Link list
Un décret du gouvernement a officialisé le développement d’une application mobile d’authentification d’identité. Baptisée «AliceM», elle fait appel à un dispositif de reconnaissance faciale. Certaines associations s’inquiètent.
Tous les jours ou presque, des articles sont publiés sur les abus liés à la reconnaissance faciale. Aux États-Unis, elle aide la police à surveiller la frontière mexicaine alors qu’en Chine, elle permet au pouvoir en place de surveiller sa population. En France, le gouvernement souhaite se servir de cette technologie via une application mobile pour authentifier l’identité des citoyens. L’utilisation d’un tel dispositif, très décrié, provoque déjà des levées de boucliers.
● Qu’est-ce que l’AliceM?
AliceM est une application mobile, pour le moment uniquement disponible sur Android. Acronyme d’«Authentification en ligne certifiée sur mobile», elle est actuellement en phase de test. Bientôt, elle permettra de s’identifier grâce à son smartphone pour accéder depuis son mobile aux sites de certains services publics regroupés dans le portail d’accès FranceConnect comme celui des impôts ou celui de l’Assurance maladie.
Cela fait plusieurs années que le ministère de l’Intérieur, à l’origine du projet, travaille sur AliceM et d’autres produits similaires, sans grand succès. En 2012, la création d’une base de données biométriques avec l’appui de l’Agence nationale des titres sécurisés (ANTS) avait été avortée par le Conseil Constitutionnel qui avait jugé le projet anticonstitutionnel. En septembre 2017, l’actuel locataire de la place Beauvau, Christophe Castaner, évoquait dans une feuille de route sa volonté de «se positionner comme maître d’œuvre de l’élaboration de solutions d’identité numérique», note Le Monde. Le ministre a par ailleurs fait savoir cette année qu’il souhaitait que tous les Français puissent prouver leur identité en ligne d’ici 2020, notamment par AliceM qu’il qualifie dans un rapport sur la cybermenace d’«un des prémices d’une politique publique de l’identité numérique». AliceM a finalement été mis en place via un décret publié le 13 mai dernier. Son principe est simple: elle demande à ses utilisateurs de prouver leur identité en prenant en photo leur passeport ou titre de séjour biométrique mais aussi, via un «système de reconnaissance faciale statique (via une photo) et dynamique (via une vidéo où il faut faire des gestes et des mouvements de tête)».
● Pourquoi ce projet inquiète certaines associations?
Le 15 juillet dernier, ce décret publié le 13 mai dernier a été contesté par une association de défense des libertés numériques, La Quadrature du Net. Cette dernière a déposé un recours au Conseil d’État pour le faire annuler. Elle s’insurge contre le fait que l’utilisateur n’ait pas la liberté de choisir de passer outre le dispositif de reconnaissance faciale pour avoir accès à plusieurs services publics dématérialisés via AliceM. L’association reproche à l’État de ne pas respecter le RGPD (Règlement général sur la protection des données personnelles). Lequel stipule que quand il s’agit d’utilisation de données personnelles, «le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix». La Quadrature du Net s’appuie aussi sur un avis de la CNIL (Commission nationale de l’informatique et des libertés) rendu le 18 octobre dernier sur le projet du gouvernement. «Le gouvernement ne propose pas, en l’occurrence, d’alternative à la reconnaissance faciale pour créer une identité numérique (...) Au regard de ces principes, le consentement ne peut être regardé comme libre et comme étant par suite susceptible de lever l’interdiction posée par le RGPD» explique-t-elle.
La Commission propose de mettre en place des solutions alternatives à la reconnaissance faciale pour garantir un consentement libre comme un face-à-face en préfecture ou un appel vidéo avec un agent de l’ANTS. Des solutions qui n’ont pas été retenues par le gouvernement dans son décret. «Le plus inquiétant dans cette procédure, c’est que nous constatons une perte de pouvoir de la CNIL. Si même le gouvernement ne l’écoute plus, qui va le faire?» s’interroge Martin Drago, juriste au sein de la Quadrature du Net, contacté par Le Figaro. «Proposer des alternatives, c’est le minimum» explique-t-il. L’expert regrette l’absence de prise de conscience de l’opinion et des pouvoirs publics sur le sujet de la reconnaissance faciale alors que déjà plusieurs villes, notamment aux États-Unis, ont décidé de bannir cette technologie.
Imagine you are shopping in your favorite grocery store. As you approach the dairy aisle, you are sent a push notification in your phone: “10 percent off your favorite yogurt! Click here to redeem your coupon.” You considered buying yogurt on your last trip to the store, but you decided against it. How did your phone know?
