Activez ce «bracelet de silence» et qu' Alexa ne peut pas écouter

Activez ce «bracelet de silence» et qu' Alexa ne peut pas écouter

 

Libellés

Alexa, IoT, espionnage, anonymat, hackers,

Les microphones et les caméras se cachent partout. Vous voudrez peut-être enfiler une armure de confidentialité.
L'année dernière, Ben Zhao a décidé d'acheter un haut-parleur Echo compatible Alexa pour sa maison de Chicago. M. Zhao voulait juste un assistant numérique pour jouer de la musique, mais sa femme, Heather Zheng, n'était pas enthousiasmée. "Elle a paniqué", a-t-il dit.

Mme Zheng a caractérisé sa réaction différemment. Elle s'est d'abord opposée à ce que l'appareil soit chez eux, a-t-elle déclaré. Puis, lorsque M. Zhao a placé l'Echo dans un espace de travail qu'ils partageaient, elle a clairement expliqué sa position: «J'ai dit:« Je ne veux pas cela au bureau. Veuillez le débrancher. Je sais que le microphone est constamment activé. »»

M. Zhao et Mme Zheng sont professeurs d'informatique à l'Université de Chicago, et ils ont décidé de canaliser leur désaccord vers quelque chose de productif. Avec l'aide d'un professeur adjoint, Pedro Lopes, ils ont conçu une pièce d'armure numérique: un "bracelet de silence" qui empêchera l'Echo ou tout autre microphone à proximité d'écouter les conversations du porteur.

Le bracelet est comme une anti-smartwatch, à la fois dans son esthétique cyberpunk et dans son objectif de vaincre la technologie. Grand brassard blanc quelque peu disgracieux avec transducteurs hérissés, le bracelet dispose de 24 haut-parleurs qui émettent des signaux ultrasoniques lorsque le porteur l'allume. Le son est imperceptible pour la plupart des oreilles, à l'exception peut-être des jeunes et des chiens, mais les microphones à proximité détecteront le son haute fréquence au lieu d'autres bruits.

"Il est si facile d'enregistrer ces jours-ci", a déclaré M. Lopes. «C'est une défense utile. Lorsque vous avez quelque chose de privé à dire, vous pouvez l'activer en temps réel. Quand ils lisent l'enregistrement, le son va disparaître. »

Au cours d'une interview téléphonique, M. Lopes a allumé le bracelet, ce qui a provoqué un bruit blanc statique pour l'auditeur de l'autre côté.
Société de surveillance polie

Comme les maisons américaines sont régulièrement équipées d'appareils d'enregistrement, l'État de surveillance a pris un air de domestique. Google et Amazon ont vendu des millions de caméras de sécurité Nest et Ring, tandis qu’on estime qu’un adulte américain sur cinq possède désormais un haut-parleur intelligent. Frapper à la porte de quelqu'un ou discuter dans la cuisine de quelqu'un comporte désormais la possibilité distincte d'être enregistré.

Tout cela pose de nouvelles questions d’étiquette pour savoir si et comment avertir les clients que leurs visages et leurs mots pourraient se retrouver sur les serveurs d’une entreprise de technologie, ou même entre des mains d’étrangers.

De par leur conception, les haut-parleurs intelligents ont des microphones qui sont toujours allumés, écoutant les soi-disant mots de réveil comme «Alexa», «Hey, Siri» ou «O.K., Google». Ce n'est qu'après avoir entendu ce signal qu'ils sont censés commencer l'enregistrement. Mais les entrepreneurs embauchés par les fabricants d'appareils pour examiner les enregistrements pour des raisons de qualité rapportent des clips auditifs qui ont probablement été capturés involontairement, y compris des offres de drogue et du sexe.
Deux chercheurs de l'Université du Nord-Est, David Choffnes et Daniel Dubois, ont récemment diffusé 120 heures de télévision pour un public de haut-parleurs intelligents pour voir ce qui active les appareils. Ils ont constaté que les machines se sont réveillées des dizaines de fois et ont commencé à enregistrer après avoir entendu des phrases similaires à leurs mots de réveil.

«Les gens craignent que ces appareils vous écoutent et vous enregistrent constamment. Ils ne le sont pas », a déclaré M. Choffnes. "Mais ils se réveillent et vous enregistrent à des moments où ils ne devraient pas."

Rick Osterloh, responsable du matériel informatique de Google, a récemment déclaré que les propriétaires devraient révéler la présence d'enceintes intelligentes à leurs invités. "Je le ferais et le ferais quand quelqu'un entre chez moi, et c'est probablement quelque chose que les produits eux-mêmes devraient essayer d'indiquer", a-t-il déclaré à la BBC l'année dernière.

