété intellectuelle, et la question de la sécurité sur Internet, espace où entreprises et Etats sont exposés à des cyberattaques.

Ce choix plaçant l'accent sur un souci de régulation et de surveillance plutôt que sur la liberté et les valeurs démocratiques rend perplexe des militants des droits de l'homme, dans un contexte où Internet a démontré depuis six mois, dans le monde arabe, sa formidable capacité à agir comme un facteur de changement politique, et à l'heure où la traque des cyberdissidents, de la Syrie à la Chine, bat son plein, avec souvent une grande violence policière.

En renonçant à chercher à mobiliser le G8 - qui regroupe les démocraties occidentales industrialisées et la Russie - derrière un slogan de soutien à Internet comme instrument de lutte contre les méthodes des régimes répressifs, la France ne risque-t-elle pas de se placer en porte-à-faux ? Sa diplomatie a cherché ces derniers temps à se reconstruire une image, en assurant vouloir accompagner les aspirations à la démocratie survenues en Afrique du Nord et au Moyen-Orient, et rompre avec la politique antérieure de soutien tous azimuts aux régimes en place, au nom de la stabilité.

Le paradoxe est d'autant plus frappant que, pour la première fois, et précisément à l'initiative de la France, le sujet d'Internet a été placé à l'ordre du jour du G8, qui doit se réunir au niveau des chefs d'Etat et de gouvernement à Deauville les 26 et 27 mai.
Un événement qui sera précédé à Paris, les 24 et 25 mai, par un "Forum e-G8" réunissant principalement des représentants des entreprises du secteur du numérique. A grand renfort de communication, ce forum doit se pencher sur " toutes les questions liées au développement d'Internet " , et remettre des " idées " aux dirigeants du G8.

Aucune mention n'a été faite par l'Elysée, dans sa présentation de ce forum, du rôle d'Internet auprès des mouvements d'opposition démocratique à travers le monde ni des enjeux qui préoccupent les militants pour la liberté d'expression. Sont ainsi passées sous silence, à ce stade, des questions comme l'aide que les pays démocratiques peuvent apporter aux cyberdissidents, ou encore l'idée d'un code de conduite qui empêcherait les entreprises de livrer à des Etats autoritaires de la technologie destinée à censurer et à pourchasser les internautes.

" Malheureusement, commente Arvind Ganesan, de l'organisation Human Rights Watch, la France semble minimiser le thème des droits de l'homme, au profit du commerce numérique et de la cybersécurité. " Pour ce militant de la libre circulation des données face aux dictatures, il s'agit, lors de ce G8, d'une " occasion manquée ".

Depuis des mois, l'Elysée a choisi de mettre en exergue la notion d'un " Internet civilisé ", formule ambiguë qui recouvre la promotion d'une régulation de la Toile pour lutter contre le détournement de biens culturels (en liaison avec la loi Hadopi adoptée en France), et contre les menaces sécuritaires sur Internet (espionnage, "hackers", cybercriminalité, propagande liée au terrorisme, etc.).

Le thème de la démocratisation dans le monde arabe figurera certes au menu des discussions de Deauville - sommet auquel ont été invités des représentants de la Tunisie et de l'Egypte - mais avant tout sous l'angle d'un appui financier à ces nouveaux régimes à ces pays en transition.

Une déclaration du G8 consacrée à Internet est en préparation. Interrogé sur la place que la France entendait y accorder au soutien à la démocratisation via la Toile, un conseiller de l'Elysée a répondu, mercredi 18 mai devant des journalistes, qu'il existait encore des " divergences " à " réduire" sur la teneur du texte. Une allusion, semble-t-il, aux fortes réticences que les Etats-Unis ont pu avoir à l'idée d'une quelconque régulation d'Internet, et même, à voir le thème de l'espace numérique figurer à l'ordre du jour du G8.

Ce n'est qu'en janvier 2011, lors d'un déplacement à Washington, que Nicolas Sarkozy a pu convaincre le président Barack Obama d'inclure Internet comme sujet de débat pour le G8. Les Etats-Unis affichent une politique de soutien à une liberté totale sur Internet (tout en ayant critiqué les révélations liées à WikiLeaks). Ils ont érigé cet outil au premier rang de leur diplomatie d'influence.

La secrétaire d'Etat américaine Hillary Clinton en a fait, depuis un discours prononcé en janvier 2010, un axe central de son action. Elle avait alors fustigé " les menaces à la libre circulation de l'information " et " l'accroissement de la censure " , notamment " en Chine, en Tunisie, en Ouzbékistan " .
Depuis la vague des révoltes arabes - un thème que devait évoquer Barack Obama dans un discours, jeudi 19 mai -, la " e-diplomatie " américaine s'est encore accentuée, mobilisant d'importants moyens.

" Le thème de la liberté sur Internet sera une dimension fondamentale " du G8, se défend-on à l'Elysée, mais en ajoutant : " pas la seule. " En présentant, fin janvier, ses priorités du G8 et du G20 pour 2011, M. Sarkozy avait assuré, en guise de message aux Etats-Unis, que le débat sur Internet se déroulerait/"de façon très informelle" et qu'il n'était " nullement " question " de vouloir brider le développement d'Internet et de ses contenus ".

L'Elysée a cependant estimé depuis 2010, dans ses préparatifs pour le G8 et G20, qu'il fallait mettre le curseur sur les préoccupations sécuritaires, et sur la régulation. " Il ne serait pas concevable en effet qu'Internet se développe comme une zone de non-droit, et que nos efforts pour mieux réguler l'économie s'arrêtent au monde de l'Internet ", a écrit M. Sarkozy le 29 septembre 2010 dans une lettre adressée à Bernard Kouchner, alors ministre des affaires étrangères.

La vague des révoltes arabes ne semble pas avoir fondamentalement modifié cette approche. Certains, dans l'entourage de M. Sarkozy, semblent cependant s'être inquiétés du problème d'image que poserait un défaut d'affichage français fort en matière de soutien à la liberté d'expression sur Internet. " On a voulu élargir la problématique " du G8, explique une source. Célébrer Internet, au G8, comme un outil de promotion des valeurs démocratiques aurait été une approche " trop étroite ".

Natalie Nougayrède (avec Nathaniel Herzberg)

La bataille qui a opposé M. Sarkozy et M. Kouchner

En 2010, Bernard Kouchner, alors ministre des affaires étrangères, préparait, pour la mi-octobre, une réunion internationale à Paris consacrée à la défense de la liberté d'expression sur Internet.
L'événement, auquel les Pays-Bas avaient été associés, fut subitement annulé, officiellement pour des raisons de " calendrier ". La vraie raison : l'Elysée y avait mis le holà. Dans une lettre adressée au ministre, Nicolas Sarkozy souligna en effet que le thème d'Internet imposait " une appréhension globale des enjeux " et qu'il fallait promouvoir les initiatives françaises/"de régulation équilibrée, comme la loi Hadopi", ainsi que le " combat contre la cybercriminalité ".
Dans une tribune de presse publiée en mai 2010, M. Kouchner avait défendu une série d'idées, allant de l'aide aux cyberdissidents à la notion d'une protection juridique pour " l'universalité d'Internet ".

[gérard menvussa]

L'AFNIC devra dénoncer au gouvernement les .fr illégaux
Guillaume Champeau - publié le Mercredi 03 Août 2011 à 11h52 - posté dans Société 2.0
Partager
Liberté d'expression, AFNIC, Noms de domaine
43 commentaire(s)

Un décret publié ce mercredi demande à l'AFNIC, sous peine de perdre sa licence, de signaler au gouvernement toute demande d'enregistrement de nom de domaine manifestement illégal ou pouvant porter atteinte à l'ordre public. Un texte dangereux pour les libertés publiques ?

Le gouvernement a fait paraître ce mercredi le décret n° 2011-926 du 1er août 2011 relatif à "la gestion des domaines de premier niveau de l'internet correspondant aux codes pays du territoire national". Il précise les modalités d'application de la loi du 22 mars 2011, qui fixait les nouvelles règles d'attribution des noms de domaine en .fr suite à l'annulation de la précédente loi par le Conseil constitutionnel.

Ce décret aurait dû n'avoir aucun véritable intérêt, mais une publication au coeur de l'été est toujours suspecte. Or à sa lecture, on découvre que le gouvernement va plus loin que ce qu'il avait fait adopter par le Parlement, en demandant désormais à l'AFNIC qu'elle "signale sans délai aux services du ministre chargé des communications électroniques les noms de domaine enregistrés ou sollicités présentant un caractère manifestement illicite ou contraire à l'ordre public en vertu de l'article L. 45-2 qu'il a identifiés ou qui lui sont signalés".

En clair, dès lors qu'une personne privée cherchera à enregistrer un nom de domaine en .fr et que l'AFNIC estimera que celui-ci risque d'être illégal, il devra cafter auprès d'Eric Besson ou de ses successeurs, même lorsqu'elle aura d'elle-même refusé d'attribuer le nom de domaine. Ce qui interroge lorsque l'on se souvient que l'Elysée s'était plainte du nom de domaine Karachigate.fr, qui renvoyait vers son site, en estimant que cette pratique violait "ses droits". Lesquels ? On ne sait toujours pas.

La liste des noms de domaine concernée par la délation obligatoire est potentiellement longue puisqu'il s'agit des noms :

Susceptibles de porter atteinte à l'ordre public ou aux bonnes mœurs ou à des droits garantis par la Constitution ou par la loi ;
Susceptible de porter atteinte à des droits de propriété intellectuelle ou de la personnalité, sauf si le demandeur justifie d'un intérêt légitime et agit de bonne foi ;
Identique ou apparenté à celui de la République française, d'une collectivité territoriale ou d'un groupement de collectivités territoriales ou d'une institution ou service public national ou local, sauf si le demandeur justifie d'un intérêt légitime et agit de bonne foi.

Le décret définit notamment la mauvaise foi comme "l'enregistrement d'un nom de domaine principalement dans le but de nuire à la réputation du titulaire d'un intérêt légitime ou d'un droit reconnu sur ce nom". Karachigate.fr pointe désormais vers le site de l'UMP. Est-ce un cas caractéristique de "mauvaise foi" que devra dénoncer l'AFNIC ?

[nico37]

Comment ficher les fauteurs de troubles

En marge du sommet du G8 de Deauville, militants et manifestants courent le risque d'être apparentés à des terroristes. Décodage de fichiers de police de plus en plus flous.

Cécile Lecomte, militante française installée en Allemagne, fait partie d’une troupe de militants escaladeurs, Robin Wood, qui bloquent des convois militaires ou des trains de déchets nucléaires. Surnommée l’Écureuil, elle ne compte plus les gardes à vues. Et nous assure qu’elle figure dans une dizaine de fichiers policiers – notamment ceux de l’agence Europol – dont certains destinés à la prévention du terrorisme.

Au moment où plusieurs mouvements entendent protester contre le G8 de Deauville, l’Union Européenne entretient toujours le trouble sur les caractéristiques exactes des fichiers permettant de suivre les « fauteurs de troubles » qui perturbent les grandes réunions internationales. Au risque de confondre des contestataires très remuants avec des auteurs de crimes ou d’actes terroristes.