Your smartphone was tracking you. The grocery store got your location data and paid a shadowy group of marketers to use that information to target you with ads. Recent reports have noted how companies use data gathered from cell towers, ambient Wi-Fi, and GPS. But the location data industry has a much more precise, and unobtrusive, tool: Bluetooth beacons.
These beacons are small, inobtrusive electronic devices that are hidden throughout the grocery store; an app on your phone that communicates with them informed the company not only that you had entered the building, but that you had lingered for two minutes in front of the low-fat Chobanis.
Most location services use cell towers and GPS, but these technologies have limitations. Cell towers have wide coverage, but low location accuracy: An advertiser can think you are in Walgreens, but you’re actually in McDonald’s next door. GPS, by contrast, can be accurate to a radius of around five meters (16 feet), but it does not work well indoors.
Bluetooth beacons, however, can track your location accurately from a range of inches to about 50 meters. They use little energy, and they work well indoors. That has made them popular among companies that want precise tracking inside a store.
Most people aren’t aware they are being watched with beacons, but the “beacosystem” tracks millions of people every day. Beacons are placed at airports, malls, subways, buses, taxis, sporting arenas, gyms, hotels, hospitals, music festivals, cinemas and museums, and even on billboards.
In order to track you or trigger an action like a coupon or message to your phone, companies need you to install an app on your phone that will recognize the beacon in the store. Retailers (like Target and Walmart) that use Bluetooth beacons typically build tracking into their own apps. But retailers want to make sure most of their customers can be tracked — not just the ones that download their own particular app.
So a hidden industry of third-party location-marketing firms has proliferated in response. These companies take their beacon tracking code and bundle it into a toolkit developers can use.
The makers of many popular apps, such as those for news or weather updates, insert these toolkits into their apps. They might be paid by the beacon companies or receive other benefits, like detailed reports on their users.
Location data companies often collect additional data provided by apps. A location company called Pulsate, for example, encourages app developers to pass them customer email addresses and names.
Companies like Reveal Mobile collect data from software development kits inside hundreds of frequently used apps. In the United States, another company, inMarket, covers 38 percent of millennial moms and about one-quarter of all smartphones, and tracks 50 million people each month. Other players have similar reach.
Location data companies have other disturbing tricks up their sleeve. For example, inMarket developed “mindset targeting” techniques that predict when individuals are most receptive to ads. These techniques are based on statistical probabilities calculated through millions of observations of human behavior. Brands like Hellman’s, Heineken and Hillshire Farms have used these technologies to drive product campaigns.
What is an S.D.K.? A Software Development Kit is code that's inserted into an app and enables certain features, like activating your phone's Bluetooth sensor. Location data companies create S.D.K.s and developers insert them into their apps, creating a conduit for recording and storing your movement data.
Location marketing aims to understand “online-offline attribution.” If a Starbucks coffee ad is sent to your email, for example, marketers want to know if you actually went there and bought a coffee. The only way to know is to monitor your online and offline habits at all times.
Beacons are also being used for smart cities initiatives. The location company Gimbal provided beacons for LinkNYC kiosks that provoked privacy concerns about tracking passers-by. Beacon initiatives have been started in other cities, including Amsterdam (in partnership with Google), London and Norwich.
Familiar tech giants are also players in the beacosystem. In 2015, Facebook began shipping free Facebook Bluetooth beacons to businesses for location marketing inside the Facebook app. Leaked documents show that Facebook worried that users would “freak out” and spread “negative memes” about the program. The company recently removed the Facebook Bluetooth beacons section from their website.
Not to be left out, in 2017, Google introduced Project Beacon and began sending beacons to businesses for use with Google Ads services. Google uses the beacons to send the businesses’ visitors notifications that ask them to leave photos and reviews, among other features. And last year, investigators at Quartz found that Google Android can track you using Bluetooth beacons even when you turn Bluetooth off in your phone.
For years, Apple and Google have allowed companies to bury surveillance features inside the apps offered in their app stores. And both companies conduct their own beacon surveillance through iOS and Android.
It should not be lost on the public that Apple created the first Bluetooth system of commercial surveillance. Apple’s chief executive, Tim Cook, recently wagged his finger at the “data-industrial complex.” Unlike other tech giants that monetize surveillance, Apple relies upon hardware sales, he said. But Mr. Cook knew what Apple was creating with iBeacon in 2013. Apple’s own website explains to developers how they can use iBeacon to micro-target consumers in stores.
