Rechercher sur ce blogue

Aucun message portant le libellé CyberVols. Afficher tous les messages
Aucun message portant le libellé CyberVols. Afficher tous les messages

lundi 27 janvier 2020

Comment une entreprise aspire illégalement des millions de photos au service des forces de l’ordre

Clearview AI : comment une entreprise aspire illégalement des millions de photos au service des forces de l’ordre





CyberVols, image, reconnaissance faciale, vol d'identité, vol de donnés,



Le New York Times s'est intéressé au cas inquiétant de Clearview AI, une startup qui a créé un 
outil de reconnaissance faciale... à partir de millions d'images trouvées sur le web. L'application, sortie 
des pires scénarios de science-fiction, convainc les utilisateurs, mais s'affranchit de plusieurs barrières légales. Peut-elle s'installer dans les usages, alors qu'elle se confronte aux lois américaines et au règlement européen sur les données en Europe ?
La fin justifie-t-elle les moyens ? Pour plus de 600 autorités publiques, des petites polices locales jusqu’au FBI, la réponse est oui. Elles sont états-uniennes, canadiennes ou encore indiennes et utilisent l’application de reconnaissance faciale de Clearview AI, sur laquelle le New York Times a enquêté. Créée en 2016, cette entreprise a constitué une base de données de milliards d’images, en aspirant les données de Facebook, Twitter ou encore YouTube. Sans aucune considération pour la
 loi.
Grâce à une technologie développée en interne, elle relie ensuite les images similaires entre elles
pour former des albums photos de personnes aléatoires. Chaque image est reliée à sa source (Facebook, par exemple). Un utilisateur de l’application peut donc retrouver l’identité d’une personne, voire son adresse, s’il dispose d’une seule photo qu’il a lui-même prise. Clearview
dispose ainsi d’une sorte de Google Image surpuissant, qu’elle a nommé Smartcheckr. Elle le commercialise uniquement aux « forces de l’ordre » pour l’instant, mais n’exclut pas de le rendre accessible au public.
Pour l’instant, la technologie de Clearview n’est accessible qu’aux forces de l’ordre.
 // Source : Capture d’écran du site de Clearview

La meilleure technologie pour retrouver un criminel ?

Clearview dispose d’un avantage concurrentiel exceptionnel : son application peut, en théorie, identifier une personne même si elle porte un chapeau ou des lunettes, quel que soit l’angle de la
 prise de vue. À l’heure actuelle, les logiciels autorisés aux États-Unis, en Inde ou au Canada ne contiennent que des photos officielles, c’est-à-dire des photos au format portrait, de face, prises
pour créer des papiers d’identité ou de lors d’arrestations. Comme tout service par abonnement, Clearview propose une offre d’essai de 30 jours, pour convaincre ses utilisateurs de la supériorité
de sa technologie.
« La technologie pour résoudre les crimes les plus compliqués », lit-on sur le site de Clearview AI. 
La startup, qui compile aussi des images de personnes sans casier judiciaire, permet de retrouver des criminels en tout genre : du voleur de magasin filmé par un passant à un meurtrier filmé par une caméra de surveillance, en passant par un fraudeur bancaire trop peu prudent. Le Times relaie de nombreux témoignages d’utilisateurs plus que satisfaits de l’efficacité de la technologie, dont l’utilisation a commencé sans consultation du public.
Pourtant, le débat autour de la reconnaissance faciale émerge aux États-Unis comme en France, et laisse déjà entrevoir de fortes oppositions. Il en est de même dans de nombreux pays, à part quelques exceptions, comme la Chine, où le gouvernement se sert de la technologie pour imposer une surveillance d’État.
Pour éviter de se retrouver au centre de l’attention, Clearview a donc opéré sous le radar : son site, très pauvre en information, n’a été réellement lancé que début 2020, alors que son business était
déjà bien installé.