Les tapis de bienvenue pourraient un jour être remplacés par des tapis d'avertissement. Ou peut-être que les entreprises technologiques concevront leurs produits pour se présenter lorsqu'elles entendent une nouvelle voix ou voient un nouveau visage. Bien sûr, cela pourrait également conduire à des situations inconfortables, comme avoir l'Alexa dans votre chevet Echo Dot se présente soudainement à votre stand d'une nuit.
«Plus longtemps boudé comme des huards»

Le "bracelet du silence" n'est pas le premier appareil inventé par les chercheurs pour bourrer les oreilles des assistants numériques. En 2018, deux designers ont créé Project Alias, un appendice qui peut être placé sur un haut-parleur intelligent pour l'assourdir. Mais Mme Zheng soutient qu'un brouilleur devrait être portable pour protéger les gens lorsqu'ils se déplacent dans des environnements différents, étant donné que vous ne savez pas toujours où se cache un microphone.

À ce stade, le bracelet n'est qu'un prototype. Les chercheurs affirment qu'ils pourraient le fabriquer pour aussi peu que 20 $ et qu'une poignée d'investisseurs leur ont posé des questions sur sa commercialisation.


"Avec l'Internet des objets, la bataille est perdue", a déclaré M. Zhao, faisant référence à un manque de contrôle sur les données capturées par les appareils intelligents, qu'elles tombent entre les mains d'entreprises technologiques ou de pirates informatiques.

 "L'avenir est d'avoir tous ces appareils autour de vous, mais vous devrez supposer qu'ils sont potentiellement compromis", a-t-il ajouté. "Votre cercle de confiance devra être beaucoup plus petit, parfois jusqu'à votre corps réel."

Parmi les autres précurseurs du bracelet, citons un «manteau brouilleur» conçu par un cabinet d'architecture autrichien en 2014 pour bloquer les ondes radio qui pourraient collecter des informations à partir du téléphone ou des cartes de crédit d'une personne. En 2012, l'artiste Adam Harvey a créé des vêtements argentés furtifs qui masquaient la signature thermique des gens pour les protéger des yeux des drones, ainsi qu'une ligne de maquillage et de coiffures, appelée CV Dazzle, pour contrecarrer les caméras de reconnaissance faciale.
En 2016, Scott Urban, un fabricant de lunettes à Chicago, a développé une ligne de montures réfléchissantes qui retournent la lumière visible et infrarouge. Lorsqu'une caméra de surveillance filme une personne portant les montures de 164 $, la lumière réfléchie brouille le visage. M. Urban les a appelés Reflectacles.

Il travaille maintenant à temps plein sur des lunettes de protection de la vie privée, y compris une nouvelle version avec des lentilles qui absorbent la lumière infrarouge pour dissuader les caméras à balayage d'iris et de reconnaissance faciale. Ses clients incluent des passionnés de confidentialité, des militants politiques et des compteurs de cartes dont les visages ont été placés sur les listes de surveillance des casinos.

«Les gens dans leur intimité ne sont plus rejetés comme des huards», a déclaré M. Urban. "C'est devenu une préoccupation pour les personnes de tous âges, de perspectives politiques et de milieux différents."

Il a ajouté: «Les nouvelles technologies érodent continuellement notre vie privée et notre anonymat. Les gens recherchent une option de non-participation, ce que j'essaie de fournir. "

Woodrow Hartzog, professeur de droit et d'informatique à la Northeastern University, ne pense pas que l'armure de confidentialité soit la solution à nos problèmes modernes.

"Cela crée une course aux armements et les consommateurs perdront dans cette course", a-t-il déclaré. «Chacune de ces choses est une demi-mesure ou un bouchon. Il y aura toujours un moyen de le contourner. »

Plutôt que de construire des défenses individuelles, estime M. Hartzog, nous avons besoin que les décideurs adoptent des lois qui protègent plus efficacement notre vie privée et nous donnent le contrôle de nos données.

"Jusque-là, nous jouons au chat et à la souris", a-t-il déclaré. "Et cela se termine toujours mal pour la souris."
Correction: 14 février 2020

Une version antérieure de cet article a mal identifié Pedro Lopes de l'Université de Chicago. Il est professeur adjoint, pas étudiant diplômé.

REF.:

Les entreprises pourraient devenir des enquêteurs,avec la technologie de reconnaissance façiale

Les entreprises pourraient devenir des enquêteurs,avec la technologie de reconnaissance façiale ,indirectement par la vente du système de Bell

Libellés

reconnaissance faciale, hackers, vol d'identité, anonymat, vol,

Bell veut vous faire suivre en continu

Alors que les autorités enquêtent sur des systèmes de reconnaissance faciale, La Presse a appris que Bell voulait vendre cette technologie aux entreprises. Si le géant des télécommunications va de l’avant, ses clients d’affaires pourraient utiliser son outil haute performance pour identifier et surveiller des milliers de visages à la minute – dans des hôtels, épiceries, boutiques, banques, stades ou lieux de travail.

Publié le 27 février 2020 à 5h00

Marie-Claude Malboeuf
La Presse

Un outil pour « surveiller les individus »

Malgré la controverse croissante entourant cette technologie, Bell veut vendre aux entreprises un système de reconnaissance faciale capable de vérifier « instantanément » l’identité des gens, de détecter leurs comportements et de les « suivre en continu ».

La Presse a appris que le géant des télécommunications avait suggéré à ses clients d’affaires de l’utiliser pour surveiller et cibler les personnes qui entrent dans leurs hôtels, épiceries, boutiques, banques, stades ou lieux de travail.