Companies collecting micro-location data defend the practice by arguing that users can opt out of location services. They maintain that consumers embrace targeted ads because they’re more relevant. Industry players further claim that data is anonymized through techniques that mask the identification of users. Your data may be stored as “ID-67aGb9ac72r” instead of “Jane Doe.” Yet studies have shown that it is relatively easy to deanonymize mobility data. Moreover, the process of “informed consent” fails to protect user privacy. As The Times noted in an investigation into smartphone location tracking, “The explanations people see when prompted to give permission are often incomplete or misleading.”
For informed consent using beacons, you have to first know that the beacons exist. Then, you have to know which places use them, but venues and stores don’t put up signs or inform their customers. You can download an app like Beacon Scanner and scan for beacons when you enter a store. But even if you detect the beacons, you don’t know who is collecting the data. Let’s say you visit Target; it might be collecting data from you, but it might rent its beacons out to other businesses, allowing them to monitor your location. Moreover, some beacons are not secured, so third parties can “piggyback” off public beacons and use them to collect your location. There is no way to know if a store has secured its beacons.
Apple and Google could be tracking you through iOS and Android, but they don’t make their Bluetooth beacon collection methods transparent. There is no easy way to determine which apps on your phone have the beacon location tracking built in.
Even if you did know which companies have access to your beacon data, there’s no way to know what kind of data is collected through the app. It could be your micro-location, dwell time or foot traffic, but it can also include data from the app, such as your name, and your app data can be combined with other data sets compiled about you by data brokers. There is simply no transparency.
To protect yourself from beacons in the short term, you can delete any apps that may be spying on you — including apps from retailers — and shut off location services and Bluetooth where they are not needed. You can also follow The Times’s guide on how to stop apps from tracking your location. For Android users, the F-Droid app store hosts free and open- source apps that do not spy on users with hidden trackers.
Most of our concerns about privacy are tied to the online world, and can feel theoretical at times. But there is nothing theoretical about Bluetooth beacon technology that follows you into retail stores (and other venues) and tracks your movement down to the meter.
Michael Kwet is a visiting fellow at the Information Society Project at Yale Law School, and host of the Tech Empire podcast.
Follow The New York Times Opinion section on Facebook, Twitter (@NYTopinion) and Instagram.
Ce ne sont là que quelques-uns des moyens ingénieux par lesquels la police de la sûreté de l’Etat – mieux connue sous le nom de Stasi – espionna des individus entre 1950 et 1990, dont beaucoup sont maintenant exposés au musée de la Stasi à Berlin.
À l’heure actuelle, la police allemande – à l’instar de nombreuses forces de l’ordre – souhaite non seulement avoir accès à des données téléphoniques, mais également à des informations recueillies par des assistants numériques tels que Google Home et Amazon Echo.
L'Allemagne prévoit de discuter de cette question la semaine prochaine lors d'une réunion des ministres de l'intérieur. Mardi, un porte-parole du ministère de l'Intérieur a abordé la question lors d'une conférence de presse: "Pour lutter efficacement contre la criminalité, il est très important que les autorités fédérales et des États aient accès aux données collectées par ces appareils".
Cela a déclenché des sonneries d'alarme pour ceux qui surveillent les droits à la vie privée numérique.
"Ils savent que c'est anticonstitutionnel, ce qu'ils vont faire et je suppose que les autorités de protection des données s'impliquent", a déclaré Jeanette Hofmann, professeure de politique Internet à la Freie Universität Berlin et experte de recherche sur Internet et Internet à la société allemande du Bundestag. ,
Le problème du cartel de Tech est ouvert depuis des années
"La maison est toujours considérée comme un lieu sacré par rapport à ce qui se passe en public, la possibilité que tout ce que vous faites à la maison soit surveillé et que les données ne soient mises à la disposition des autorités répressives que sur décision de justice, est assez effrayant. "
L’Allemagne n’est certainement pas le seul pays à s’occuper de la question de la délimitation de la confidentialité des données numériques. Cependant, en raison de son histoire, l'Allemagne est particulièrement sensible au droit à la vie privée et a adopté certaines des lois les plus strictes au monde en matière de protection de la vie privée.
Sven Herpig, expert en cybersécurité, a déclaré que la politique allemande prenait traditionnellement en charge le cryptage pour cette raison.