L’aspiration illégale de données au centre de la technologie

L’entreprise construit ses bases de données à partir d’une technique bien connue, et très facile à mettre en œuvre : le web-scraping. Le principe est simple : un logiciel aspire de façon automatique
 le contenu des pages web. Dans le cas de Smartcheckr, toutes les images accessibles librement y passent. Profils et photos publics sur Facebook, Instagram, LinkedIn, les sites de vos clubs de sport ou encore de votre employeur sont autant de sources d’images pour l’application. Même si ces sites écrivent de façon explicite dans leurs conditions générales d’utilisation (CGU) qu’ils interdisent
cette pratique. Résultat, alimenter constamment la base de donnée ne coûte presque rien à Clearview, puisqu’elle se sert librement. Ces économies lui permettent de proposer un prix d’abonnement
annuel à son service compris entre 2 000 et 10 000 dollars par an, une bouchée de pain pour sa cible de clientèle.
Pour construire son outil, Clearview AI n’a pas hésité à piétiner le droit existant. « En Europe 
comme aux États-Unis, rien n’interdit le web scraping en soi. Mais assez rapidement, il se heurte
 à certaines règles », nous explique Sabine Marcellin, avocate spécialisée en droit du numérique
 chez Aurore Légal.
5 an de prison, 500 000 euros d’amende
La juriste énumère l’immense arsenal légal français et européen qui pourrait, sous condition d’apports de preuves, qualifier les pratiques de Clearview   : concurrence déloyale et parasitisme, extraction non-autorisée, fraude informatique, vol d’information, violation du contrat (ici, des CGU)… Selon les qualifications, les sanctions vont des simples dommages et intérêts jusqu’à 5 ans de prison, accompagné de 500 000 euros d’amende. « En théorie, les procédures sont cumulables, mais dans le cas de contentieux complexes comme celui-ci, le choix des voies judiciaires peut être subtil », précise-t-elle. De l’autre côté de l’Atlantique, l’arsenal légal est assez similaire, et LinkedIn a par le passé déjà obtenu réparation pour « rupture de contrat » sur ses CGU, après qu’une entreprise a scrapé plus de 1 000 profils sur sa base de données.
Malgré tout, David Scalzo, un des investisseurs de Clearview cité par le New York Times, ne semble pas se soucier de cette épée de Damoclès : « Je suis arrivé à la conclusion que puisque le volume d’informations augmente constamment, il n’y aura jamais de respect de la vie privée. Les lois 
doivent déterminer ce qui est légal, mais ne peuvent bannir la technologie. Bien sûr, ça pourrait pourrait mener à un futur dystopique ou quelque chose du genre, mais vous ne pouvez pas le bannir.  »

Le RGPD protège l’Europe contre l’utilisation de Clearview

Si les sites sont déjà lourdement armés pour se protéger contre Clearview devant les tribunaux aux États-Unis, les utilisateurs disposent d’armes supplémentaires en Europe. « Puisque dans le cas de ces images, il s’agit de données personnelles, le règlement général européen sur la protection des données offre tout un arsenal supplémentaire. Or, si le traitement des données est fait en Europe ou concerne des personne situées sur le territoire européen, alors le RGPD s’applique  », rappelle Sabine Marcellin. Voici probablement une des raisons pour lesquelles Clearview a des clients en
Inde, aux États-Unis et au Canada, mais pas en Europe.
En France, la Cnil contrôle les usages de la reconnaissance faciale
En cas de non-respect du RGPD, les entreprises s’exposent à une amende du plus haut montant entre de 20 millions d’euros et 4 % du chiffre d’affaires annuel mondial de l’entreprise. « On oublie souvent que le RGPD permet aussi des sanctions administratives qui peuvent aller jusqu’à l’interdiction de l’utilisation des données concernées », rajoute la juriste. De quoi anéantir pour de bon un logiciel comme celui de Clearview, en cas de condamnation.
Aujourd’hui, la reconnaissance faciale n’est pas encore inscrite dans les textes en France, mais
 la Cnil et ses homologues européennes veulent déjà encadrer son usage. Après le débat autour de l’application d’identification Alicem, l’autorité française a renouvelé, dans un guide sur le sujet, la nécessité d’obtenir sa validation pour lancer une expérimentation. Si les forces de l’ordre françaises veulent utiliser une technologie similaire à celle de Clearview, elles devront donc passer par la Cnil. « C’est sûrement la plus grande différence entre les systèmes européens et américains », estime l’avocate.

Porte ouverte aux abus

En mettant son application sur le marché, Clearview AI a franchit une barrière jusque-là respectée. Facebook, Amazon ou Google, avec leurs compétences et leurs grands volumes de données auraient pu créer un tel outil bien avant la startup. Mais même ces géants de la tech ont mis l’usage de la reconnaissance faciale à des fins sécuritaires de côté. Ils se sont contentés de créer des technologies voisines de reconnaissance d’image, qui permettent par exemple le tag automatique sur les publications, ou de classer les albums photos par personne. Clearview ouvre donc la boîte de
Pandore et laisse entrevoir un futur dystopique imaginé par la science-fiction.
Mais si l’application Smartcheckr est aussi problématique, c’est surtout parce qu’elle n’a pas été contrôlée par une autorité tierce indépendante. En conséquence, rien ne garantit son efficacité, ni sa sécurité. Pourtant, les technologies de reconnaissance faciale sont régulièrement épinglées pour
leurs biais discriminatoires. Par exemple, les risques de faux positifs pourraient être plus élevées
pour les personnes noires, déjà discriminés dans le système judiciaire actuel.
Clearview convainc les investisseurs
Ensuite, les autorités qui utilisent la technologie peuvent télécharger dans la base de données de Clearview des preuves essentielles à des enquêtes confidentielles … parfois sans en avoir
conscience. Pire, si des acteurs malveillants découvraient une fuite ou exploitaient une faille dans
 les serveurs de Clearview, ils disposeraient de tout un éventail d’outil : harcèlement, chantage, traque, extraction de preuves… Sans contrôle extérieur, l’entreprise pourrait enfin tout à fait manipuler les résultats qu’elle présente à la police.
Jusqu’où ira-t-elle avant d’être épinglée par le système judiciaire ? Vu la décontraction dans les propos des dirigeants, ils ne semblent guère s’inquiéter. Pas d’inquiétude non plus du côté des investisseurs : la startup a levé 9 millions de dollars en juin 2019, un montant relativement conséquent pour un premier tour.