Sa technologie « haute performance » capte les visages à l’aide de caméras et les compare à « une large banque de données archivées », peut-on lire sur une page du site web de Bell. Cette page en anglais semble non indexée et ne nous a pas été accessible à partir d’un moteur de recherche.

Bell a refusé de nous accorder une entrevue, mais a répondu par courriel qu’elle « ne propose pas de services de reconnaissance faciale en ce moment ». Sa page web a été construite à des fins promotionnelles, pour « déterminer le niveau d’intérêt potentiel de ce service et s’il pourrait être un produit viable », a écrit la porte-parole Caroline Audet.

Bell est présente en télécommunications, en télévision, en radio et en affichage, et a encaissé 3,25 milliards de profits sur des revenus de 24 milliards en 2018. Si les nombreuses entreprises qu’elle dessert achetaient massivement son système de reconnaissance faciale, des milliers de Canadiens pourraient bientôt être surveillés et reconnus dans toutes sortes de lieux – sans forcément s’en rendre compte ni en avoir réellement le choix.

« Même avec un éclairage de bas niveau et avec des données vidéo de faible qualité, l’analyse vidéo de Bell est capable de compter et de suivre en continu les personnes et les objets », précise son site. Le système d’intelligence artificielle envoie des « alertes instantanées » aux responsables de la sécurité et permet de « prendre des décisions plus rapides et intelligentes ».

Repérer les clients riches

La semaine dernière, les commissaires à la protection de la vie privée du Canada ont fait état de leurs « préoccupations croissantes quant à l’utilisation de la reconnaissance faciale » et déclenché une enquête nationale sur l’une de ces technologies, Clearview AI, utilisée par des centaines de corps policiers, dont certains canadiens.

D’après une note en petits caractères, masquée par le signe « + » au pied de sa page web, Bell cherche de son côté à revendre l’outil d’une immense société japonaise, NEC, qui a entre autres mis au point un système appelé NeoFace, dès 2002. Il sera employé aux Jeux olympiques de Tokyo l’été prochain, et permet d’analyser des milliers de visages par minute pour faire de la surveillance ou du marketing, selon le site web de NEC.

Sur son propre site, Bell suggère par exemple aux banques d’utiliser la reconnaissance faciale pour détecter aussi la présence de « déposants fortunés » et de « clients VIP » afin de leur offrir des avantages. La même chose est possible dans les hôtels et les boutiques.

À l’autre extrême, toujours selon son site, l’outil promu par Bell « détecte les comportements suspects », « surveille les individus », repère les gens inscrits sur une liste noire et envoie des « alertes instantanées » aux responsables de la sécurité. Les indésirables peuvent ainsi se voir bloquer l’accès à un commerce ou à un guichet automatique « pour éviter les vols et les pertes ».

Autres possibilités : « garde[r] en mémoire le nombre, le mouvement et le comportement des personnes sur plusieurs sites », automatiser l’accès aux stades (sans billets), mieux répartir le personnel selon l’achalandage et les files d’attente, etc.

1/6

Sur son site, NEC vante le fait que la reconnaissance faciale puisse se faire « sans interagir avec l’individu en train d’être identifié ».

Ce sont deux Torontois férus de technologie, Sydney Eatz et Richard Trus, qui ont déniché la page web de Bell et l’ont transmise à La Presse. Ils se surnomment « la police de l’internet », parce qu’ils ont dénoncé plusieurs dérives à des médias torontois depuis deux ans. Sydney Eatz a aussi déposé un mémoire sur Google devant un comité de la Chambre des communes.

« Facebook a dû payer 550 millions de dollars US pour régler hors cours un recours collectif, après avoir utilisé la reconnaissance faciale aux dépens de la vie privée, a-t-elle dit à La Presse en entrevue. Ça démontre que faire de la reconnaissance faciale sans obtenir le consentement des gens a un coût. »

Pire que la police

Le projet de Bell inquiète les défenseurs et les experts de la vie privée joints par La Presse.

« Jusqu’à récemment, l’identification biométrique était limitée à la police dans le cadre d’enquêtes criminelles, mais maintenant, c’est en train d’être généralisé un peu partout », dit Dominique Peschard, porte-parole de la Ligue des droits et libertés.

En plus de jumeler les visages, le système promu par Bell suggère des décisions aux employés des entreprises qui en feraient usage. « Mais ces algorithmes sont secrets et on ne sait pas comment ils fonctionnent, souligne M. Peschard. La personne ne sait donc pas selon quel critère elle a été jugée, pourquoi telle décision a été prise. »

Les commissaires à la vie privée du Canada commencent enfin à se rendre compte des dangers de ces technologies et à lancer des consultations, dit-il.

En attendant, c’est le “free for all”, les entreprises profitent du vide. Ça prend un moratoire jusqu’à ce qu’on ait adapté nos lois pour se protéger contre les abus potentiels.