Un tel risque existe bel et bien si l’on en croit les travaux des groupes de travail du Conseil de l’Union européenne, disséqués par l’Ong britannique Statewatch. Même s’il n’y a pour l’instant pas de consensus pour créer des fichiers spécifiques, ou pour ajouter ces menaces potentielles aux fichiers policiers déjà existants au sein de l’UE, la question est sensible car elle touche une nouvelle fois à l’équilibre entre lutte contre le crime (et le terrorisme par extension) et libertés fondamentales.

La définition même de « fauteur de troubles » (troublemakers) soulève des problèmes. C’est en 2001, à l’issue de deux sommets particulièrement symptomatiques — ceux de Göteborg en juin (Conseil européen) et de Gênes en juillet (G8), donc bien avant les attentats du 11 septembre — que l’UE décide de rédiger deux « manuels » destinés d’une part à la « sécurité contre le terrorisme » et d’autre part à « la gestion de l’ordre public ». En 2007, début du mélange des genres : ces deux manuels n’en font plus qu’un (« EU Security Manual » .pdf). Et au lendemain des manifestations en marge du sommet du G8 de Heiligendam (Allemagne, juin 2007), que l’idée de créer une « base de données » intra-UE s’impose pour la première fois.
Objectifs du gouvernement allemand, à l’origine de cette évolution :

Pouvoir partager de l’information sur des « fauteurs de troubles violents » et envisager la possibilité « d’utiliser SIS [Système d’information Schengen] pour cet échange d’information.

Actuellement, un Système d’information Schengen de deuxième génération (SIS II) est à l’étude. Le SIS est l’un des premiers fichiers centralisés créé au sein de l’Union — il est réservé aux seuls pays membres de l’espace Schengen (25 des 27 pays de l’UE). Il peut déjà être utilisé pour empêcher, même temporairement, à des individus de pénétrer dans tel ou tel pays membre pour une durée limitée — le temps d’un sommet international, par exemple. Le problème, c’est que la « convention SIS » prévoit, dans son article 99, que ces restrictions à la liberté de circulation sont réservées aux cas de « crimes ou délits extrêmement sérieux » ou encore aux «menaces sérieuses».

Pour l’heure, aucun consensus n’a semble-t-il été dégagé pour inclure la notion de « fauteur de troubles » dans le SIS. Mais l’idée rencontre encore un certain succès dans les appareils sécuritaires. Statewatch met en avant l’insistance du gouvernement allemand. Dans une note remise avant une réunion technique de coopération policière du 7 avril 2008, Berlin fait le même amalgame douteux entre « crimes » et « confrontations violentes » en suggérant la qualification tendancieuse de « délit particulièrement sérieux » (significant criminal offense).

Un délit particulièrement sérieux (…) tend à perturber sensiblement la paix publique et peut potentiellement avoir un effet considérable sur le sentiment public de sécurité.

Ficher les manifestants comme les tifosis ?

Cette notion n’est pas sans rappeler le fameux « sentiment d’insécurité », très en vogue en France pour servir de baromètre répressif après le moindre fait divers. Pour Tony Bunyan, fondateur et directeur de Statewatch, il est « absurde » de lier les délits ou crimes sérieux à la notion de « perturbation de la paix publique ». « Cela peut englober des manifestants non violents qui font un sit-in ou tout autre rassemblement de protestation. Ils pourraient être interprétés par la police comme ayant ‘un effet considérable’ sur le sentiment de sécurité ».

En février 2009, la délégation allemande ne lâche pas prise. Prenant prétexte de lutter contre les hooligans de football, elle propose de pouvoir ajouter dans SIS des alertes « fauteurs de troubles violents », et cela « même si ces alertes sont incompatibles avec les lois nationales »…

Il ressort de ces échanges que seuls deux pays, le Danemark, et donc l’Allemagne, ont inséré cette notion de « fauteur de trouble » dans leurs fichiers policiers. Reste que ce n’est pas toujours pour embrigader des supporters de foot, comme le montrent les mésaventures de notre militante anti-nucléaire.

A l’heure actuelle, le dossier « fauteur de trouble » est en stand-by. Mais Statewatch indique que la Commission devrait publier une note d’orientation, au plus tard en 2012. Ou plus tôt… Car lors de chaque « débordement » — toujours attribué aux manifestants, curieusement —, les faucons de l’ordre public européen mettent la pression. Juste après le sommet de l’OTAN d’avril 2009 à Strasbourg, une note de la présidence suédoise évoque le:

besoin d’échanger des informations sur des personnes qui perturbent l’ordre public et/ou menacent la sécurité publique, càd : hooligans sportifs, émeutiers violents, agresseurs sexuels, auteurs récidivistes de crimes sérieux.

Notez la nuance « et/ou », qui mélange de nouveau « criminels » et « perturbateurs ». Une idée qui a déjà séduit l’Italie de Berlusconi.
Suite à des manifestations étudiantes violemment réprimées en décembre 2010, le ministre de l’Intérieur Roberto Maroni a ni plus ni moins proposé que les manifestants soient fichés comme les tifosi, et soient exclus des manifs en cas de « violences répétées » comme un supporteur est interdit de stade après une bagarre… En France, le débat a été vif lors du lancement du funeste fichier EDVIGE, mis de côté puis légalisé fin 2009 dans le fichier PASP (« prévention des atteintes à la sécurité publique »).

Des hooligans aux manifestants en passant par les migrants et les musulmans

Interrogé par OWNI, le Superviseur européen à la protection des données, Peter Hustinx, n’a pas souhaité commenter ces développements. Ses services se sont contentés de nous renvoyer vers les innombrables avis et recommandations qu’il a publié sur les traitements de données à visées policières. Cela va sans dire: le Superviseur n’a aucun pouvoir pour bloquer ni amender les plans du Conseil en la matière. Pour Tony Bunyan de Statewatch:

La réponse de l’UE à la ‘guerre contre le terrorisme’ a conduit à cibler en premier les musulmans, les migrants aussi bien que les réfugiés et les demandeurs d’asile (…) Maintenant, l’idée émergente au sein de l’UE, c’est que les manifestations et le droit de protester deviennent une cible prioritaire de la politique européenne de ‘sécurité intérieure’

Statewatch insiste aussi sur la volonté du Conseil de l’UE, dès avril 2010, de créer un « instrument multidimentionnel » pour «c ollecter des données sur les processus de radicalisation ».

Tony Bunyan y voit une autre porte ouverte à l’amalgame. Dans un document technique, la notion d’ « idéologie supportant directement la violence » est élargie à une liste disparate de groupes divers :

extrémisme de droite ou de gauche, islamisme, nationalisme, anti-globalisation, etc.

Les documents du Conseil montrent en outre qu’il s’agit plus de renseignements que d’informations concrètes (faits constatés) visant des groupes condamnés pour des faits avérés. En réponse à une question écrite de députés européens sur ces notions de radicalisation violente, le Conseil et la Commission rivalisent de déclarations vertueuses:

Les conclusions du Conseil sur l’utilisation d’un instrument normalisé de collecte des données constituent des recommandations (…). L’un des objectifs de cet instrument, conformément à la stratégie de l’UE visant à lutter contre le terrorisme, est d’analyser les raisons pour lesquelles certaines personnes recourent à la violence pour poursuivre des objectifs politiques. La décision d’utiliser cet instrument technique revient à chaque État membre. » (Réponse du Conseil, 18/2/2011)

Le programme de Stockholm invite la Commission à examiner la meilleure manière de faire en sorte que les autorités compétentes des États membres puissent échanger des informations sur les déplacements des délinquants violents et à présenter une communication à ce sujet en 2012. (…) il est toutefois trop tôt pour préjuger de l’issue de l’analyse actuellement en cours. (…) ces termes n’ont été utilisés que dans des documents d’orientation, et pas dans des textes juridiques. (Réponse de la Commission, 10/01/2011)

Pourtant, la liberté d’expression est directement concernée car il est question de surveiller les « messages radicaux », c’est-à-dire les opinions et les écrits de tels ou tels groupes qui contesteraient l’ordre libéral actuel.

[nico37]

Comment Sarkozy a tué la défense de la liberté d'expression sur Internet Guillaume Champeau

Dans son édition à paraître vendredi, Marianne revient en détails avec des documents exclusifs sur le coup de poignard donné par Nicolas Sarkozy au projet de défense de la liberté d'expression sur Internet qu'avait porté Bernard Kouchner au gouvernement.

C'était l'an dernier. Bernard Kouchner, alors ministre des affaires étrangères, publie au mois de mai 2010 dans Le Monde et dans le New-York Times une tribune vibrante pour la défense d'Internet. Il y plaide alors pour un " un Internet universel, ouvert, fondé sur la liberté d'expression et d'association, sur la tolérance et le respect de la vie privée ", opposé à " ceux qui voudraient transformer Internet en une multiplicité d'espaces fermés et verrouillés au service d'un régime, d'une propagande et de tous les fanatismes ". Avec son homologue néerlandais, la France et les Pays-Bas annoncent dans la foulée la création d'un "groupe de pilotage" visant à faire naître un instrument international de défense de la liberté d'expression sur Internet.

Une première réunion est organisée au Quai d'Orsay en juillet. Elle donne à Bernard Kouchner l'occasion de redire tout son attachement à la liberté d'expression sur Internet, alors qu'au même moment - en pleine affaire Woerth - le gouvernement et la majorité font bloc pour pourfendre Mediapart et Internet. Une conférence internationale, qui aurait dû être organisée à Paris le 15 octobre 2010, est reportée. Officiellement.

Officieusement, comme l'avait révélé la Quadrature du Net, c'est surtout que Nicolas Sarkozy a écrit à Bernard Kouchner pour l'obliger à revoir totalement ses ambitions et ses priorités. Plus question de défendre la liberté d'expression. Place à la défense d'un "internet civilisé", sécuritaire, où l'Hadopi fait office de symbole. Au ministre qui lui parle de liberté, le Président rétorque qu'il " ne serait pas convenable que l'Internet se développe comme une zone de non-droit ". Le Quai d'Orsay tente bien de faire croire que la conférence du 15 octobre n'a été que reportée, " à la demande des Pays-Bas ", mais personne n'est dupe. Jamais aucune nouvelle date n'a été proposée, et le sujet a été enterré.

" Un point de non-retour dans les relations entre Sarkozy et Kouchner "

C'est cet épisode, à l'écho très particulier depuis les " révolutions Facebook " des pays arabes, sur lequel revient Marianne, dans une enquête qui paraîtra ce vendredi dans les kiosques, et dont Numerama a pu prendre connaissance. Le journaliste Frédéric Martel, qui s'est procuré des notes du Quai d'Orsay et certaines correspondances avec l'Elysée, montre que Bernard Kouchner avait voulu faire de la défense d'internet et des cyberdissents " l’apogée de la carrière " , mais qu'il en a été empêché par Nicolas Sarkozy.

Le magazine cite un document confidentiel daté de juillet 2010, dans lequel l'ancien ministre expliquait que la France va " soutenir les cyberdissidents confrontés à la répression de la liberté d’expression " et qu'elle réfléchit même à apporter une " assistance technique " pour " contourner la censure ". " Dès la révolution en Iran, [Bernard Kouchner] a perçu l’importance du Web pour la diplomatie ", explique Marianne. En septembre, une note au ministre confirmait que la conférence d'octobre devait aider les défenseurs des droits de l'homme à maîtriser les " technologies de contournement (...) pour permettre des communications non filtrées " . Il était même question de proposer que tous les blogueurs bénéficient du même régime de protection que les journalistes. Tout cela avant la fameuse lettre de Nicolas Sarkozy, qui bloque le beau projet.