REF.:

jeudi 5 novembre 2015

Pourquoi les Banques doivent augmenter leurs profits ?

Par leurs pertes d'investissement et aussi les cybervols !
Comme,celui-ci:
 Les pirates siphonner 31 millions $ provenant de comptes bancaires britanniques.

Les pirates ont volé plus de 20 millions de £ (31 millions $) à partir de comptes bancaires en ligne britanniques utilisant des logiciels hostiles et intrusifs qui a repêché les connexions d' utilisateurs en détails.
Agence nationale de la criminalité au Royaume-Uni a établi un partenariat avec le FBI et européenne Europol agence du crime pour enquêter sur la violation, qui disent-ils a été perpétré à l'aide de logiciels malveillants appelé Dridex, détecté pour la première autour de Novembre 2014(la mise a jour des Banques dâte de quand ??? Ta
bar.......k). 
Une fois un ordinateur a été infecté par Dridex, les pirates peuvent accéder et voler les coordonnées bancaires du propriétaire. L'argent peut alors être siphonné lentement d'un compte sur une base mensuelle.
Le mardi, l'Agence nationale de la criminalité a averti les utilisateurs d'Internet au Royaume-Uni à être vigilants, en particulier les personnes utilisant des ordinateurs exécutant le logiciel Windows.
Seuls les comptes bancaires britanniques ont été touchés jusqu'à présent, mais les institutions financières à travers le monde ont été ciblés par Dridex. Le fichier a été créé par les cybercriminels très habiles d'Europe orientale, les agences de criminalité dit, et a été conçu pour passer inaperçu. Cela rend les pirates eux-mêmes extrêmement difficile à traquer.
Attaques de logiciels malveillants visant à épingler les coordonnées bancaires de personnes ont été autour depuis l'avènement de la banque en ligne. Mais ils ont augmenté de 9 pour cent l'année dernière, selon le chercheur en sécurité de Kaspersky Labs. Avant Dridex, il y avait Cridex, et avant Cridex il y avait beaucoup d'autres types de logiciels malveillants. Comme les consommateurs poussent de plus en plus sage d'attaques de logiciels malveillants, les pirates deviennent de plus en plus accompli à les déguisant.
"Ceux qui commettent la cybercriminalité sont très souvent hautement qualifiés et peut être opérant à partir de différents pays et continents," Robert Anderson, directeur exécutif adjoint du FBI, a déclaré dans un communiqué. "Ils peuvent et vont déployer de nouveaux logiciels malveillants et nous, avec nos partenaires, sont conscients de cette menace et sont constamment conçoivent de nouvelles approches pour lutter contre la cybercriminalité."
Cyberattaques par des pirates professionnels ciblent généralement les individus en les incitant à cliquer sur un lien qui télécharge des logiciels malveillants sur leurs appareils, souvent à leur insu. Les attaquants peuvent ensuite utiliser le malware soit voler à partir d'un appareil, ou de prendre le contrôle à distance de celui-ci.
Quand les ordinateurs sont pris en charge comme cela ils sont utilisés pour former un botnet - efficacement un réseau d'ordinateurs un attaquant peut contrôler et utiliser pour propager des virus et du spam à d'autres. L'Agence nationale de la criminalité et le FBI mènent actuellement des opérations simultanées de «Doline», à travers lequel ils tentent de couper la communication entre les pirates et les botnets qu'ils utilisent pour faire circuler Dridex.
Selon l'Agence nationale de la criminalité, il a "rendu une grande partie du botnet inoffensive" et est "maintenant initier une activité d'assainissement pour protéger les victimes". Les services de police de plusieurs pays ont également coordonné pour garantir un arrêt «significatif».
"Ceci est une forme particulièrement virulente de logiciels malveillants et nous avons travaillé avec nos partenaires de l'application des lois internationales, ainsi que des partenaires clés de l'industrie, afin d'atténuer les dommages qu'il cause", a déclaré Mike Hulett, les opérations se dirigent au Cyber ​​national de l'Agence nationale de la criminalité Crime Unit. "Notre enquête est en cours et nous nous attendons à de nouvelles arrestations à [être] fait."
Source.:  Sécurité