Dominique Peschard, porte-parole de la Ligue de protection des droits et libertés

Pour Dominic Martin, spécialiste de l’éthique de l’intelligence artificielle et de la gestion de l’éthique en entreprise, « il faut fixer les conditions d’utilisation et instaurer des moyens de contrôle, parce que la reconnaissance faciale a le potentiel de mener à des écarts éthiques importants ». Il faut résoudre plusieurs questions de toute urgence, précise le professeur de l’Université du Québec à Montréal. Jusqu’où va-t-on aller dans l’enregistrement des moindres faits et gestes d’un individu ? Avec quoi va-t-on recouper ces images ? Et à qui on va vendre le tout ?

Autre écueil : lors de tests, des outils de reconnaissance faciale ont fait plus d’erreurs lorsqu’ils analysaient les images de personnes à la peau foncée. Ce qui augmente le risque de les confondre avec un suspect fiché – comme un voleur à l’étalage –, avec la discrimination et les ennuis que cela suppose (1).

L’outil proposé par Bell s’est classé parmi les plus performants lors de tests organisés par l’industrie. Mais à Londres, où la police l’utilise depuis 2016 pour filmer les rues et repérer les gens inscrits sur une liste noire, seulement 19 % des 42 personnes signalées par l’algorithme correspondaient vraiment à leur « sosie » fiché, selon une étude de l’Université d’Essex, commandée par le gouvernement britannique et publiée en 2019.

Plus libres que la police

« Si on ne fixe pas de limites, les entreprises pourraient devenir des enquêteurs automatiques, se faire justice à elles-mêmes ou faire d’immenses parties de pêche. Elles auront les coudées plus franches que la police, prévient Pierre Trudel, professeur de droit de l’information et du cyberespace à l’Université de Montréal. Au Canada, la police ne peut filmer vos allées et venues sans avoir demandé une autorisation judiciaire ni filmer tout le monde au cas où elle trouverait quelque chose. »

Le potentiel d’intrusion est considérable. Le législateur doit courir pour faire du rattrapage, car il y a un défaut affligeant d’encadrement.

Pierre Trudel, professeur de droit de l’information et du cyberespace à l’Université de Montréal

La Commission d’accès à l’information du Québec (CAI) dit prendre le déploiement de la reconnaissance faciale « très au sérieux ». « On suit la situation de très près et ça fait des années qu’on suggère d’actualiser la loi pour que la biométrie soit plus balisée », a dit en entrevue la porte-parole de l’organisme, Isabelle Gosselin.

Quiconque achèterait la technologie proposée par Bell devrait obligatoirement s’inscrire au Registre des déclarations des banques de mesures biométriques de la CAI, précise-t-elle, car la Loi sur les technologies de l’information l’exige.

Les fournisseurs doivent pour leur part respecter les lois sur la protection des renseignements personnels – en obtenant par exemple le consentement des cibles et en agissant « par nécessité ». « Et on ose tenir pour acquis qu’ils le font », avance M^me Gosselin.

(1) Les personnes d’origine afro-américaine ou asiatique ont entre 10 et 100 fois plus de risques d’être reconnues erronément par les algorithmes de reconnaissance faciale que les Caucasiens, selon un rapport d’évaluation du National Institute of Standards and Technology, basé sur des tests réalisés sur 189 logiciels. Le taux d’erreur est encore plus élevé lorsqu’il s’agit d’Afro-Américaines.

De l’inconnu et des craintes

Comment se déploie de manière très concrète la reconnaissance faciale dans les entreprises canadiennes ? Le point en six questions.

Les entreprises doivent-elles obtenir notre consentement pour nous identifier avec des caméras ?

Oui, répond Isabelle Gosselin, porte-parole de la Commission québécoise d’accès à l’information.

Mais la possibilité de refuser son consentement est souvent « ténue ou pratiquement inexistante », nuance Dominic Martin, spécialiste de l’éthique de l’intelligence artificielle et de la gestion de l’éthique en entreprise.

« Quand il y a des caméras dans l’environnement, on ne peut pas les éteindre. Il faudrait carrément cesser de fréquenter certains lieux ou quitter son emploi pour ne pas faire l’objet d’une surveillance accrue », souligne le professeur qui enseigne à l’Université du Québec à Montréal.

Combien d'entreprises utilisent la reconnaissance faciale au pays ?

Dans les autres provinces, on l’ignore. Environ 16 % des magasins Canadian Tire qui y sont établis s’en servent déjà pour lutter contre le vol à l’étalage, selon un reportage publié en février 2019 par CTV News. Et une chaîne d’alimentation présente en Ontario et en Colombie-Britannique a déclaré en novembre qu’elle ferait payer ses clients avec leur visage pour accélérer leur passage à la caisse.

Au Québec, la loi oblige à déclarer toute banque de données biométriques à la Commission d’accès à l’information, et neuf entreprises ont indiqué faire de la reconnaissance faciale, révèle l’organisme. La plus connue, Master Card, dit employer cette technologie pour identifier la clientèle. Les autres entreprises l’utilisent pour gérer les accès aux bureaux, les présences ou le traitement de la paie.

Qu'arrive-t-il des données biométriques obtenues ?

Mystère, puisque ni Québec ni Ottawa n’ont encore adopté de loi sur le sujet, malgré les pressions croissantes, indique Pierre Trudel, professeur de droit à l’Université de Montréal.