"Selon les nombreux témoins interrogés par Marianne, cette lettre est un point de non-retour dans les relations entre Sarkozy et Kouchner. Ce dernier aurait même menacé de démissionner, une nouvelle fois", raconte l'hebdomadaire. Pas question pour le ministre des affaires étrangères de transformer sa conférence sur la liberté en conférence sur la régulation et le contrôle, comme le demande le conseiller diplomatique de Sarkozy, Jean-Bernard Levitte. "Chez Kouchner, on est consterné par cette approche répressive", assure Marianne.

" Le ministre écrit avoir le soutien de « très nombreux gouvernements et acteurs de la société civile » qui « observent qu’Internet est aujourd’hui l’un des principaux alliés des défenseurs des droits de l’homme dans le monde [et qui] partagent [leur] inquiétude à l’égard de la répression croissante qui s’abat sur la Toile ». Kouchner enfonce le clou : « La défense d’un Internet ouvert, universel, est devenue un sujet majeur de politique internationale et une composante essentielle de notre engagement en faveur de la démocratie et des droits. » Rien n’y fait ".

Deux mois plus tard à peine, la Tunisie commençait à se soulever, à s'organiser par Facebook pour renverser Ben Ali. Michèle Alliot-Marie, qui avait définitivement rayé le projet de Kouchner lorsqu'elle l'a remplacé, est plus tard exclue du gouvernement, notamment pour avoir proposé d'apporter son aide contre les manifestants.

La conférence voulu par Bernard Kouchner avec 17 pays se transforme en e-G8, qui se tiendra mardi et mercredi prochain à Paris. " Des sujets programmés au temps de Kouchner, seuls demeurent le développement économique, la sécurité, la cybercriminalité, la gouvernance d’Internet et Hadopi – la liberté d’expression a mystérieusement disparu ", constate Marianne. " Les cyberdissidents deviennent définitivement persona non grata au e-G8 ".

[nico37]

EU Database Nation(s): surveiller et punir en Europe

Les manifestants ne sont pas les seuls à être répertoriés dans les fichiers de l'Union européenne. Les migrants, les expulsés, les voyageurs et passagers, ceux qui utilisent le net ou le téléphone sont eux aussi "profilés".

La coopération policière et judiciaire bat son plein au sein de l’UE.

Par touches successives, les États ont accepté de perdre leur souveraineté en matière de maintien de l’ordre et de prévention de la criminalité. Au risque de créer de nouveaux amalgames qui menacent directement les manifestations légitimes ou de simples militants pacifistes.

L’information en la matière n’a jamais été le point fort de l’Union. Ce n’est que très récemment que la Commission européenne a publié — en juillet 2010 — un document exhaustif sur la liste exacte des différents traitements automatisés nominatifs à portée supra-nationale (« Présentation générale de la gestion de l’information dans le domaine de la liberté, de la sécurité et de la justice » — voir le résumé des procédés mis en oeuvre, et le rapport complet).

Certains utilisent des données collectées dans les États membres, d’autres comportent des éléments récoltés par des agences supranationales — comme Europol (coopération policière), Système d’information Schengen (SIS), ou encore Frontex (sécurité des frontières extérieures) — et partagés ensuite entre les 27 gouvernements. A cela s’ajoute des procédures d’échanges d’informations automatiques ou ponctuelles, décidées par le Conseil dans des « décisions-cadre » au gré de l’actualité (Traité de Prüm, Programme de Stockholm, etc.), échappant le plus souvent au regard des parlements nationaux (pointez la souris
sur les noms des fichiers pour faire apparaître leurs descriptions) :

- Les fichiers «souverains» de l’UE
- Eurodac Europol Eurojust VIS (système d’information des visas)
- SIS (Système d’information Schengen, 2001) et SIS-II (en cours)

Fichiers nationaux pouvant être partagés

Listes des voyageurs Données passagers (PNR) Données de communication et de trafic
Programme de Stockohlm
Données passagers (PNR) Listes noires (ESTA & EES) Fichiers policiers (EPRIS) Financement du terrorisme (TFTP de l'UE)

Dans cette liste à la Prévert, on stocke à la fois des données sur de simples suspects que sur des personnes condamnées, ou qui font l’objet de mandats d’arrêts.

Exemple : les fichiers d’Europol — baptisés «fichiers de travail à des fins d’analyse» — portent sur des personnes «suspectées» ou «condamnées», et plus largement sur ceux qui «pourraient commettre des infractions pénales» (article 12 du nouveau règlement Europol, d’avril 2009, .pdf en anglais). On y retrouve même des items qui firent hurler en France lors de l’affaire du fichier “Edvige”, comme des « données à caractère personnel révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, ainsi que le traitement de données concernant la santé ou la sexualité ».

Un individu présent dans un fichier peut se retrouver presque automatiquement dans les autres — SIS et SIS II (Schengen), VIS (visas), API et PNR (données passagers), SID (douanes), ECRIS (casiers judiciaires), Prüm, Europol, Eurojust, etc. Et ses données biométriques (digitales, génétiques, visages) peuvent être traitées dans pas moins de 8 fichiers ou systèmes d’échange.

Certains fichiers centralisés à l’UE — surtout ceux régulant les flux migratoires — comportent des données biométriques, y compris des profils ADN. Les durées de conversation sont soit imprécises soit jamais mentionnées — et dans le cas d’éléments partagées avec les Etats-Unis, c’est Washington qui décide : 15 ans de stockage, par exemple, pour les traces de tous les vols transatlantiques (fichiers PNR), vient de révéler The Guardian. Les autorités pouvant avoir accès varient en fonction des finalités. Les droits de recours, d’opposition ou de rectification ne font pas l’objet d’une communication rigoureuse et normalisée. Et les rares « autorités de contrôles » mises en place n’ont quasiment aucuns pouvoirs contraignants pour limiter la casse sur les droits politiques et sociaux. Bref, la machine à « surveiller et punir » de l’UE n’a rien à envier de sa grande soeur étasunienne.

Le Contrôleur européen à la protection des données (CEPD), Peter Hustinx, a publié en décembre 2010 un avis (.pdf) sur cette « présentation générale ». Un extrait illustre bien le dialogue de sourd qui s’instaure en haut lieu :

« La Commission évoque le concept de la prise en compte du respect de la vie privée dès la conception («privacy by design») à la page 25 de la communication (…) Le CEPD se félicite de la référence à ce concept qui est actuellement en cours de développement, dans le secteur public comme dans le secteur privé, et qui doit également jouer un rôle important dans le domaine de la police et de la justice.

Le CEPD remarque [néanmoins] que ni les orientations générales décrites dans cette communication, ni les lignes directrices élaborées par la Commission en matière d’analyse d’impact n’explicitent cet aspect et n’en font une exigence politique. »

La lutte contre le terrorisme est l’arme favorite de l’UE pour justifier de tels déploiements de surveillance technologique. C’est le domaine de compétences de Martin Scheinin, rapporteur spécial du Conseil des Droits de l’homme de l’ONU chargé de la « promotion des droits de l’homme dans la lutte contre le terrorisme ».

Des techniques au service du profiling

Dans un rapport de décembre 2009, il mentionnait les multiples entraves aux libertés individuelles des lois antiterroristes, en mettant l’Europe au même banc que les Etats-Unis. « Certaines intrusions dans la vie privée des personnes peuvent devenir permanentes dans la mesure où les traits physiques et biologiques sont souvent centralisés dans une seule base de données », remarquait-il. Parmi les outils et mesures les plus contestés :

* rassemblement de listes et de bases de données;
* surveillance accrue des données bancaires, de communications et relatives aux voyages;
* utilisation de techniques de profiling pour identifier des suspects potentiels;
* accumulation de fichiers encore plus larges pour évaluer la probabilité d’activités suspectes et l’identification de personnes à des fins d’analyses futures;
* techniques avancées comme la collecte de données biométriques ou de scanners corporels.

Martin Scheinin épinglait l’UE pour sa volonté de détourner Eurodac, le système d’identification biométrique des demandeurs d’asile, de sa finalité première (en sachant que détourner un fichier est une infraction pénale dans tous les pays de l’Union). Le Conseil de l’UE voulait sans complexe utiliser ce fichier d’empreintes digitales — de personnes très vulnérables, faut-il le rappeler — pour « aider à prévenir, détecter et enquêter sur les menaces terroristes ». Faisant ainsi un amalgame entre «migrants» et «terroristes»… Un projet en souffrance, mais qui pourrait voir le jour malgré l’opposition actuelle du Parlement européen.

Dans un rapport plus récent de mai 2010 (document .doc) portant spécifiquement sur la politique de sécurité européenne, il citait les systèmes SIS, Eurodac et VIS (systèmes d’information des visas) comme ayant les « plus sérieuses implications pour les libertés fondamentales » en pointant les multiples « insuffisances » dans la protection des personnes ciblées.

Le rapporteur spécial s’en prend aussi à l’une des décisions-cadres citées dans l’étude de la Commission. Celle prise en 2006 suite aux attentats de Madrid deux ans plus tôt, et visant à « faciliter l’échange d’informations entre les services répressifs des États membres ». Cela a pour conséquence, écrit-il, de permettre à certaines forces de police d’accéder à « des données qu’elles seraient dans l’impossibilité d’obtenir légalement dans leur propre pays »…

Le Traité de Prûm, inspiré lui aussi par les attentats de Londres et Madrid, signé en mai 2005 par seulement six pays européens (Belgique, France, Espagne, Allemagne, Luxembourg et Pays-Bas), a tout de même été intégré au régime légal de l’ensemble de l’UE. «C’est regrettable, déplore Martin Scheinin, ce traité autorise l’échange de profils ADN qui ont un très sérieux impact sur les libertés». Surtout que certains pays, comme la France, y incluent des profils génétiques de simples suspects, y compris mineurs.

Un fichier des reconduits à la frontière en charter

L’agence Frontex — matérialisation policière de la « Forteresse Europe » — envisage elle aussi de créer une base centralisée, placée sous sa responsabilité. Non recensée par l’étude de la Commission, car trop récent, son projet vise à ficher toute personne en situation irrégulière lorsqu’il est « reconduit » (« expulsé » en terme clair) dans le cadre d’«opérations conjointes de retour par voie aérienne» (en clair, des charters d’étrangers faisant escale dans plusieurs pays de l’Union).

Ce fichier central doit lister «le nombre et l’identité exacte [des expulsés], fournir une liste à la compagnie, identifier les risques liés à chaque personne, savoir si des mineurs sont présents» et quel est «l’état de santé de chacun pour leur apporter une aide médicale adéquate»

Le CEPD, dans un avis (.pdf) d’avril 2010, recommande que Frontex ne soit autorisé à traiter seulement la réponse à la question « ce passager est-il en bonne santé ? – oui/non». Il note aussi que l’agence a « oublié » de garantir aux personnes fichées leurs droits fondamentaux. « Frontex n’a jusqu’ici pas détaillé de procédures spécifiques pour garantir le droit de ces personnes» (droit d’information, d’accès, de rectification et d’opposition), et rappelle l’extrême fragilité des personnes prises en charge.