"La politique que nous avons au cours des 20 dernières années dit:" Nous ne compromettons pas le cryptage, nous ne l'affaiblissons pas, nous ne faisons pas de backdoors, les forces de l'ordre doivent trouver un autre moyen d'accéder aux données ", a-t-il déclaré.
"Vous devez regarder l'expérience historique de la surveillance NS, puis nous avons une longue histoire contre la surveillance gouvernementale."
Toutefois, avec les assistants numériques tels que Google Home ou Amazon Echo, de nombreuses données collectées ne sont pas stockées en Allemagne, mais à l'étranger, notamment aux États-Unis. Jeudi, l'Union de sécurité de la Commission européenne s'est réunie pour évaluer les propositions permettant à tout membre, y compris l'Allemagne, d'accéder aux preuves numériques recueillies dans un autre pays.
"Trop longtemps, les criminels et les terroristes abusent de la technologie moderne pour commettre leurs crimes", a déclaré Julian King, commissaire de l'Union pour la sécurité, dans un communiqué. "En établissant des normes internationales pour l'accès aux preuves électroniques, nous franchissons un pas supplémentaire vers la fermeture de la zone dans laquelle ils exercent leurs activités en garantissant que les services répressifs puissent plus efficacement enquêter sur eux et les poursuivre, tout en respectant pleinement les droits fondamentaux. ".
Preuve numérique comme preuve pénale
Selon la Commission européenne, environ 85% des enquêtes pénales nécessitent des preuves numériques et dans 2/3 de ces cas, les preuves doivent être obtenues auprès de fournisseurs de services externes, en particulier aux États-Unis.
Cependant, les groupes allemands de défense des droits numériques ont critiqué les propositions de l'UE en soulignant que les lois strictes en matière de protection des données en Allemagne peuvent être mises à mal et ont soutenu que les propositions actuelles ne tiennent pas compte du fait qu'un crime dans un pays est nécessairement un crime dans un autre est vu.
Le nouveau plan de Facebook ne protège pas votre vie privée et la FTC ne
"Un tel régime n'aurait de sens que s'il existait un consensus au sein de l'UE ou au niveau international sur ce qui constitue un crime et que les mêmes garanties procédurales s'appliquent", a déclaré Elisabeth Niekrenz de Digital Society, un organisme de surveillance des droits numériques. "Si l'avortement est une infraction pénale dans un État et pas dans un autre, les fournisseurs de services de cet État ne devraient pas être contraints de prouver de tels événements."
Expériences de surveillance personnelle
Les Allemands savent par expérience à quel point la surveillance de masse peut être mal utilisée. Aujourd'hui, un citoyen allemand peut voir dans ses archives personnelles dans les archives de la Stasi les informations que la police a recueillies sur lui et sa famille, et utiliser ces informations pour harceler les dissidents et contrôler les simples citoyens.
Pour les appareils numériques, toutefois, ce sont les entreprises privées qui réduisent les données collectées grâce à cette surveillance dans le monde entier. Maintenant, prévient le professeur Hofmann, les gouvernements dans le contexte des enquêtes pénales veulent également avoir accès à cette richesse de données. Il incombe donc aux activistes des droits numériques de défendre leur cas devant les tribunaux.
L'agence nationale de sécurité arrête son programme de surveillance
"C’est un problème international. Nous sommes scandalisés d’avoir entendu nos conversations privées chez nous, mais le gouvernement dit qu’il en fera de même", a déclaré Hofmann.
"Nous avons privatisé de nombreuses infrastructures et transféré le pouvoir décisionnel aux marchés. Ainsi, dans le passé, lorsque les citoyens estimaient que le marché abusait de ces pouvoirs, ils pouvaient se tourner vers les gouvernements et exiger une réglementation, mais le système judiciaire reste la seule alternative C'est un gros problème pour toute démocratie. "
Le décret du fichier des Titres éléctroniques sécurisés (TES), ayant fait l'objet de nombreuses requêtes en annulation auprès du Conseil d'Etat depuis sa parution fin 2016, a été validé par ce dernier le 18 octobre. Regroupant les informations de plus de 66 millions de Français et à l'époque pointé du doigt par la CNIL, le secrétariat d'Etat au Numérique ou encore l'ANSSI, ce fichier ne constitue pas une « atteinte disproportionnée » à la vie privée selon le Palais Royal.
Le Conseil d’État n’a eu cure de toutes les requêtes adressées contre le décret « autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ». L’institution a rejeté ces demandes d’annulation de la base de données des Titres électroniques sécurisés (TES) juge, dans un arrêt, que sa création ne constitue pas une « atteinte disproportionnée » à la vie privée.