« Proposera-t-on ces images à quelqu’un souhaitant nous traquer pour d’autres raisons ? Les raisons possibles sont infinies, et c’est ça qui devient un gros enjeu », dit le chercheur, qui s’intéresse entre autres à la loi sur les télécommunications et aux objets connectés.

« On ne veut pas qu’un système comme celui-là finisse par servir à des fins d’assurances. On ne veut pas entendre : “Non, on ne vous assurera pas, parce que d’après nos données, on vous voit aller dans les bars tous les soirs et rentrer tard…” »

Comment se défendre en cas d'abus ?

Pour l’instant, il faudrait invoquer le Code civil du Québec et la Charte québécoise des droits et libertés, qui interdisent de violer la vie privée sans motif sérieux, explique le professeur Trudel. Mais les tribunaux n’ont pas encore établi comment ils s’appliquent aux systèmes de reconnaissance faciale.

« S’ils servent à assurer la sécurité dans un évènement public, on pourrait peut-être argumenter que le motif est raisonnable. Mais si c’est pour savoir si vous êtes un bon client à l’hôtel, on est plutôt dans le marketing… »

Il est souvent possible de filmer pour éviter les vols, à condition que la surveillance soit annoncée. Mais les caméras n’étaient traditionnellement pas branchées à un système de reconnaissance faciale – capable d’entraîner l’exclusion d’un délinquant de toute une chaîne de magasins, sans pardon possible.

« La question qui se pose, c’est : est-ce un mécanisme disproportionné compte tenu de la finalité ? demande M. Trudel. Il va falloir que l’État intervienne. Le marché joue à l’encontre des droits fondamentaux. »

Que sait-on au sujet de l'outil japonais que Bell a vanté à ses clients ?

Il n’a pas fait la manchette, mais le système NeoFace, conçu par l’entreprise japonaise NEC, est partout. Le réseau Star Alliance, auquel appartient Air Canada, vient de signer un contrat pour le faire installer et la police de Calgary a indiqué qu’elle l’utilisait déjà, tout comme des navires de croisière de Disney ou des hôtels en Asie.

Aux États-Unis, des gouvernements, des universités et des entreprises l’emploient. Et il permettra d’assurer la sécurité aux Jeux olympiques de Tokyo.

Est-ce rassurant quant à son déploiement possible au pays ?

Pas forcément. « Bell doit bien saisir que si elle vend cette solution-là à des clients, ils vont pouvoir l’utiliser de toutes sortes de façons après », prévient le professeur d’éthique des affaires Dominic Martin.

Le géant des télécommunications s’associe à des tiers pour offrir des services spécialisés, parce que son « objectif premier est la connectivité réseau », selon un courriel que sa porte-parole Caroline Audet a envoyé à La Presse.

Le professeur Martin s’interroge néanmoins : « À la place de Bell, je me demanderais jusqu’à quel point ça cadre dans mon modèle d’affaires, sachant que de gros joueurs comme Google et Facebook ont officiellement mis la pédale de frein à cause des possibles débordements éthiques de cette technologie-là. »

REF.:

C’est officiel : Facebook vous suit à la trace, bien plus que vous ne le pensiez

On doute que certains soient réellement étonnés par cette nouvelle, au vu de l’image désormais bien écornée du réseau social.

Libellés

anonymat, espionnage, localisation, GPS, FB,

 

Il y a tout juste quelques jours, on apprenait que les questions des sénateurs américains à Facebook étaient de plus en plus insistantes, au point de rendre la situation très tendue et d’inquiéter aussi Apple. Et selon de récentes révélations, on peut être sûrs que les États-Unis se sont inquiétés à juste titre.

En effet : un duo de législateurs, composé d’un démocrate et d’un républicain, a eu l’occasion de recevoir une lettre de la part de la firme de Mark Zuckerberg et signée par son délégué à la confidentialité, Rob Sherman. Celui-ci détaille comment sa société est capable de nous localiser à tout moment, et ce même après que l’on ait désactivé notre GPS ou interdit l’accès aux données de ce capteur pour l’application.

La méthode

Le principe, comme on peut l’imaginer, est relativement simple : en fonction de notre adresse IP et de nos habitudes sur la plateforme, les algorithmes du site peuvent indiquer avec plus ou moins de précision un lieu où évolue un utilisateur en particulier. Ainsi, lorsque vous répondez je participe à un événement, par exemple, la ville où il se déroule est suggérée par le programme en question. Honnêtement, qui n’y avait jamais pensé ? C’était évident.
D’autres informations, comme lorsque vous annoncez être présent dans tel ou tel restaurant, ou qu’un ami vous identifie sur une photo géolocalisée, sont aussi de très bons indices. Ensuite, si vous ne le saviez pas encore, la conclusion permet aux annonceurs de vous cibler grâce à des publicités sur Facebook.