Dans la majeure partie des cas, leur langue natale ne sera pas celle d’un des états membres et seront de plus en situation de grande détresse. [Il faut donc que] l’information fournie leur soit compréhensible (…). [Pour] les personnes illettrées un agent devra pouvoir les informer par oral. Les notices d’informations devront être rédigées dans un langage clair et simple en évitant des terminologies juridiques (…).

Un autre projet intra-UE (non recensé) inquiète fortement le CEPD : Eurosur. Nom de code du « système européen de surveillance des frontières », il doit être présenté par la Commission en décembre 2011.
La dernière mention de ce projet dans les serveurs de Bruxelles date du 5 mai dernier, dans une note consacrée à la « crise migratoire » (sic) qui sévit en Méditerranée. Les réfugiés qui tentent de quitter leurs pays en guerre seront ravis d’apprendre que l’Europe les soigne au plus près. Alors que le bilan humain est chiffré par les ONG à plus de 1000 morts depuis janvier 2011, Eurosur est présenté comme une solution.
Objectifs : « créer un corps de garde-frontières européens » et parvenir à une « culture commune (…) soutenue par une coopération pratique »…

Dans un avis général (.pdf) de décembre 2010 portant sur « La stratégie de sécurité intérieure de l’UE en action », le CEPD s’interroge :

Le CEPD note qu’il n’est pas clairement établi si la proposition législative sur EUROSUR (…) prévoira aussi le traitement des données à caractère personnel (…). Cette question est d’autant plus pertinente que la communication établit un lien clair entre EUROSUR et FRONTEX aux niveaux tactique, opérationnel et stratégique.

Pas difficile de voir Eurosur comme une menace sérieuse pour les libertés individuelles. Car il se base sur une foule de projets technologiques financés par le 7ème projet-cadre de recherche de l’UE (2007-2013). Une belle brochure (.pdf), éditée en 2009, décrit les techno-merveilles d’une « Europe plus sûre ». Parmi les 45 projets recensés, 17 sont menées par des institutions dont l’activité principale est d’ordre militaire; 5 autres sont dirigés par des industriels de la
sécurité ou de la défense (Thales, Finmeccanica, EADS, Sagem, Saab et BAE Systems).

INDECT insiste par exemple sur la « sécurité des citoyens en environnement urbain ». ADABTS (Automatic Detection of Abnormal Behaviour and Threats in crowded Spaces), de BAE Systems, prévoit de son côté de détecter les « comportements anormaux dans la foule », grâce à des « capteurs acoustiques et vidéo ». Si les « hooligans » sont ciblés en premier, les manifestants ne seront pas oubliés.

Le projet « EU-SEC II » a la même pudeur en citant la surveillance des rencontres sportives, alors que tout rassemblement public sera dans le collimateur. Maîtres d’oeuvre du chantier : l’agence Europol et une vingtaine de directions nationales de la police (la DGPN pour la France).

Quant au projet IMSK (Integrated Mobile Security Kit), il se permet de citer les « sommets politique de type G8 » pour justifier un arsenal de « capteurs optiques, infra-rouges, radar, acoustiques et vibratoires, rayons-x et gamma… ». Et ainsi de suite…

PS. — Le titre s’inspire du bouquin “Database Nation” (O’Reilly, 2000), écrit par le journaliste de Wired Simson Garkinkel, qui décrivait les ramifications de fichiers en tous genres aux Etats-Unis.

[gérard menvussa]

Fraudes aux allocations : l’UMP nous ressort son fichier national

68
Clicanoo.re
publié le 9 août 2011
06h11

Fraudes aux allocations : l'UMP nous ressort son fichier national

À la Caf, le montant total des fraudes en 2010 a atteint 4,2 millions d’euros. De multiples recoupements de données entre administrations ont permis de repérer deux fois plus de dossiers frauduleux (Photo : LLY).
Réduire Augmenter Imprimer Favori Commenter

Facebook
Google
Live
MySpace
Twitter
Wikio

Xavier Bertrand, ministre du Travail, a une nouvelle fois martelé qu’un fichier national sera mis en place, d’ici la fin de l’année, pour lutter contre la fraude aux prestations sociales. Un rappel fédérateur à droite... comme à gauche.
SUR LE MÊME SUJET
Réactions
Les fraudes fiscales devancent les fraudes sociales

La chasse aux fraudeurs est ouverte. Plus que jamais, le gouvernement souhaite le rappeler. Alors que les vacanciers du mois d’août bronzent tout en repensant vaguement aux dernières infos entendues sur la dette des pays riches, ce message politique clivant, fédérateur, voire un tantinet provocateur, tombe à point nommé. Dimanche soir, Xavier Bertrand, ministre du Travail et de la Santé, a annoncé à l’AFP la mise en place d’”un fichier unique des allocataires sociaux avant la fin de l’année”, qui est selon lui “la meilleure façon de renforcer la lutte contre des fraudes sociales”. Une idée soufflée par le député UMP Dominique Tian et amplifiée par le ministre des Transports, Thierry Mariani, un représentant de l’aile conservatrice de l’UMP et fondateur du mouvement Droite populaire. Après les récentes critiques de Laurent Wauquiez sur le “cancer” de l’”assistanat” et sa proposition de faire travailler bénévolement les bénéficiaires d’un RSA, la gauche a vivement réagi à cette nouvelle initiative d’un ministre UMP. Ce n’est pas la première fois que cette bannière est brandie par la majorité. Déjà, en mars dernier, Xavier Bertrand avait annoncé un renforcement des contrôles et la création d’un Répertoire national commun de la protection sociale (RNCPS) “opérationnel d’ici à la fin de l’année”.

“Catégories à risques”

Avec le RNCPS, l’accomplissement de la centralisation de la lutte contre les abus permettrait d’éviter que des fraudeurs touchent des prestations dans des caisses différentes. Il éviterait aussi que des assurés sociaux ayant déménagé, puissent continuer, sans l’avoir voulu, à percevoir des allocations de leur caisse d’origine. “Ils n’ont pas besoin de nous pour le mettre en place puisque toutes les déclarations sont nationales, rappelle le service communication de la Caf Réunion. Si Xavier Bertrand veut contrôler, il pourra le faire. Nous appliquons déjà les consignes sur le contrôle multi-allocataires, concernant des “catégories à risques”, principalement les bénéficiaires des minima sociaux et de l’allocation logement”. La Caf a déjà eu l’occasion de le dire : de son point de vue, les contrôles sont “nombreux et maîtrisés”. Un super-fichier qui laisse sceptique sur le terrain. “Le gouvernement recherche un effet d’annonce politique, estime Alexandra Pedre, déléguée syndicale Cfdt à la Caf. On recoupe déjà nos fichiers avec ceux de l’Assedic. Pour toutes les rentes vieillesse, veuvage, nous sommes en liaison avec la Sécurité sociale qui dispose de données sur les retraites. Frauder, c’est compliqué et les usurpations d’identité sont rarissimes.” Le contrôle a été renforcé en ce qui concerne les fraudes aux allocations logement. Les bailleurs fictifs sont depuis peu détectés grâce au recoupement avec les informations délivrées par le cadastre. Reste quelques situations litigieuses comme l’attribution de l’Allocation Parents Isolé. Tout repose sur la déclaration de l’allocataire. Vit-il isolément ou en couple ? Au pôle de contrôleur (seulement une quinzaine d’agents sont chargés de contrôler près de 100 000 allocataires bénéficiaires des prestations sociales) de le vérifier sur place et sur pièce.

DÉCALAGES

À l’arrivée, la Caf peut se targuer d’avoir doublé sur une année son quota de fraudeurs. En 2010, la Caf a détecté dans la branche famille 355 dossiers frauduleux (contre 168 en 2009). Un résultat qui était fortement attendu puisque la Chambre régionale des comptes, dans son rapport d’observation de mars 2010, avait dénoncé les contrôles insuffisants menés par la Caf et l’Adi sur ce point : le taux local de fraudeurs (7 %) étant largement inférieur à la moyenne nationale (11 %).

Si la fraude sociale ne peut pas être chiffrée avec précision, il est possible de s’en faire une idée. En 2010, le préjudice subit et révélé par la Caf était de l’ordre de 4,2 millions d’euros. La branche assurance maladie de la CGSS annonçait un découvert frauduleux légèrement supérieur à un million d’euros. En 2007, Les embauches illégales avaient coûté près de 500 000 euros de redressement aux employeurs locaux. Un chiffre probablement très éloigné du montant total des fuites liées à la réalité du travail au noir.

Néanmoins, et avec un total d’environ 6 millions d’euros, la fraude sociale à La Réunion ne pèse pas lourd face au poids de la fraude fiscale : environ 300 millions .

Autre comparaison, nationale cette fois, présentée dans le rapport parlementaire du député UMP des Bouches-du-Rhône Dominique Tian, publié fin juin. Selon celui-ci, le montant global de la fraude en France serait évalué à 20 milliards d’euros (estimation la plus haute), dont une fourchette comprise en 8 et 15,8 milliards de fraude aux prélèvements sociaux (cotisations patronales et salariales non versées en raison du travail au noir), et une autre comprise entre 2 et 3 milliards pour les prestations sociales (indemnités d’arrêts maladie, allocations familiales, RSA, etc.). Un décalage étonnant, toujours contourné par la communication du gouvernement

Textes : Juliane Ponin-Ballom et Yoann Guilloux

Six millions


C’est le manque à gagner pour les organismes sociaux après une année de fraudes en 2010. La Caf aurait perdu 4,2 millions d’euros. La branche assurance-maladie de la CGSS annonçait un découvert frauduleux d’1,1 million d’euros. Reste le chiffre méconnu des fraudes aux prélèvements sociaux évalué en 2007 à 500 000 euros. La fraude au fisc est évaluée à La Réunion à près de 300 millions d’euros.


De la Caf péi...


La Caf a recensé 1 094 fraudes dans 355 dossiers de demandes en 2010. Dans le détail, ont été repérés : 232 omissions ou fausses déclarations, 795 vie maritale non déclarée, 28 faux et usage de faux et 39 autres cas. La fraude au RMI, en 2010
a été repérée dans 244 dossiers. La Caf a déposé plainte à 95 reprises. Des pénalités ont été prononcées dans 69 cas.


...à la Caf nationale


Le nombre de fraudes recensées par toutes les Caf en 2010,
a atteint le chiffre de 13 114, ce qui représente 0,12 % des allocataires de la branche (9 397 en 2008, 11 733 en 2009). Cette filouterie coûte cher : 90,15 millions d’euros pour 2010 (85,6 millions en 2009). 60 % des fraudes résultent de déclarations d’activités ou de ressources non à jour, 36 % sont des dissimulations de concubinage, et 4% sont des escroqueries, faux et usages de faux documents.

[Roseau]

Lors des prochaines révoltes en France, l’Etat pourra faire appel aux réservistes.
Le décret a été publié le 28 juillet 2011 .

Source : http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=?cidTexte=JORFTEXT000024408855&dateTexte=&oldAction=rechJO&categorieLien=id

[nico37]

Dénoncer une faille de sécurité, c'est du piratage ?

TMG avait indiqué porter plainte pour cause de vol de données, sur un serveur... non protégé. A l'origine, une faille de sécurité mise au jour
par un blogueur. Finalement, il semblerait que l'affaire TMG vs Bluetouff n'aura pas lieu.