Lancée officiellement début novembre 2016 suite à ce fameux décret pris le 28 octobre précédent, la base visant à centraliser les données personnelles des 66,6 millions de Français (identité, couleur des yeux, domicile, photographie ou encore empreintes digitales) en a fait bondir plus d’un. Mis en œuvre sous le mandat de François Hollande, TES devait apporter des « simplifications administratives » selon le ministre de l'Intérieur de l’époque, Bernard Cazeneuve.
Un décret passé en douce
A l’époque, même la Secrétaire au Numérique, Axelle Lemaire, était montée au créneau, ainsi que le Conseil national du Numérique qui, en dehors de critiquer le fait que le décret ait été pris en plein week-end de la Toussaint, alertait sur de potentiels problèmes de sécurité. L’Anssi et la Dinsic avaient également fait part de leur inquiétude à ce sujet en janvier 2017 dans un rapport adressé à Bruno Leroux, remplaçant de M. Cazeneuve à l’Intérieur.
Ces vives réactions n’avaient pas empêché le lancement de la base de données, en test dans un premier temps en Bretagne et dans les Yvelines, puis dans tout l’Hexagone fin mars 2017. Bien que les Français ne peuvent en principe pas s’opposer à la conservation de leurs données dans cette base, un décret paru en mai 2017 les autorise néanmoins à pouvoir refuser la numérisation et l'enregistrement de leurs empreintes digitales dans TES lors de la création d’une carte d’identité... Au moins une information qui ne sera pas à la merci des pirates.
La Loi de Renseignements et le Fichier TES sont passés par là et je sens que ça ne tourne plus rond. Tous les appareils de contrôle, légaux ou non, se multiplient partout sur la planète, je n’aime pas l’idée. Les états ont grignoté l’espace et reprennent la main à pas feutrés. On bannit pour une origine ou pour une opinion, sans subtilité. Dans certains pays, et pas des dictatures, on vous demande d’ouvrir votre Facebook ou même de donner vos mots de passe. J’ai en magasin quelques anecdotes à ce sujet qui font peur. Je n’ai pas envie, jamais, de justifier des opinions et des propos à qui que ce soit, ici ou ailleurs. Alors je le fais une bonne fois pour toutes aujourd’hui et je dis adieu à 31 500 tweets.
Les temps ont changé depuis juillet 2007, date à laquelle je me suis lancé sur Twitter. 31 500 tweets plus tard, quiconque voudrait me faire dire un truc pourrait le faire sans difficulté. C’est la guerre des mots et des GIFs, la bataille du temps qui ne passe plus. Ce que vous dites un jour est gravé pour toujours, vos propos s’empilent et s’empalent sur le mur de l’actu chaude sans aucune exigence de vérité. Ce qui est dit est dit, cochon qui s’en dédit, peu importe le sens, le contexte, le droit à la connerie, au changement d’opinion ou à cette sublime contradiction qui fait de nous ce que nous sommes. Certes, personne ne me cherche de poux aujourd’hui, mais dans six mois, deux ans ou même dix? Et vous?
Je n’ai plus confiance
Ni dans les techno-corporations dirigées par des solutionnistes aux ambitions floues, illégitimes et hors contrôle. Ni dans les états qui, profitant de nos peurs, placent leurs mouchards dans nos réseaux. La ficelle est fine pour l’instant, mais elle grossit. Je ne crois pas à la neutralité de ceux qui nous observent. Il y a derrière chaque action une intention, et je ne sais rien des intentions de nos dirigeants actuels et futurs. Nous avons offert sur un plateau aux prochains gouvernants les outils de notre soumission et ça me tend. Je ne crois pas non plus à l’inviolabilité des serveurs. D’ailleurs, je sais bien que quelque part sur cette planète mes Tweets sont gravés et dupliqués, pour toujours.
Parano? Pfff… Plus envie d’argumenter, faites comme vous le sentez.
Les règles du jeu ont changé. Loin de moi l’idée de supprimer mon compte, mais le temps de l’innocence est révolu.
PS: à la demande générale. Pour sauvegarder ses tweets, vous pouvez le faire sur Twitter, dans paramètres, et vous téléchargez un fichier. Pour supprimer vos Tweets en masse il y a, entre autres, l’appli payante DLTTR. Vous pouvez choisir de supprimer les tweets de l’heure, du jour, du mois, de l’année ou tous vos tweets. Cela m’a pris 16 minutes pour 31 500 tweets.