REF.:

Les méthodes de Google ,Facebook et des autres, pour vous pister sans jamais utiliser de cookies

Facebook, Google, AddThis, KissMetrics, whitehouse.gov… certains de ces sites vous parlent, d’autres non. Quoi qu’il en soit, ils font tous partis des 100.000 sites les plus populaires au monde.  Et ils utilisent tous ces nouvelles méthodes de tracking (suivi) contre lesquelles nos petits bloqueurs de pub — Adblock, Ghostery — auront du mal à rivaliser.

À quoi sert le tracking sur Internet ?

Le tracking sur Internet a surtout deux intérêts :

• Dans un cadre étatique, cela sert à vous identifier et à vous surveiller. On espère que dans nos démocraties occidentales ce genre de pratique reste marginale, mais l’actualité autour de la NSA laisse malheureusement penser le contraire.
• Dans un cadre publicitaire et commerciale, le tracking est utilisé pour vous servir les bonnes publicités au bon moment et vous inciter à acheter.

Pour Google, la publicité compte pour presque 90% de son chiffre d’affaire. Je pense que c’est pareil pour Facebook, Twitter et les autres. Le tracking est donc absolument primordial pour les Géants.

Pourquoi de nouvelles méthodes de tracking ?

Les méthodes actuelles se basent quasi exclusivement sur l’utilisation de cookies. Il s’agit de petit fichier que les sites Internet peuvent enregistrer sur votre ordinateur pour vous suivre pendant plusieurs mois.

De plus en plus d’internautes bloquent leurs cookies, soit par choix (Adblock, Ghostery, etc…), soit parce que certains navigateurs comme Firefox ou Safari décident de bloquer les cookies par défaut.

Google et tous les autres acteurs du web qui vivent grâce au tracking ont donc été obligé d’évoluer rapidement. Voila comment ils s’y sont pris.

1. La méthode Google : mystérieuse et gênante

Google, qui ne communique pas des masses sur son nouveau procédé de suivi, semble créer une “empreinte digitale” (fingerprint)  de la machine utilisée par chaque internaute.

Cette empreinte est une sorte de bouillie créée en mixant :

1. Des caractéristiques de votre navigateur ;
2. Des caractéristiques sur votre ordinateur ;
3. Probablement des cookies, des sessions, votre IP ;

Pour le premier point c’est facile : il suffit de récupérer l’user-agent. Pour le second point, c’est de plus en plus facile pour Google puisque le navigateur Google Chrome passe en tête dans tous les classements de navigateurs web. En installant Chrome, vous donnez à Google toutes les clefs dont il a besoin pour accéder à votre machine. Enfin pour le dernier point, c’est du grand classique.

J’imagine que Google crée une checksum (somme de contrôle) avec toutes ces info pour nous identifier. Nous verrons comme nous protéger des 3 techniques de cet article dans la dernière partie.

2. La méthode du ETAG : bien cachée, et difficile à contrer

Cette méthode a été parfaitement décrite par lucb1en sur son blog (en anglais). Voici ce qu’il faut retenir.

Lorsque vous surfez sur Internet, votre navigateur web discute sans cesse avec des serveurs web. C’est grâce à ces discussions entre votre navigateur et les serveurs web (le protocole HTTP) que vous pouvez accéder à tous les sites web de la planète.

Pour gagner du temps et éviter des “discussions” inutiles, votre navigateur et les serveurs web utilisent ce qu’on appelle un système de cache. Chacun de leur côté, ils gardent des choses en mémoire (des pages que vous visitez souvent, des images, …) pour vous les ressortir très vite si vous leur demandez.

Par exemple : vous arrivez sur mon blog ce matin à 10h. Si vous y retournez à 10h02, il y a de fortes chances pour que rien n’ai changé. Du coup, votre navigateur va mettre en cache les pages de mon blog que vous visitez la première fois pour vous les ressortir très rapidement les prochaines fois (sans aller discuter avec mon serveur web). S’il y a eu des changements entre temps, alors rassurez-vous : le navigateur sera forcé de mettre à jour les pages qu’il a sauvegardé. Vous aurez toujours la dernière version de mon blog sous les yeux.

En vert, le temps de chargement des pages “cachées”, en bleu les pages “non cachées”

Et justement : pour savoir s’il y a eu du changement entre deux de vos visites sur un site, le serveur et votre navigateur s’échange un ETAG. Ce ETAG permet de savoir, pour faire simple, si des choses ont changé entre la version mise en cache par votre navigateur et le site lui-même.

Ce ETAG est une suite de lettres et de chiffres (du genre 2b987efiej7fe987f). Partant d’un principe assez noble (améliorer les délais d’attente sur le web), ce ETAG a été détourné pour pister les internautes. En affectant à chaque visiteur un ETAG différent, un site web est capable d’utiliser le cache navigateur – et non les cookies – pour vous pister.

Qui pense à vider son cache ? Pratiquement personne. Qui bloque la mise en cache de son navigateur ? Presque personne non plus, parce que bloquer le cache c’est ralentir fortement votre vitesse de navigation.

Pour info, KissMetrics (un outil qui vous track sur de nombreux sites) et Hulu (une sorte de Netflix aux USA) ont utilisé ce procédé.