C'est une affaire dont Trident Media Guard (TMG) se serait bien passé.

En plus d'avoir été négligent sur la sécurité des données personnelles, le prestataire technique spécialisé dans les technologies d'analyse des flux sur les réseaux peer-to-peer, chargé de transmettre les adresses IP utilisées par l'Hadopi pour identifier les internautes qui téléchargent
des oeuvres protégées par le droit d'auteur, se retrouve aujourd'hui au centre d'un débat sur le hacking.

TMG s'est d'abord fait épingler par le blogueur Olivier Laurelli (Bluetouff) qui a découvert une faille de sécurité sur un de ses serveurs. En conséquence de quoi, l'Hadopi et la Cnil ont diligenté illico presto un contrôle, et Hadopi a suspendu sa connexion informatique avec TMG. Las, l'affaire ne s'arrête pas là puisque TMG a déclaré à Ouest-France avoir porté plainte, se déclarant "victime d'un vol de données". Or, la SCPP, un représentant des ayants-droit cité par PC Inpact, a expliqué que le serveur concerné n'était "pas protégé car ne contenant pas d'informations confidentielles". Lemonde.fr relevait que dans ce cas l'intrusion informatique n'est pas automatiquement caractérisée. Ne manquait plus que TMG s'en prenne sans raison légitime à Bluetouff pour catalyser le ressentiment des anti-Hadopi, déjà bien remontés à son encontre.

Cependant, contrairement aux apparences, l'affaire pourrait se calmer plus vite que prévu.

Olivier Laurelli a indiqué à lexpansion.com que Reflets.info, à l'origine de la publication, n'avait été notifié d'aucune plainte pour le moment. "Nous réfutons en tout cas toute accusation de piratage que pourrait invoquer TMG pour masquer maladroitement sa propre négligence.
Nous nous amusons en outre que la divulgation de données de test, avec des IP de test, d'internautes de test, sur un serveur de test... suscite un tel émoi chez TMG", explique-t-il.

Si aucune plainte n'est confirmée, c'est que du côté de chez TMG, on a peut-être parlé un peu trop vite. "Nous envisageons de retirer notre
plainte contre X", confie un porte-parole de la société, qui explique ne pas "vouloir jeter l'opprobre sur qui que ce soit", à moins de trouver une preuve formelle d'intrusion d'ici là. La plainte n'aurait peut-être même pas été déposée du tout.

Est-on coupable d'intrusion quand on entre sur un serveur non protégé ?

Dans le cas où elle le serait, la jurisprudence n'est pas si floue que cela en la matière et il y a de grandes chances que l'affaire soit classée. L'affaire qui fait référence est celle de Kitetoa, en 2002. Il s'agissait là encore d'un auteur de Reflets.info, qui avait découvert une faille de sécurité sur un serveur de Tati. "La cour d'appel a posé des principes sur les limites à respecter, qui font depuis autorité, explique Benoît Louvet, avocat spécialisé dans les domaines d'internet et de l'informatique. Il y a hacking soit à partir du moment où on contourne des mesures techniques qui empêchent d'entrer sur un serveur, ce qui revient à commettre une intrusion. Soit quand il n'y a pas de protection ou que la mesure n'est pas opérante, mais qu'il est évident qu'on entre dans un espace dans lequel on n'a pas le droit d'entrer." Un pirate coupable d'intrusion risque une amende et trois ans de prison, mais la peine est très théorique.

Qu'en est-il exactement pour TMG ? "Toutes les données étaient accessibles d'un simple clic, sans strictement aucun avertissement sur la nature confidentielle des données ni aucun dispositif de sécurité", précise Olivier Laurelli. Il semble donc bien que dans ce cas il n'y ait pas piratage.

Là où le droit est plus flou, c'est sur la dénonciation des failles de sécurité. Benoît Louvet rappelle qu'il n'y a ni obligation de dénonciation (cela n'existe que pour les crimes), ni interdiction. Si elle procède d'une volonté manifeste de nuire, cela joue en défaveur de son auteur. En revanche, si la dénonciation est utile - ce que l'on pourrait dire de l'avertissement lancé par Olivier Laurelli, personne n'a envie que ses données se baladent dans la nature -, cela n'entraîne pas forcément la clémence.

[Roseau]

29 juillet 2011 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 1 sur 117
. .
LOIS
LOI no 2011-892 du 28 juillet 2011 tendant à faciliter l’utilisation des réserves militaires
et civiles en cas de crise majeure (1)
NOR : DEFX1109967L
L’Assemblée nationale et le Sénat ont adopté,
Le Président de la République promulgue la loi dont la teneur suit :
TITRE Ier
DISPOSITIF DE RÉSERVE DE SÉCURITÉ NATIONALE
Article 1er
Le livre Ier de la deuxième partie du code de la défense est complété par un titre VII ainsi rédigé :
« TITRE VII
« DISPOSITIF DE RÉSERVE DE SÉCURITÉ NATIONALE
« CHAPITRE UNIQUE
« Art. L. 2171-1. − En cas de survenance, sur tout ou partie du territoire national, d’une crise majeure dont
l’ampleur met en péril la continuité de l’action de l’Etat, la sécurité de la population ou la capacité de survie de
la Nation, le Premier ministre peut recourir au dispositif de réserve de sécurité nationale par décret.
« Le dispositif de réserve de sécurité nationale a pour objectif de renforcer les moyens mis en oeuvre par les
services de l’Etat, les collectivités territoriales ou par toute autre personne de droit public ou privé participant à
une mission de service public.
« Il est constitué des réservistes de la réserve opérationnelle militaire, de la réserve civile de la police
nationale, de la réserve sanitaire, de la réserve civile pénitentiaire et des réserves de sécurité civile.
« Art. L. 2171-2. − Le décret mentionné à l’article L. 2171-1 précise la durée d’emploi des réservistes,
laquelle ne peut excéder trente jours consécutifs. Cette durée d’activité peut être augmentée dans des conditions
et selon des modalités fixées par décret en Conseil d’Etat.
« Art. L. 2171-3. − Les périodes d’emploi réalisées au titre du dispositif de réserve de sécurité nationale ne
sont pas imputables sur le nombre annuel maximal de jours d’activité pouvant être accomplis dans le cadre de
l’engagement souscrit par le réserviste.
« L’engagement du réserviste arrivant à terme avant la fin de la période d’emploi au titre de la réserve de
sécurité nationale est prorogé d’office jusqu’à la fin de cette période.
« Art. L. 2171-4. − Lorsqu’ils exercent des activités au titre du dispositif de réserve de sécurité nationale,
les réservistes demeurent, sauf dispositions contraires prévues par le présent chapitre, soumis aux dispositions
législatives et réglementaires régissant leur engagement.
« Art. L. 2171-5. − Aucun licenciement ou déclassement professionnel, aucune sanction disciplinaire ne peut
être prononcé à l’encontre d’un réserviste en raison des absences résultant de l’application du présent chapitre.
« Aucun établissement ou organisme de formation public ou privé ne peut prendre de mesure préjudiciable à
l’accomplissement normal du cursus de formation entrepris par un étudiant ou un stagiaire en raison des
absences résultant de l’application du présent chapitre.
« Art. L. 2171-6. − Lors du recours au dispositif de réserve de sécurité nationale, les réservistes sont tenus
de rejoindre leur affectation, dans les conditions fixées par les autorités civiles ou militaires dont ils relèvent au
titre de leur engagement.
« En cas de nécessité inhérente à la poursuite de la production de biens ou de services ou à la continuité du
service public, les réservistes employés par un des opérateurs publics et privés ou des gestionnaires
d’établissements désignés par l’autorité administrative conformément aux articles L. 1332-1 et L. 1332-2
peuvent être dégagés de ces obligations.
« Les conditions de convocation des réservistes sont fixées par décret en Conseil d’Etat. Ce décret détermine
notamment le délai minimal de préavis de convocation.
« Art. L. 2171-7. − Un décret en Conseil d’Etat détermine les conditions d’application du présent chapitre. »
29 juillet 2011 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 1 sur 117
. .
Article 2
Après l’article L. 4211-1 du même code, il est inséré un article L. 4211-1-1 ainsi rédigé :
« Art. L. 4211-1-1. − Les membres de la réserve opérationnelle militaire font partie du dispositif de réserve
de sécurité nationale mentionné à l’article L. 2171-1 dont l’objectif est de renforcer les moyens mis en oeuvre
par les services de l’Etat, les collectivités territoriales ou par toute autre personne de droit public ou privé
participant à une mission de service public en cas de survenance sur tout ou partie du territoire national d’une
crise majeure. »
TITRE II
DU SERVICE DE SÉCURITÉ NATIONALE
Article 3
Le titre V du même livre Ier est ainsi rédigé :
« TITRE V
« SERVICE DE SÉCURITÉ NATIONALE
« CHAPITRE UNIQUE
« Art. L. 2151-1. − Le service de sécurité nationale est destiné à assurer la continuité de l’action de l’Etat,
des collectivités territoriales, et des organismes qui leur sont rattachés, ainsi que des entreprises et
établissements dont les activités contribuent à la sécurité nationale.
« Le service de sécurité nationale est applicable au personnel, visé par un plan de continuité ou de
rétablissement d’activité, d’un des opérateurs publics et privés ou des gestionnaires d’établissements désignés
par l’autorité administrative conformément aux articles L. 1332-1 et L. 1332-2.
« Seules les personnes majeures de nationalité française, ressortissantes de l’Union européenne, sans
nationalité ou bénéficiant du droit d’asile peuvent être soumises aux obligations du service de sécurité
nationale.
« Art. L. 2151-2. − Dans les circonstances prévues aux articles L. 1111-2 et L. 2171-1 ou à l’article 1er de la
loi no 55-385 du 3 avril 1955, le recours au service de sécurité nationale est décidé par décret en conseil des
ministres.
« Art. L. 2151-3. − Lors du recours au service de sécurité nationale, les personnes placées sous ce régime
sont maintenues dans leur emploi habituel ou tenues de le rejoindre.
« Elles continuent d’être soumises aux règles de discipline et aux sanctions fixées par les statuts ou les
règlements intérieurs de leur organisme d’emploi.
« Art. L. 2151-4. − Les employeurs mentionnés au deuxième alinéa de l’article L. 2151-1 sont tenus
d’élaborer des plans de continuité ou de rétablissement d’activité et de notifier aux personnes concernées par
ces plans qu’elles sont susceptibles d’être placées sous le régime du service de sécurité nationale.
« Art. L. 2151-5. − Les modalités d’application du présent titre sont déterminées par décret en Conseil
d’Etat. »
Article 4
A la fin du deuxième alinéa de l’article L. 2211-1 et au premier alinéa de l’article L. 2212-1 du même code,
le mot : « défense » est remplacé par les mots : « sécurité nationale ».
Article 5
Aux articles L. 4271-1, L. 4271-2, L. 4271-3, L. 4271-4 et L. 4271-5 du même code, la référence :
« L. 2151-4 » est remplacée par la référence : « L. 2151-3 ».
Article 6
La seconde phrase du second alinéa de l’article L. 1424-8-4 du code général des collectivités territoriales est
supprimée.
La présente loi sera exécutée comme loi de l’Etat.
Fait à Paris, le 28 juillet 2011.

[nico37]

Des établissements scolaires sont mis en demeure de modifier leurs dispositifs de vidéosurveillance jugés excessifs 30 mai 2011

Plusieurs établissements scolaires ont été mis en demeure par le Président de la CNIL de modifier leurs dispositifs de vidéosurveillance. Lors de contrôles, la CNIL a constaté que ces dispositifs filmaient en permanence des « lieux de vie » tels que la cour de récréation, le préau ou le foyer des élèves. Les élèves et les personnels de l’établissement étaient ainsi placés sous une surveillance permanente. Or, seules des circonstances exceptionnelles peuvent justifier la mise en place de tels dispositifs de surveillance.
Certains établissements scolaires utilisent maintenant depuis de nombreuses années la vidéoprotection afin de renforcer la sécurité de leurs abords. Ces dispositifs, parce qu’ils filment la voie publique, doivent être autorisés par le préfet.
Depuis quelques mois, la CNIL reçoit un nombre croissant de plaintes d’associations, de parents d’élèves ou d’enseignants concernant l’installation de caméras au sein même d’établissements scolaires et non plus seulement sur la voie publique. La CNIL a effectué des contrôles auprès de certains des établissements mis en cause afin d’apprécier la régularité de ces dispositifs.
Les caméras, qui peuvent être installées pour protéger les biens ou les personnes, lutter contre la fugue ou le tabagisme, filment les lieux de vie de ces établissements tels que les cours de récréation, les préaux, les jardins ou les foyers des élèves. Elles permettent alors une surveillance permanente des personnes qui s’y trouvent, qu’il s’agisse des élèves ou des enseignants.
Cette collecte excessive de données a conduit le président de la CNIL à mettre en demeure cinq de ces établissements de modifier leur système qui porte atteinte aux libertés des élèves et personnels de l’établissement scolaire, en les filmant en continu.
En effet, la sécurisation des biens et des personnes peut être obtenue par la mise en œuvre de moyens moins intrusifs : sécurisation renforcée des accès par exemple, ou configuration du dispositif de vidéosurveillance qui peut être limité aux seuls accès de l’établissement.
Seules des circonstances exceptionnelles – établissements scolaires victimes d’actes de malveillance fréquents et répétés – peuvent justifier que des élèves et des enseignants soient filmés en continu.
La Commission a également veillé à ce que les élèves, leurs parents et les personnels soient parfaitement informés de l’existence de ces dispositifs et de leur finalité, ce qui n’était pas toujours le cas.

Les caméras de surveillance indésirables dans les écoles

Cinq établissements scolaires qui avaient installé des caméras de vidéosurveillance dans leurs locaux sont sommés par la Cnil de les retirer au motif qu’elles portent atteinte aux libertés. Une initiative qui a valeur de jurisprudence.

De plus en plus populaires, en banlieue comme à la campagne, les systèmes de vidéosurveillance placés à l’intérieur des établissements scolaires connaissent peut-être leurs dernières heures. Saisie début 2010 par plusieurs associations de parents d’élèves et d’enseignants, la Commission nationale de l’informatique et des libertés (Cnil) vient de mettre en demeure cinq d’entre eux de retirer les équipements installés dans les lieux de vie, tels la cour de récréation, le préau ou le foyer des élèves.

Une décision qui concerne tout type d’établissement, de la maternelle au lycée, et « qui a valeur de jurisprudence », s’empresse de préciser la Cnil.
Pour justifier cette sanction, l’autorité indépendante estime que la présence de caméras à l’intérieur d’une école — celles qui filment les abords ne sont pas concernées — constitue « une collecte excessive de données, qui porte atteinte aux libertés des élèves et personnels ». « Dans un établissement scolaire, la sécurité des élèves doit d’abord être assurée par les surveillants et le personnel éducatif, résume Thomas Dautieu, responsable des contrôles à la Cnil. On ne peut pas dire aux enfants : Faites attention à votre vie privée sur Internet, et dans le même temps les filmer en permanence quand ils sont à l’école. »

De fait, cette mise en demeure établit une nouvelle norme en la matière. « En cas de plaintes similaires, nous appliquerons la même décision », prévient Thomas Dautieu. Seule exception : certaines écoles victimes d’actes de malveillance répétés pourront faire valoir la nécessité d’un tel dispositif. « Les chefs d’établissement devront justifier d’un danger réel pour la sécurité des biens ou des personnes, et dans des zones bien définies. Nous examinerons ces demandes au cas par cas », poursuit le responsable des contrôles. En cas de feu vert, l’école concernée devra « informer de façon claire élèves, parents et enseignants de la présence de caméras dans les locaux ».

Si aucun chiffre officiel ne permet de mesurer son ampleur, la vidéosurveillance en milieu scolaire est un « phénomène en augmentation » qui ne touche pas « uniquement les banlieues difficiles », rappelle la Cnil. Soucieuse de ne pas pointer du doigt les cinq écoles sanctionnées, la commission se contente de préciser qu’il ne s’agit pas « forcément d’établissements exposés à des faits de violence fréquents, l’un étant même situé dans une zone rurale réputée calme ». Si la mise en demeure n’est pas suivie d’effets, l’autorité pourra alors exiger le paiement d’une amende de 150 000 €. « Il y a peu de chances de devoir en arriver
là, assure Thomas Dautieu. En installant ces caméras, les chefs d’établissement n’avaient pas de mauvaises intentions. Ils ne s’étaient simplement pas posé la question de savoir s’ils en avaient vraiment besoin. »

[nico37]

La vidéoprotection, une gabegie (tribune libre)

Après Paris, c'est Marseille, deuxième plus grande ville de France, qui a annoncé son plan "1 000 caméras". La question est à l'ordre du jour du conseil municipal extraordinaire qui a lieu le 30 juin dans la cité phocéenne. De fait, les municipalités de toute taille, de la grande métropole jusqu'au village de zone rural, sont de plus en plus nombreuses à s'équiper en vidéosurveillance. Elles répondent en cela à une "priorité" de la politique de sécurité depuis 2007. Et pourtant, l'efficacité de cette technologie est tout sauf démontrée du point de vue scientifique.

Rappelons d'abord que la vidéosurveillance est utile à bien des choses : pour surveiller des entrepôts, des dépôts et des parkings, afin de lutter contre le vol de matériel. Les banques l'utilisent pour filtrer les entrées et sorties et réduire les risques de braquage. Des magasins s'en servent contre le vol à l'étalage. Les casinos pour repérer les tricheurs.

La vidéosurveillance contribue aussi à la sécurité publique. On l'utilise pour surveiller le trafic autoroutier, et prévenir les accidents dans les sites industriels sensibles... Tout cela existe et fonctionne plus ou moins bien depuis longtemps. La vidéosurveillance est en effet utilisée dans des buts précis, afin de gérer des risques concrets bien identifiés.

Mais ce que l'Etat appelle désormais "vidéoprotection" et qu'il tente de généraliser à toutes les collectivités territoriales (et aux bailleurs sociaux) par une pression politique et une incitation financière, c'est autre chose. Il s'agit ici de déployer des caméras dans l'espace public, dans les rues de nos villes et de nos villages, pour y surveiller tout en général et rien en particulier, en affirmant que cela aura des effets à la fois préventifs et répressifs permettant de diminuer la délinquance.

Or, les évaluations scientifiques contredisent cette affirmation, remettant ainsi en question la bonne gestion de cet argent public.
Précisons d'abord que, par définition, l'évaluation scientifique ne peut être menée que par des chercheurs indépendants du pouvoir politique et des entreprises privées commercialisant cette technologie. L'éthique scientifique ne tolère pas le conflit d'intérêts.

Ensuite, l'évaluation scientifique ne se situe pas sur le terrain philosophique mais sur celui des faits. Elle cherche en l'espèce à répondre aux questions suivantes : la vidéoprotection est-elle une technique efficace de lutte contre la délinquance ? Est-elle un investissement rationnel au regard de l'évaluation d'autres outils de prévention et de répression ? Enfin, une évaluation scientifique repose sur des études de terrain, des observations longues et répétées de fonctionnements ordinaires des dispositifs, des comptages et des calculs précis, des comparaisons rigoureuses et une connaissance de la littérature scientifique internationale.

Tout cela se distingue des arguments des promoteurs politiques et financiers du système, qui utilisent des exemples spectaculaires mais isolés, des faits divers réels mais décontextualisés, des arguments d'autorité au lieu de démonstrations vérifiables et des calculs budgétaires qui "oublient" de compter le coût salarial. Pour toutes ces raisons, beaucoup d'élus et de citoyens seront sans doute surpris d'apprendre que, premièrement, la vidéoprotection n'a qu'un impact
marginal sur la délinquance ; deuxièmement, qu'augmenter cet impact supposerait des moyens policiers supplémentaires alors qu'ils se réduisent ; troisièmement, que le coût réel du système "assèche" tellement les budgets de prévention de la délinquance que l'on doit conclure à un usage très contestable de l'argent public. Développons un peu.

1. La vidéoprotection ne surveille par définition que l'espace public et elle est installée dans les centres-villes. Elle n'a donc aucun impact sur les violences physiques et sexuelles les plus graves et les plus répétées qui surviennent dans la sphère privée. Elle n'en a pas davantage sur les atteintes aux personnes, moins sérieuses, survenant sur la voie publique et qui relèvent le plus souvent d'actes impulsifs (bagarres, rixes entre automobilistes, querelles de sortie de bar, etc.).

Elle n'a ensuite qu'un impact dissuasif marginal sur des infractions fréquentes comme les vols de voiture, les cambriolages de résidences principales ou secondaires, et même sur toute la petite délinquance de voie publique des centres-villes où elle est installée. En réalité, la vidéo permet surtout de repérer et d'identifier a posteriori les auteurs de rixes et d'attroupements sur la voie publique, de dégradations de biens publics ou privés sur la voie publique, enfin, et plus rarement, de vols avec violence, de vols à l'étalage, de braquages de commerces ou encore de petits trafics de stupéfiants.

Tout cela à condition que les caméras soient positionnées sur les lieux de ces délits au bon moment, ce qui est loin d'être le cas, puisque la plupart des caméras effectuent des "parcours" prédéfinis laissant des zones sans surveillance pendant plusieurs minutes.

En définitive, l'impact en termes de détection d'infractions autres que routières se situe entre 1 % et 2 % du total des infractions sur la voie publique traitées en une année par les services de police ou de gendarmerie sur le territoire de la municipalité concernée.

Enfin, l'aspect judiciaire n'est guère plus probant. Les réquisitions d'images à des fins d'enquête après des infractions sont du même niveau statistique, sans que l'on sache si ces images ont été exploitables et exploitées dans la suite des procédures judiciaires. On est donc loin, très loin, d'un système efficace de prévention de la délinquance. Ce bilan plus que médiocre conduit nombre de villes déjà équipées à mobiliser la vidéosurveillance à d'autres usages qui permettent d'en légitimer l'utilité : le contrôle de la circulation et du stationnement, la sécurisation de l'intervention des policiers, des pompiers ou des ambulanciers.

2. Il existe de nombreuses évaluations étrangères (Angleterre, Australie, Canada, Etats-Unis...), qui montrent que, dans de rares cas, l'impact de la vidéosurveillance peut être plus important. Quel est le facteur-clé ? Contrairement au discours dominant en France, ce n'est pas l'augmentation du nombre de caméras. L'expérience londonienne (au moins 60 000 caméras, soit autant que ce qui est prévu pour la France entière) le montre. Il ne sert à rien de chercher à "saturer" l'espace et de s'émerveiller devant des murs d'écrans donnant le sentiment de voir et de contrôler toute une ville au même moment.