3. La méthode du Canvas Fingerprinting : un dessin malicieux

Cette dernière méthode est utilisée par les grands sites dont je vous parlais au début de l’article. Elle consiste à faire dessiner par votre navigateur une image (invisible) et à la numériser, c’est à dire la transformer en une série de chiffres qui vous identifie, comme un code-barre en quelques sortes.

Cette image sera dessinée en prenant en compte les propriétés de votre matériel : votre carte graphique, votre navigateur, votre système d’exploitation. Cela étant dit, une empreinte générée par cette méthode n’est pas forcément unique d’un internaute à l’autre. Il existe une marge d’erreur qu’il est facile de faire disparaître en combinant ce tracking avec les  autres méthodes détaillées précédemment.

C’est justement à cause de son manque d’entropie, c’est à dire le manque de certitude avec laquelle on peut identifier de manière unique un internaute, que cette méthode du canvas ne semble pas utilisée à grande échelle.

Voici un document de recherche très complet qui explique la mise en place de cette technique : https://cseweb.ucsd.edu/~hovav/dist/canvas.pdf

Pour connaître votre “empreinte canvas”, vous pouvez cliquer ici et chercher la ligne “Your browser fingerprint”. Votre identifiant (presque) unique se trouve juste en dessous.

Conclusion et méthodes de protection

Ces 3 méthodes sont les prémisses du nouveau web, un web où les cookies disparaîtront petit à petit au profit d’autres technologies beaucoup plus intrusives.
Voici des pistes pour vous protéger des 3 techniques ci-dessus et pour vous protéger des méthodes à l’ancienne  :

• Pour vous protéger de la technique 1 : il me paraît sain de ne pas utiliser Google Chrome et/ou pourquoi pas d’utiliser une extension de navigateur type Random Agent Spoofer ou équivalent. Cette extension change régulièrement votre user-agent pour éviter d’être clairement identifiable. Changer son adresse IP (avec un proxy ou un VPN) me semble aussi une bonne idée.
• Pour vous protéger de la technique 2 : c’est assez difficile. Soit vous désactivez le cache de votre navigateur, mais vous perdez vraiment en performance, soit vous videz le cache régulièrement (à la fermeture par exemple, Firefox le permet nativement). Dernière idée : utiliser le plugin “Secret Agent” pour Firefox et dérivés, qui s’amuse avec les ETAGS pour vous éviter d’être pisté. Je n’ai pas testé cette solution.
• Pour vous protéger de la technique 3 : il n’existe pas de solutions miracles, si ce n’est utiliser un bloqueur de pub type Adblock ou Ghostery. Ces bloqueurs vont bloquer les scripts type AddThis qui, eux-mêmes, utilisent le canvas fingerprinting.
• Pour vous protéger en général, je vous recommande d’utiliser un bloqueur de pubs/scripts type Adblocks/Ghostery. Bien que les techniques de tracking évoluent, ils sont toujours bien utiles.

Bon courage, dans la jungle du tracking !

REF.:

La Chine muscle son contrôle du web

Le Parlement chinois a adopté lundi une loi controversée sur la cybersécurité, resserrant le contrôle de la liberté d'expression sur l'internet et imposant aux entreprises, y compris étrangères, de coopérer pour « protéger la sécurité nationale ».

Le Parti communiste chinois (PCC) au pouvoir bloque l'accès depuis la Chine à de nombreux sites internet étrangers (dont Google, Facebook, Twitter, YouTube, Instagram ou Dailymotion) grâce à un système très perfectionné de blocage, surnommé la « Grande muraille électronique ».
Des articles, blogues, forums internet ou commentaires sur les réseaux sociaux chinois peuvent également être effacés ou censurés.
La loi adoptée lundi par le comité permanent de l'Assemblée nationale populaire (ANP, Parlement chinois) donne un cadre légal à cette surveillance. Elle est centrée sur la protection des réseaux nationaux et des données personnelles des 710 millions d'internautes chinois.
Mais le texte interdit également aux utilisateurs d'internet la publication de contenus portant atteinte à « l'honneur national », « troublant l'ordre économique ou social » ou destinés à « renverser le système socialiste », c'est-à-dire le PCC.
La loi, qui entrera en vigueur le 1er juin 2017, exige par ailleurs des entreprises de l'internet opérant en Chine, y compris les firmes étrangères, qu'elles vérifient l'identité de leurs utilisateurs, lesquels ne pourront plus rester anonymes sur la toile.
Les entreprises devront également fournir « un soutien technique et une aide » aux autorités lors d'enquêtes pour des crimes et délits.
« Beaucoup d'incertitudes »
« Cette loi dangereuse somme les entreprises de l'internet d'être de facto des agents de l'État, en leur demandant de censurer et de fournir des données personnelles aux autorités », a estimé Patrick Poon, chercheur à l'organisation Amnistie internationale.
Des acteurs du monde économique et des ONG ont dénoncé les formulations jugées vagues du texte. Des compagnies étrangères s'inquiètent notamment de devoir coopérer avec les autorités pour « protéger la sécurité nationale ».
La Chambre de commerce de l'Union européenne en Chine s'est dite « préoccupée » par la nouvelle loi, qui entraîne « beaucoup d'incertitudes et de réactions négatives dans les milieux d'affaires » et pourrait « entraver les investissements et les entreprises étrangères opérant en ou avec la Chine ».
Zhao Zeliang, le directeur du Bureau de coordination sur la cybersécurité à l'Administration chinoise du cyberespace, a assuré que les nouvelles réglementations ne visaient pas à limiter l'entrée en Chine de technologies et de produits étrangers.
« Certains amis étrangers jugent (la nouvelle loi) synonyme de barrière commerciale. C'est une interprétation erronée, un préjugé », a-t-il estimé.
« En danger »
La Chine bloque ou censure depuis longtemps les contenus sur l'internet. Mais les restrictions ont été renforcées depuis 2013, dans le cadre d'une vaste campagne visant ceux qui « propagent des rumeurs en ligne ». Des centaines de journalistes ou blogueurs ont été emprisonnés ou intimidés dans ce cadre.
Depuis des mesures adoptées en septembre 2013 et visant à museler les réseaux sociaux, les internautes chinois risquent jusqu'à trois ans de prison pour des messages jugés diffamatoires publiés plus de 500 fois ou consultés plus de 5000 fois.
Des commentaires publiés sur les réseaux sociaux ont été utilisés à plusieurs reprises durant des procès de militants. L'avocat des droits de l'homme Pu Zhiqiang avait notamment été jugé pour des messages dans lesquels il fustigeait les autorités communistes.
« Si l'expression et la confidentialité sur l'internet sont les baromètres de l'attitude de Pékin face à ceux qui la critiquent, alors tout le monde - y compris les internautes en Chine et les principales entreprises étrangères - est aujourd'hui en danger », a estimé Sophie Richardson, directrice Chine de l'ONG Human Rights Watch (HRW).