La clé réside dans le couplage étroit de la vidéosurveillance avec les forces de police présentes dans la rue, afin d'accroître le niveau d'information des policiers, mais aussi de diminuer leur temps d'intervention.

En d'autres termes, il ne sert pas à grand-chose de repérer plus vite un problème si la police n'intervient pas plus vite. Dès lors, la situation française apparaît dans tout son paradoxe, pour ne pas dire dans son absurdité puisque la vidéoprotection est promue par les pouvoirs publics comme un substitut et une contrepartie à la réduction des effectifs policiers.

3. Il est sans doute inévitable que des entreprises à but lucratif cherchent à vendre leurs produits à tout prix, en les présentant comme dotés de facultés qu'ils n'ont qu'en partie et en dissimulant les coûts réels pour l'utilisateur. Cela se constate dans tous les domaines, et le marché privé de la sécurité n'échappe pas à la règle.

Il est en revanche plus étonnant que l'Etat participe à ce marketing par l'intermédiaire des préfets, ainsi que de fonctionnaires de police et de gendarmerie chargés de relayer sur le terrain le "plan de vente" des entreprises privées. En effet, les caméras perdent toute efficacité préventive lorsqu'elles ne sont reliées à aucun système de visionnage en temps réel et qu'une municipalité ou un bailleur ne peut donc qu'espérer, par exemple, récupérer le matin une image exploitable d'une infraction commise la veille.

Et que l'on ne dise pas que le raccordement des caméras aux postes de police ou de gendarmerie résoudra le problème puisque, encore une fois, cela s'effectue conjointement à la réduction du nombre de ces fonctionnaires et donc de leur disponibilité pour des missions nouvelles. En réalité, pour avoir des chances de donner des résultats, le système de caméras doit être relié à un centre de supervision dans lequel des opérateurs visionnent les images 24 heures sur 24 et 365
jours sur 365.

De plus, ces opérateurs doivent être assez nombreux pour limiter le nombre d'écrans à visionner faute de quoi, au bout de quelques minutes, les observations montrent qu'ils ne voient plus rien. Ainsi, l'on est en train de rompre l'égalité de traitement du service public et de compromettre toute politique globale et intégrée de prévention de la délinquance, au profit d'un mirage technologique que seules les communes les plus riches pourront s'offrir pour des profits qui s'estimeront davantage en termes de visibilité politique et de sentiment d'insécurité que de lutte efficace contre la délinquance. S'agit-il en tout cela d'une politique rationnelle, efficace et bonne gestionnaire des deniers publics ? Il est permis d'en douter.

Eric Heilmann est professeur à l'université de Bourgogne ;
Tanguy Le Goff est chercheur à l'Institut d'aménagement et d'urbanisme de la région Ile-de-France ;
Laurent Mucchielli est directeur de recherches au CNRS.

Eric Heilmann, Tanguy Le Goff et Laurent Mucchielli (Le grand débat)

[nico37]

PV : les policiers de Laval fliqués

Le syndicat Unité Police dénonce un tableau recensant le nombre de contraventions quotidien des agents.

Un tableau nominatif de suivi quotidien des contraventions dressées par les policiers a été mis en place depuis deux ans au commissariat de Laval (Mayenne). Ce qui fait réagir le syndicat Unité SGP Police FO.

« Un tel procédé pour suivre les résultats quotidiens de chaque collègue n'est pas normal, dénonce Mickaël Godement, son délégué départemental.
Et ce fichier informatique n'est pas déclaré à la Commission nationale informatique et liberté (Cnil). » Habituellement, les résultats sont collectés au niveau de chaque unité, selon le syndicat.

« Obsession des chiffres et des statistiques »

La hiérarchie a répété aux syndicats qu'il n'y avait « pas d'utilisation personnelle de ce fichier ». Pourtant, mettre ou pas beaucoup de PV ne serait pas sans conséquence. À un policier qui s'étonnait de voir ses
vacances refusées, alors que son collègue, appartenant à la même unité, avait bénéficié de deux périodes de congé, il se serait vu rétorquer : « Tu n'as qu'à voir ton résultat contraventionnel. »

Unité Police dénonce « une obsession des chiffres et des statistiques ».
« Nous avons discuté avec la hiérarchie à plusieurs reprises de ces pratiques que nous jugeons illégales, raconte Mickaël Godement. Nous nous heurtons à un mur. Le dialogue est rompu. »

Le responsable d'Unité Police Pays de la Loire, Yonnel Letourneau, pointe une dérive propre à ce commissariat : « À ma connaissance, cette
pratique n'existe pas ailleurs dans la région. » Le syndicat envisage de saisir le préfet. Contacté, le commissaire Arnaud Desjardins déclare
qu'il n'y a « pas de quota » et qu'il s'agit « d'affiner les évaluations des fonctionnaires ». Il souligne qu'il s'agit « d'un indicateur parmi d'autres » et que « ces informations étaient déjà disponibles dans le logiciel informatique. »

[nico37]

Des nouvelles du projet d'identifiant numérique universel L'Expansion.com avec AFP

Eric Besson a lancé l'étude de préfiguration qui devra fournir des recommandations pour le déploiement de l'identifiant électronique universel, le projet "Idenum".

Le ministre de l'Industrie et de l'économie numérique Eric Besson a lancé mardi les bases du projet "Idénum", qui permettra aux Français d'avoir un même identifiant sur plusieurs sites internet, et dont une première version pourrait voir le jour d'ici la fin de l'année. Quatre premiers partenaires - La Poste, France Télécom-Orange, SFR et la Fédération française bancaire - sont "prêts à avancer concrètement" sur ce projet et à "proposer avec l'aide de l'Etat des offres commerciales dans les prochains mois", a indiqué le ministre lors d'une conférence de presse.

Un internaute français dispose en moyenne de douze comptes numériques distincts sur internet, dont deux adresses de messagerie électronique, deux comptes de réseaux sociaux et quatre comptes sur des sites d'e-commerce, a souligné Eric Besson.

Plaidant pour un "espace numérique de confiance", il indique "vouloir poser les bases d'un consortium d'acteurs capables de mettre en oeuvre le projet Idénum avant la fin de l'année". Ce "consortium" serait chargé de "coordonner les actions des émetteurs de produits et des futurs sites accepteurs de ces solutions", a précisé Eric Besson.

Une étude dite "de préfiguration", confiée au cabinet McKinsey et pilotée par la Caisse des dépôts et consignations, rendra ses conclusions "sous trois mois et son rapport final à l'automne" afin de "préconiser un modèle économique pour un déploiement à grande échelle" d'Idénum.

Selon le ministre, les services numériques concernés pourraient aussi, à l'avenir, donner accès "aux fiches d'état-civil, aux extraits d'actes judiciaires, à la récupération de son acte de naissance, à l'inscription en université ou à un concours ou encore au Dossier médical personnel".

M. Besson a également tenu à souligner qu'Idénum "est parfaitement complémentaire avec la carte nationale d'identité électronique (CNIE), dont le projet de texte est en lecture au Sénat" et que des "synergies" seront développées entre les deux projets.

31 mai 2011 - Lancement de l'étude de préfiguration d'un consortium IDéNum (discours d'Eric Besson)

[nico37]

La CNIL demande un "instrument juridique international" dédié à la vie privée

La CNIL a marqué sa satisfaction de voir la vie privée être évoquée par les dirigeants du G8 lors de la déclaration finale. L'autorité de contrôle appelle désormais les gouvernements à concevoir les outils juridiques adéquats pour permettre aux internautes de préserver leur vie privée en ligne partout dans le monde.

Après le coup de colère de la Commission nationale de l'informatique et des libertés pour ne pas avoir été invité lors du forum eG8 réunissant les grands patrons du net, l'autorité de contrôle française est revenue à plus de mesure. Bien qu'elle n'a pu participer au débat sur la vie privée dans la sphère numérique, la CNIL a manifesté sa satisfaction de voir cet enjeu être mentionné par les chefs d'État lors de la déclaration finale.

Pour rappel, ces derniers ont reconnu que "la protection effective des données à caractère personnel et de la vie privée sur l'Internet est essentielle pour assurer la confiance des utilisateurs". Ils ont appelé "à la définition d'approches communes tenant compte des cadres juridiques nationaux, qui soient fondées sur les droits de l'homme et protègent les données à caractère personnel, tout en permettant les transferts légitimes de données".

Face à la reconnaissance de la protection des données personnelles comme un droit essentiel pour les individus, la CNIL invite les gouvernants à passer du discours aux actes en élaborant au plus vite "un instrument juridique international". Ce nouvel outil juridique devra reposer sur des normes contraignantes applicables dans n'importe quel pays du monde.

Le droit à l'oubli sera l'une des grandes questions à résoudre. L'an dernier, la CNIL avait montré sa crainte en soulignant les divergences de vues entre les différents pays sur cet enjeu. À l'époque, le président de la CNIL avait estimé que le moindre accord sur cette question allait prendre des années à émerger. Or à ce moment-là, le traçage des individus aura sans doute atteint un point irréversible, selon les règles des principaux acteurs du net.

En attendant que les acteurs politiques s'activent sur cette question, la CNIL prend les devants et traite directement avec les grandes sociétés du net. Google a ainsi souvent eu à faire avec elle, en particulier depuis l'épisode de Street View. Auparavant, avec neuf autres autorités de contrôle, la Commission avait écrit à Google pour lui demander de jouer un rôle de leader en matière de protection de la vie privée des internautes, en montrant l'exemple.

[nico37]

L'Allemagne envisage un système de riposte graduée

Bernd Neumann, le ministre de la culture allemand, a annoncé envisager de mettre en place un système de riposte graduée, similaire à celui instauré par la Hadopi en France, pour lutter contre le téléchargement illégal. S'exprimant lors d'une convention de la CDU (conservateurs), le ministre a estimé que les fournisseurs d'accès à Internet devaient "prendre leurs responsabilités" et il s'est dit favorable à la mise en place d'un système d'avertissement avant la sanction juridique.

Ce modèle, dit de "riposte graduée", est celui choisi par la Hadopi en France : l'internaute soupçonné de télécharger reçoit un premier avertissement par mail, puis un second par lettre recommandée, avant l'éventuelle transmission de son dossier au parquet, qui pourra décider d'une peine d'amende ou de suspension de l'accès à Internet.

REJET DE LA LICENCE GLOBALE

Le ministre a rejeté la proposition du parti Vert, qui souhaitait instaurer une "contribution créative" ou "licence globale" pour régler le problème du téléchargement illégal. Dans ce système, également proposé en France par une partie de l'opposition lors des débats sur la loi dite "Hadopi", les internautes payent un supplément à leur abonnement à Internet, qui est ensuite redistribué aux ayants droit, en échange d'une dépénalisation du téléchargement à usage personnel et non-commercial. Un système jugé ""inapplicable" et "anticonstitutionnel" par Bernd Neumann.

A l'issue du G8 de Deauville, qui s'est achevé vendredi, les huit pays les plus industrialisés se sont engagés à prendre des mesures strictes en faveur de la protection du droit d'auteur. Le sujet demeure l'un des principaux points de clivage entre les gouvernements, les associations de défense des internautes, et l'industrie. Lors de l'e-G8, le sommet préparatoire au G8 consacré à Internet, les entreprises de services, comme Google, se sont montrées critiques à l'endroit des législations très protectrices du droit d'auteur, tandis que les ayants droit et le gouvernement ont argumenté en faveur d'une extension du modèle de la
Hadopi à l'étranger.

[nico37]

L’utilité (politique) de la vidéosurveillance Par Laurent Mucchielli| 10 août 2011

Mettre des caméras dans tous les coins de la ville, ça ne sert à rien. Si ce n’est à soigner son image auprès des électeurs. Le sociologue Laurent Mucchielli s’interroge sur ce qui pousse de plus en plus d’élus locaux, de droite comme de gauche, à se laisser tenter par la vidéosurveillance.

Les études scientifiques démontrent à la fois le peu d’efficacité et le coût exorbitant de la vidéosurveillance. Et pourtant les communes – grandes ou petites – continuent às’équiper de plus en plus. Comportement irrationnel des élus ? Du point de vue de la performance du dispositif, c’est évident. Mais l’effet de mode et les attitudes conformistes ne suffisent pas à expliquer que cela se développe à ce point.

D’autres formes de rationalité sont à l’oeuvre. Il faut donc inverser la question et se demander quelles « bonnes raisons » ont les élus locaux d’agir ainsi. On comprend alors assez vite que la vidéosurveillance, ça sert aussi, et parfois même avant tout, à faire de la politique auprès de ses électeurs.

Sachant que le mythe du progrès par la technologie est très répandu et que les élus et leurs services techniques ne sont généralement pas informés de l’existence des critiques scientifiques de la vidéosurveillance, on ne voit pas pourquoi ils y résisteraient. En réalité, deux constats les poussent même fortement à adhérer au dispositif et à le retourner à leur avantage (politique).

Pourquoi résister  ?

Premièrement, il s’agit quasiment d’une injonction de l’Etat qui exerce une très forte pression sur les élus locaux par le biais des préfets bien sûr, mais aussi de la hiérarchie policière et gendarmique sommée en quelque sorte de se transformer en représentant de commerce des marchands de caméras.

Ainsi, par exemple, un article du journal Sud Ouest (le 16 octobre 2010) nous apprend que, l’avant-veille, lors de la séance inaugurale du Conseil intercommunal de sécurité et de prévention de la délinquance de Saint- André-de-Cubzac (commune de 9 000 habitants en Gironde), le sous-préfet a réclamé l’installation de la vidéosurveillance, soutenu par le (nouveau) capitaine de gendarmerie.

Le maire (PS) résiste toutefois, persuadé qu’il est (et il a raison) qu’il vaut mieux « renforcer les moyens humains et embaucher un nouveau garde champêtre ». Beaucoup d’autres n’ont pas résisté, même lorsqu’ils partagent l’analyse.

Deuxièmement, malgré les critiques des associations de défense des libertés publiques, la vidéosurveillance est pour le moment acceptée par la majorité de la population. La plupart des gens y sont assez indifférents, une minorité (à fort sentiment d’insécurité) la soutient même activement (les commerçants, les personnes âgées). Pourquoi donc s’y opposer ? Pourquoi, même, ne pas en profiter, récupérer l’idée à son avantage et s’en servir activement auprès de ses électeurs ? C’est ce que les maires sont de plus en plus nombreux à faire.

Faits divers

La vidéosurveillance sert en effet à faire de la politique auprès de ses électeurs. Pour ne fâcher personne, nous prendrons un exemple dans chaque bord politique.

A gauche d’abord. La ville de Montpellier est équipée depuis dix ans de la vidéosurveillance. En 2009, elle comptait 114 caméras, essentiellement dans le centre-ville et dans le quartier de la Mosson où se trouve son grand stade de football. Madame le maire (Hélène Mandroux, socialiste, qui a succédé à Georges Frêche) compte-t-elle développer encore le système ? La tentation de l’usage politique pourrait l’en décider.

On le comprend en lisant le communiqué de presse de la mairie publié le 30 septembre qui dit ceci : « En marge de son déplacement dans le quartier Hôpitaux-Facultés, Hélène Mandroux a rencontré aujourd’hui, en tête-à-tête, Annick Neumuller, la mère de Ludmilla, assassinée cet été dans le bureau de tabac de la rue des Tilleuls. A l’occasion de cette visite, les commerçants du centre commercial La Colombière lui ont également remis une copie de la lettre adressée à la Mairie. Hélène Mandroux les a informés que la Ville mettait à l’étude l’installation d’une caméra dans ce quartier dans le cadre du déploiement de la vidéosurveillance à Montpellier. » Mettra t-on une caméra dans chaque lieu de survenance d’un dramatique fait divers médiatisé ?

A droite maintenant, où certains semblent prêts à tout pour tirer parti de la mode actuelle. Jugez plutôt. Située à une vingtaine de kilomètres au nord de Lyon et au sud de Villefranche-sur- Saône, voici la commune de Chazay d’Azergues, 4 000 habitants, paisible gros village de la région du Beaujolais des Pierres dorées.

Jusqu’au ridicule

Le magazine Lyon Capitale et le site internet Rue 89 nous apprennent le premier octobre 2010 que le maire, Alain Martinet (UMP), y a fait installer 37 caméras de vidéosurveillance. Avec un taux qui approche donc 1 caméra pour 100 habitants, Chazay d’Azergues se trouve ainsi être désormais la commune la plus vidéosurveillée de France. Rien ne doit échapper à l’oeil des caméras selon le maire, pas même l’école primaire (6 caméras), ni l’école maternelle (3 caméras) ni même la crèche que surveillent 6 caméras !

Le système se trouve ainsi poussé jusqu’à la caricature et au ridicule. Or pourquoi une telle aberration, sinon parce que ce maire pense que ses électeurs lui en seront reconnaissants et que c’est donc une bonne opération politique pour lui ?

[nico37]

Syrie : Ultrasurf, ou comment le gouvernement Syrien (ne) piège (pas) ses opposants avec un malware

Après l’Égypte ce matin, notre équipe s’est attaquée à la problématique syrienne. Nous avons cherché à comprendre comment le pouvoir de Bachar el Assad s’y prenait pour voler les comptes Facebook, Twitter, ou Gmail de ses opposants, et comment il parvient à les identifier pour les arrêter. Nous avons réussi à mettre en lumière l’un des procédés du gouvernement Syrien afin de piéger ses opposants.

C’est l’histoire banale d’un logiciel qui fait le contraire de ce qu’il prétend faire. Ultrasurf est un logiciel proxy qui a été très utilisé par les dissidents syriens. Le fonctionnement attendu, à savoir une dissimulation de l’identité de ses utilisateurs semblait opérante. Mais en réalité, ce logiciel installait l’arsenal permettant aux forces de sécurité syriennes d’identifier précisément ses utilisateurs et de les surveiller étroitement. Cette version vérolée d’Ultrasurf a énormément circulé par email, l’origine de sa propagation serait donc un bête social engineering, par mail ou sur Facebook.

Mais voilà, la version qui a été largement diffusée en Syrie contenait un petit paquet cadeau. Renommé avec une extension .jpg soi disant pour échapper à la censure, le fichier infectait la machine des opposants avec un trojan identifié comme Trojan.Backdoor.Hupigon5 (Sig-Id:
41437250) par le scanner IKARUS. Veuillez trouver l’analyse complète ici (format txt).

Vous trouverez également le dump pcap de l’activité réseau de ce logiciel ici (à ouvrir avec Wireshark).

Le comportement semble relativement élaboré : redirection du 80 vers le ssl, encapsulation des données dans un tunnel et surtout, une modification en base de registre de tous les certificats SSL. Ainsi les utilisateurs pensent leur session sécurisée, ils offrent en fait à des tiers tous leurs mots de passe.

modif certificats ssl

Cette affaire nous a été remontée par une journaliste ayant exercé en Syrie et en Égypte. Ce logiciel n’était jusque là que soupçonné de manière plus ou moins lointaine, Reflets a donc simplement mis en évidence sa probable responsabilité dans l’arrestation de nombreux dissidents. Il est donc important que ce logiciel, qui était diffusé sous les noms de U89 ou U1010.jpg (à renommer en exe) ne soit plus
installé par les Syriens. Les méthodes de voyous utilisées par le régime de Barchar El Assad sont tout à fait révoltantes.

Tunisiens, égyptiens, libyens, syriens… que tous les peuples qui se sont soulevés et dont les dissidents ont obtenu des logiciels sensés masquer leur identité par mail ou des sources non sures (à savoir autrement qu’en les téléchargeant sur les sites officiels), désinstallent ces logiciels et inspectent leur machine. Nous vous recommandons l’utilisation de plusieurs antivirus en ligne pour effectuer une examen approfondi. Si votre compte Facebook ou Gmail a été piraté, il se peut que ce soit par le même genre de procédés et que votre machine soit encore infectée.

L’été dernier, la vague de piratage de comptes Facebook en Tunisie pourrait trouver une partie de son explication par la méthode que nous venons de vous expliquer ici.

Greets halona, fo0 & Julie

Edit 2 : Nous avons étudié le logiciel distribué sur le site officiel de l’éditeur d’Ultrasurf. Il est également porteur d’un code malveillant.
Cette découverte, conjuguée à la nature et à l’origine des serveurs avec lesquels il communique nous fait nous poser quelques questions sur ce logiciel et nous doutons aujourd’hui que l’inoculation de ce code malveillant ait pour origine les services syriens. Plusieurs thèses sont possibles.

1° Ultrareach, la société d’origine américaine qui édite ce logiciel diffuse volontairement ce soft vérolé comme un moyen de collecte d’information extérieur. Dans le plus extrême des scénario, Ultrareach serait donc un faux nez d’une agence gouvernementale américaine.

2° Ultrareach est une entreprise malhonnête qui cherche à piller ses utilisateurs

3° La version étudiée émanant du site contient une variante très récente de Themida (détectée par Nod32) et Trojan.DownLoader3.12161(détecté par DrWeb). Les versions précédentes contiennent d’autres malware, Ultrareach maintient donc, semble t-il, le code malveillant, et l’améliore. Le hic, c’est que nous avons trouvé des traces de l’entreprise qui l’édite dans un rapport du congrès américain… et que toutes les informations sur la domiciliation de l’entreprise, son dirigeant (seule et unique identité en rapport avec Ultrareach)… n’existent pas. Pourtant le document du Congrès américain évoque des financements débloqués et cite cette « entreprise ».

Actuellement, nous ne nous expliquons pas le choix fait, à savoir, modifier les certificats SSL, action permettant, accompagnée d’un phishing de récupérer les informations d’identification des utilisateurs. Quel intérêt pourrait avoir une société américaine dépendant d’une agence de renseignement dans une telle manipulation alors qu’il lui suffit d’obtenir les certificats originaux des Facebook, Gmails etc… en invoquant le Patriot Act ?

Edit 1 : suite à certains commentaires sur cet article, nous insistons sur le fait que ce dernier décrit un mécanisme permettant de voler des identifiants de sessions normalement sécurisées par SSL. Ceci implique d’autres moyens qu’une simple capture de trafic avec certains équipements adaptés.

[Contenu sponsorisé]