Source.:

Scandale : l'application Whisper suit ses utilisateurs «anonymes» à la trace

Parti pour créer un partenariat avec l'appli de messagerie anonyme, The Guardian a découvert que les équipes de Whisper traçaient les smartphones de ses utilisateurs et conservaient des messages sur de longues périodes.

Whisper est un réseau social qui permet de publier des messages anonymement. Depuis deux ans, elle a attiré des millions de personnes. Fort bien. Sauf que cette appli collecte de nombreuses informations sur ses utilisateurs, en particulier leur géolocalisation, révèle le quotidien britannique The Guardian.

Whisper a développé une technologie maison pour filtrer et récupérer des données GPS permettant de localiser le point depuis lequel un message a été envoyé dans un rayon de 500 m. Et ce, même si l’utilisateur a désactivé la fonction de géolocalisation de l’appli, en se servant de son adresse IP. Cet outil permet ainsi à Whisper de trouver tous les messages envoyés depuis le Pentagone ou Gantanamo, explique notre confrère.

Et Whisper ne se contente pas de géolocaliser ses utilisateurs. Les équipes conservent nombre de données, dont des messages, depuis le lancement de l’appli. Certains utilisateurs sont même suivis de près. Des employés de Disney, Yahoo! et même du Capitole auraient ainsi fait l’objet d’une surveillance plus intense.

Le message d'un militaire américain.

agrandir la photo

Les équipes de l’appli ont également déjà fourni des informations à plusieurs services gouvernementaux en Grande-Bretagne et aux Etats-Unis, parce qu’il y a eu « des menaces de mort », insiste Whisper. Elle a aussi collaboré avec le département américain de la Défense pour lui fournir des données sur la fréquence de l’utilisation du mot suicide dans les messages envoyés depuis des bases américaines « pour faire baisser le taux de suicide », ajoute fièrement les équipes de Whisper.

Mais The Guardian de poursuivre que, d’après des experts en sécurité, Whisper fournit plus facilement des informations aux autorités que d’autres entreprises du monde high-tech. L’entreprise vient d’ailleurs de lancer une version chinoise de l’appli acceptant les demandes des autorités locales, dont l’interdiction de certains mots.

Whisper a modifié ses conditions d'utilisation

Cette page a été mise à jour il y a quelques jours.

agrandir la photo

Le journal britannique qui étudiait la possibilité de développer un partenariat avec l’entreprise américaine, a pu pendant plusieurs jours accéder à ses outils et a découvert ces informations tout de même « embarrassantes » pour une appli qui se veut « l’endroit le plus sûr d’Internet ». Ayant appris que The Guardian allait publier cette histoire, les équipes de Whisper ont tenu à préciser qu’en aucun cas elles ne violaient la vie privée des utilisateurs.

Néanmoins, les conditions d’utilisation ont été modifiées. Alors qu’elles indiquaient que l’utilisateur pouvait choisir d’être géolocalisé, il est désormais précisé que « même si vous avez désactivé le service de localisation, nous pouvons toujours déterminer votre ville, région et pays sur la base de votre adresse IP (mais pas votre localisation exacte) ». Une autre phrase a également été ajoutée pour indiquer que « la fonction de géolocalisation peut permettre à des tiers de découvrir votre identité ». Enfin une page sur la vie privée, et son respect, a également été créée.

 

REF.: