Rechercher sur ce blogue

Aucun message portant le libellé vol d'identité. Afficher tous les messages
Aucun message portant le libellé vol d'identité. Afficher tous les messages

jeudi 2 septembre 2021

Mouvement Desjardins: un autre employé remercié après avoir consulté des donnée

 

 

Mouvement Desjardins: un autre employé remercié après avoir consulté des donnée 

Jean-Michel Genois Gagnon MISE À JOUR

Le Mouvement Desjardins a de nouveau congédié, ces derniers mois, un employé ayant consulté des renseignements personnels de «plus de 1000 clients» sans véritable motif dans le cadre de son travail.

• À lire aussi: Les banques canadiennes optent à leur tour pour la vaccination obligatoire

Cette nouvelle, qui a été rapportée au micro de Paul Arcand (98,5), mardi matin, a été confirmée au Journal par la direction de l’institution financière.

Aujourd’hui, Desjardins dit avoir complété son enquête. La direction refuse toutefois de dévoiler le nom de cette personne, son poste ainsi que son lieu de travail. Une plainte a été déposée aux policiers.

Cet ex-employé aurait consulté des dossiers entre 2019 et 2021. Tous les membres visés auraient reçu une lettre pour les avertir de la situation.

Desjardins assure que ce travailleur détenait les autorisations nécessaires pour consulter ce type de dossiers. On retrouvait, dans les documents des membres visés, des dates de naissance et des coordonnées. 

«Cette personne avait accès à ces données. [...] Elle pouvait les utiliser dans le cadre de son travail, mais elle n’en avait pas besoin. Cela contrevient à notre politique», a indiqué au Journal la porte-parole, Chantal Corbeil, ajoutant que l’ex-employé en question a consulté «un par un», durant ces deux années, ces dossiers et qu’il «prenait des notes».

Aucun lien avec 2019

L’institution financière de Lévis n’a pas voulu dire depuis combien de temps cette personne n’est plus dans l’organisation. C’est dans le cadre du resserrement des mesures de sécurité, depuis le vol de données de millions de membres en 2019, que Desjardins a découvert cette pratique.

La direction affirme qu’il n’y a aucun lien entre les deux événements. Elle n’est toutefois pas en mesure d’expliquer ce qui a motivé cette personne à regarder ces dossiers. Il n’est pas possible de savoir, pour le moment, si certaines données sont sorties des murs de l’institution financière.

«C’est la police qui va faire son enquête», a répondu Mme Corbeil. «Notre enquête a dévoilé qu’elle avait légitimement accès à ces données, mais qu’elle ne devait pas les consulter, car elle n’avait pas reçu de demande», a-t-elle ajouté, précisant qu’il n’y a aucun autre suspect.

Desjardins a refusé de dire le nombre exact de personnes qui sont touchées par cette nouvelle brèche

 

 

REF.:.

mercredi 16 décembre 2020

Alexa d'Amazon pourrait être un témoin clé dans une affaire de meurtre ;

 

 Alexa d'Amazon pourrait être un témoin clé dans une affaire de meurtre ;

 

Un juge a ordonné à Amazon de transmettre les données d'un orateur présent sur les lieux d'un meurtre. Qu'est-ce que cela signifie pour la confidentialité des données? 

Par Chavie Lieber @ ChavieLieberChavie.Lieber @ Vox.com 

12 novembre 2018, 17 h 00 HNE

 Partagez cette histoire

 Un Amazon Echo pourrait être un témoin clé dans un procès pour meurtre. Amazone

 Cette histoire fait partie d'un groupe d'histoires appelé Les biens(The Good)

 La semaine dernière, un juge du New Hampshire a ordonné à Amazon de remettre les enregistrements d'un haut-parleur intelligent Echo trouvé dans la maison où un double meurtre a eu lieu l'année dernière à Farmington. Les autorités estiment que les enregistrements peuvent fournir des informations qui pourraient mettre le meurtrier derrière les barreaux.

 Si Amazon transmet les données privées de ses utilisateurs aux forces de l'ordre, cela n'impliquera pas seulement la société de technologie dans une affaire de meurtre. Ce sera également le dernier incident à soulever de sérieuses questions sur la quantité de données que les entreprises de technologie de données collectent sur leurs clients avec et sans leur connaissance, comment ces données peuvent être utilisées et ce que cela signifie pour la confidentialité. 

Un Amazon Echo pourrait être un témoin clé dans un procès pour meurtre En janvier dernier, Timothy Verrill a été accusé de meurtre au premier degré par le procureur général du New Hampshire dans la mort de deux femmes, Christine Sullivan et Jenna Pellegrini. La police a retrouvé les corps des femmes dans la cour du petit ami de Sullivan, Dean Smoronk, que les médias locaux du New Hampshire ont rapporté que Verrill connaissait. Verrill a été repéré sur une vidéo de surveillance à domicile avec Sullivan et Pellegrini.

 Il a également été vu en vidéo quelques heures plus tard, achetant des produits de nettoyage dans un magasin et retournant à la maison. Après que Smoronk a appelé le 911 pour signaler la disparition de sa petite amie, la police a retrouvé les corps et saisi un haut-parleur Amazon Echo dans la cuisine, à côté de l'endroit où la police pense que Sullivan a été tué. Vendredi dernier, un juge a ordonné à Amazon de remettre les enregistrements sur l'Echo, ainsi que toutes les informations sur les téléphones portables qui étaient jumelés au haut-parleur à la date du meurtre. Selon l'Associated Press, les procureurs estiment que l'Echo pourrait avoir des informations utiles pour plaider contre Verrill, dont le procès commence en mai 2019, y compris des détails sur ce qui s'est passé pendant et après le meurtre, tels que «le retrait possible du corps de la cuisine. " Dans une déclaration à Vox, Amazon a déclaré qu'il ne «divulguerait pas d'informations sur les clients sans une demande légale valide et contraignante qui nous soit correctement servie» et que «Amazon s'oppose à des demandes excessives ou autrement inappropriées, bien entendu.

 Il n'a pas précisé si l'entreprise transmettra les données une fois qu'elle aura signifié une requête, ou si elle contesterait la décision. Bien qu'il soit tout à fait possible que le haut-parleur Echo n'ait rien enregistré concernant le cas, il peut également très bien contenir des informations pertinentes. L'orateur est initié par quatre mots de réveil - «Alexa», «Echo», «ordinateur» et «Amazon» - et enregistre après avoir entendu ces mots, même lorsqu'il n'est pas prononcé. Ces enregistrements sont ensuite stockés sur un serveur Amazon, accessible à l'entreprise, et aux propriétaires via l'application Alexa. Il existe de nombreuses preuves que les appareils enregistrent plus que ce que dit Amazon. Après qu'une femme de Portland a découvert que son haut-parleur Echo avait enregistré une conversation qu'elle avait eue avec son mari et l'avait envoyée à un contact aléatoire, Amazon a admis que sa technologie Alexa pouvait mal interpréter les bruits domestiques tels que les conversations, les bandes sonores de télévision et la musique comme réveil. appels et démarrez l'enregistrement. L'orateur commence également à enregistrer quelques secondes avant qu'une commande ne soit émise, ce qui signifie qu'il y a probablement plus d'informations privées dans les enregistrements que les clients ne le savent. Si les procureurs de l'affaire du meurtre de Farmington trouvent effectivement des preuves sur les enregistrements d'Echo, cela soulève une foule d'autres questions: les haut-parleurs intelligents seront-ils considérés comme des témoins oculaires? 

La police devrait-elle commencer à saisir tous les gadgets des scènes de crime? 

Et devraient-ils être autorisés à utiliser les données si les appareils appartiennent à des particuliers? 

La technologie commence à être liée aux affaires pénales L’ordre du juge du New Hampshire à Amazon de remettre les enregistrements d’Echo de Dean Smoronk n’est pas la première fois qu’une entreprise de technologie - ou même Amazon - est soumise à une enquête criminelle.

 L'année dernière, Amazon a été sommé de publier les enregistrements d'un appareil Echo présent dans une maison de l'Arkansas où un meurtre a eu lieu. Amazon a d'abord combattu la commande, affirmant qu'elle violait la liberté d'expression. Une fois que le défendeur a autorisé Amazon à transmettre ses données, le géant de la technologie a publié les enregistrements (les accusations ont finalement été abandonnées).

 L'été dernier, lors d'un incident de violence domestique à Albuquerque, les forces de l'ordre ont déclaré qu'un Echo avait appelé la police. Le haut-parleur intelligent aurait entendu un petit ami battre sa petite amie et crier: «Avez-vous appelé le shérif?» ce qui l'a incité à téléphoner au département du shérif. (Amazon et les forces de l'ordre locales ont un stockage en conflit.

 

REF.:

dimanche 15 mars 2020

Le gendarme financier britannique victime d'une fuite de données


Le gendarme financier britannique victime d'une fuite de données

Technologie : Le gendarme financier britannique a été victime d'une fuite de données. 1 600 citoyens ont vu des données personnelles rendues publiques.

La Financial Conduct Authority (FCA), le gendarme financier britannique, a admis ce mardi avoir laissé fuité des données contenant des informations confidentielles appartenant à environ 1 600 citoyens britanniques. L'organisme de surveillance financière a déclaré que l'exposition des informations s'était produite à la suite de la publication de données en réponse à une demande de la loi sur la liberté d'information britannique.
Les demandes concernant cette loi peuvent être effectuées outre-Manche pour des dossiers détenus par les autorités publiques. La demande au cœur de la fuite de données a été faite entre le 2 janvier 2018 et le 17 juillet 2019. Lorsque ces dossiers ont été publiés et mis à disposition sur le site web de la FCA sous la forme d'un document, les informations confidentielles des plaignants, au nombre d'environ 1 600 pendant cette période, ont également été rendues publiques.
« Certaines informations confidentielles sous-jacentes peuvent avoir été accessibles », indique l'Autorité, qui reconnaît que « la publication de ces informations était une erreur ». Les noms, les descriptions des plaintes, les adresses, les numéros de téléphone et d'autres informations ont été rendues publiques, totalement ou en partie. Aucune information financière, aucun passeport ou autre document d'identité n'a en revanche fait l'objet de fuite, comme l'a indiqué l'Autorité.

publicité

La FCA présente ses excuses

Celle-ci a expliqué avoir désormais retiré les dossiers et est en train de contacter directement les victimes de ces fuites pour leur présenter ses excuses. Le bureau du commissaire à l'information du Royaume-Uni (ICO) a été informé de l'incident, dans lequel la faute de fonctionnaires de l'autorité de contrôle peut être soulevée. D'autant plus que l'autorité de contrôle avait précédemment infligé une amende de 16,4 millions de livres sterling à la chaîne de supermarchés britannique Tesco pour laxisme des normes de sécurité à la suite d'une cyberattaque contre les clients.
Pour rappel, l'OIC est chargée de mener des enquêtes sur les plaintes portant sur le RGPD et d'infliger des amendes. Plus de 160 000 notifications de violation de données lui ont été transmises au cours des 18 derniers mois. « Nous avons pris des mesures immédiates pour que cela ne se reproduise plus », a déclaré la FCA.
« Nous avons entrepris un examen complet afin de déterminer l'étendue des informations qui auraient pu être accessibles. Notre principale préoccupation est d'assurer la protection et la sauvegarde des personnes qui peuvent être identifiées à partir de ces données », a également fait savoir l'Autorité.

Source : ZDNet.com

jeudi 12 mars 2020

Les entreprises pourraient devenir des enquêteurs,avec la technologie de reconnaissance façiale



Les entreprises pourraient devenir des enquêteurs,avec la technologie de reconnaissance façiale ,indirectement par la vente du système de Bell





reconnaissance faciale, hackers, vol d'identité, anonymat, vol,


Bell veut vous faire suivre en continu

Alors que les autorités enquêtent sur des systèmes de reconnaissance faciale, La Presse a appris que Bell voulait vendre cette technologie aux entreprises. Si le géant des télécommunications va de l’avant, ses clients d’affaires pourraient utiliser son outil haute performance pour identifier et surveiller des milliers de visages à la minute – dans des hôtels, épiceries, boutiques, banques, stades ou lieux de travail.
Marie-Claude Malboeuf Marie-Claude Malboeuf
La Presse

Un outil pour « surveiller les individus »

Malgré la controverse croissante entourant cette technologie, Bell veut vendre aux entreprises un système de reconnaissance faciale capable de vérifier « instantanément » l’identité des gens, de détecter leurs comportements et de les « suivre en continu ».
La Presse a appris que le géant des télécommunications avait suggéré à ses clients d’affaires de l’utiliser pour surveiller et cibler les personnes qui entrent dans leurs hôtels, épiceries, boutiques, banques, stades ou lieux de travail.
Sa technologie « haute performance » capte les visages à l’aide de caméras et les compare à « une large banque de données archivées », peut-on lire sur une page du site web de Bell. Cette page en anglais semble non indexée et ne nous a pas été accessible à partir d’un moteur de recherche.
Bell a refusé de nous accorder une entrevue, mais a répondu par courriel qu’elle « ne propose pas de services de reconnaissance faciale en ce moment ». Sa page web a été construite à des fins promotionnelles, pour « déterminer le niveau d’intérêt potentiel de ce service et s’il pourrait être un produit viable », a écrit la porte-parole Caroline Audet.
Bell est présente en télécommunications, en télévision, en radio et en affichage, et a encaissé 3,25 milliards de profits sur des revenus de 24 milliards en 2018. Si les nombreuses entreprises qu’elle dessert achetaient massivement son système de reconnaissance faciale, des milliers de Canadiens pourraient bientôt être surveillés et reconnus dans toutes sortes de lieux – sans forcément s’en rendre compte ni en avoir réellement le choix.
« Même avec un éclairage de bas niveau et avec des données vidéo de faible qualité, l’analyse vidéo de Bell est capable de compter et de suivre en continu les personnes et les objets », précise son site. Le système d’intelligence artificielle envoie des « alertes instantanées » aux responsables de la sécurité et permet de « prendre des décisions plus rapides et intelligentes ».

Repérer les clients riches

La semaine dernière, les commissaires à la protection de la vie privée du Canada ont fait état de leurs « préoccupations croissantes quant à l’utilisation de la reconnaissance faciale » et déclenché une enquête nationale sur l’une de ces technologies, Clearview AI, utilisée par des centaines de corps policiers, dont certains canadiens.
D’après une note en petits caractères, masquée par le signe « + » au pied de sa page web, Bell cherche de son côté à revendre l’outil d’une immense société japonaise, NEC, qui a entre autres mis au point un système appelé NeoFace, dès 2002. Il sera employé aux Jeux olympiques de Tokyo l’été prochain, et permet d’analyser des milliers de visages par minute pour faire de la surveillance ou du marketing, selon le site web de NEC.
Sur son propre site, Bell suggère par exemple aux banques d’utiliser la reconnaissance faciale pour détecter aussi la présence de « déposants fortunés » et de « clients VIP » afin de leur offrir des avantages. La même chose est possible dans les hôtels et les boutiques.
À l’autre extrême, toujours selon son site, l’outil promu par Bell « détecte les comportements suspects », « surveille les individus », repère les gens inscrits sur une liste noire et envoie des « alertes instantanées » aux responsables de la sécurité. Les indésirables peuvent ainsi se voir bloquer l’accès à un commerce ou à un guichet automatique « pour éviter les vols et les pertes ».
Autres possibilités : « garde[r] en mémoire le nombre, le mouvement et le comportement des personnes sur plusieurs sites », automatiser l’accès aux stades (sans billets), mieux répartir le personnel selon l’achalandage et les files d’attente, etc.
1/6
Sur son site, NEC vante le fait que la reconnaissance faciale puisse se faire « sans interagir avec l’individu en train d’être identifié ».
Ce sont deux Torontois férus de technologie, Sydney Eatz et Richard Trus, qui ont déniché la page web de Bell et l’ont transmise à La Presse. Ils se surnomment « la police de l’internet », parce qu’ils ont dénoncé plusieurs dérives à des médias torontois depuis deux ans. Sydney Eatz a aussi déposé un mémoire sur Google devant un comité de la Chambre des communes.
« Facebook a dû payer 550 millions de dollars US pour régler hors cours un recours collectif, après avoir utilisé la reconnaissance faciale aux dépens de la vie privée, a-t-elle dit à La Presse en entrevue. Ça démontre que faire de la reconnaissance faciale sans obtenir le consentement des gens a un coût. »

Pire que la police

Le projet de Bell inquiète les défenseurs et les experts de la vie privée joints par La Presse.
« Jusqu’à récemment, l’identification biométrique était limitée à la police dans le cadre d’enquêtes criminelles, mais maintenant, c’est en train d’être généralisé un peu partout », dit Dominique Peschard, porte-parole de la Ligue des droits et libertés.
En plus de jumeler les visages, le système promu par Bell suggère des décisions aux employés des entreprises qui en feraient usage. « Mais ces algorithmes sont secrets et on ne sait pas comment ils fonctionnent, souligne M. Peschard. La personne ne sait donc pas selon quel critère elle a été jugée, pourquoi telle décision a été prise. »
Les commissaires à la vie privée du Canada commencent enfin à se rendre compte des dangers de ces technologies et à lancer des consultations, dit-il.
En attendant, c’est le “free for all”, les entreprises profitent du vide. Ça prend un moratoire jusqu’à ce qu’on ait adapté nos lois pour se protéger contre les abus potentiels.
Dominique Peschard, porte-parole de la Ligue de protection des droits et libertés
Pour Dominic Martin, spécialiste de l’éthique de l’intelligence artificielle et de la gestion de l’éthique en entreprise, « il faut fixer les conditions d’utilisation et instaurer des moyens de contrôle, parce que la reconnaissance faciale a le potentiel de mener à des écarts éthiques importants ». Il faut résoudre plusieurs questions de toute urgence, précise le professeur de l’Université du Québec à Montréal. Jusqu’où va-t-on aller dans l’enregistrement des moindres faits et gestes d’un individu ? Avec quoi va-t-on recouper ces images ? Et à qui on va vendre le tout ?
Autre écueil : lors de tests, des outils de reconnaissance faciale ont fait plus d’erreurs lorsqu’ils analysaient les images de personnes à la peau foncée. Ce qui augmente le risque de les confondre avec un suspect fiché – comme un voleur à l’étalage –, avec la discrimination et les ennuis que cela suppose (1).
L’outil proposé par Bell s’est classé parmi les plus performants lors de tests organisés par l’industrie. Mais à Londres, où la police l’utilise depuis 2016 pour filmer les rues et repérer les gens inscrits sur une liste noire, seulement 19 % des 42 personnes signalées par l’algorithme correspondaient vraiment à leur « sosie » fiché, selon une étude de l’Université d’Essex, commandée par le gouvernement britannique et publiée en 2019.

Plus libres que la police

« Si on ne fixe pas de limites, les entreprises pourraient devenir des enquêteurs automatiques, se faire justice à elles-mêmes ou faire d’immenses parties de pêche. Elles auront les coudées plus franches que la police, prévient Pierre Trudel, professeur de droit de l’information et du cyberespace à l’Université de Montréal. Au Canada, la police ne peut filmer vos allées et venues sans avoir demandé une autorisation judiciaire ni filmer tout le monde au cas où elle trouverait quelque chose. »
Le potentiel d’intrusion est considérable. Le législateur doit courir pour faire du rattrapage, car il y a un défaut affligeant d’encadrement.
Pierre Trudel, professeur de droit de l’information et du cyberespace à l’Université de Montréal
La Commission d’accès à l’information du Québec (CAI) dit prendre le déploiement de la reconnaissance faciale « très au sérieux ». « On suit la situation de très près et ça fait des années qu’on suggère d’actualiser la loi pour que la biométrie soit plus balisée », a dit en entrevue la porte-parole de l’organisme, Isabelle Gosselin.
Quiconque achèterait la technologie proposée par Bell devrait obligatoirement s’inscrire au Registre des déclarations des banques de mesures biométriques de la CAI, précise-t-elle, car la Loi sur les technologies de l’information l’exige.
Les fournisseurs doivent pour leur part respecter les lois sur la protection des renseignements personnels – en obtenant par exemple le consentement des cibles et en agissant « par nécessité ». « Et on ose tenir pour acquis qu’ils le font », avance Mme Gosselin.
(1) Les personnes d’origine afro-américaine ou asiatique ont entre 10 et 100 fois plus de risques d’être reconnues erronément par les algorithmes de reconnaissance faciale que les Caucasiens, selon un rapport d’évaluation du National Institute of Standards and Technology, basé sur des tests réalisés sur 189 logiciels. Le taux d’erreur est encore plus élevé lorsqu’il s’agit d’Afro-Américaines.

De l’inconnu et des craintes

Comment se déploie de manière très concrète la reconnaissance faciale dans les entreprises canadiennes ? Le point en six questions.

Les entreprises doivent-elles obtenir notre consentement pour nous identifier avec des caméras ?

Oui, répond Isabelle Gosselin, porte-parole de la Commission québécoise d’accès à l’information.
Mais la possibilité de refuser son consentement est souvent « ténue ou pratiquement inexistante », nuance Dominic Martin, spécialiste de l’éthique de l’intelligence artificielle et de la gestion de l’éthique en entreprise.
« Quand il y a des caméras dans l’environnement, on ne peut pas les éteindre. Il faudrait carrément cesser de fréquenter certains lieux ou quitter son emploi pour ne pas faire l’objet d’une surveillance accrue », souligne le professeur qui enseigne à l’Université du Québec à Montréal.

Combien d'entreprises utilisent la reconnaissance faciale au pays ?

Dans les autres provinces, on l’ignore. Environ 16 % des magasins Canadian Tire qui y sont établis s’en servent déjà pour lutter contre le vol à l’étalage, selon un reportage publié en février 2019 par CTV News. Et une chaîne d’alimentation présente en Ontario et en Colombie-Britannique a déclaré en novembre qu’elle ferait payer ses clients avec leur visage pour accélérer leur passage à la caisse.
Au Québec, la loi oblige à déclarer toute banque de données biométriques à la Commission d’accès à l’information, et neuf entreprises ont indiqué faire de la reconnaissance faciale, révèle l’organisme. La plus connue, Master Card, dit employer cette technologie pour identifier la clientèle. Les autres entreprises l’utilisent pour gérer les accès aux bureaux, les présences ou le traitement de la paie.

Qu'arrive-t-il des données biométriques obtenues ?

Mystère, puisque ni Québec ni Ottawa n’ont encore adopté de loi sur le sujet, malgré les pressions croissantes, indique Pierre Trudel, professeur de droit à l’Université de Montréal.
« Proposera-t-on ces images à quelqu’un souhaitant nous traquer pour d’autres raisons ? Les raisons possibles sont infinies, et c’est ça qui devient un gros enjeu », dit le chercheur, qui s’intéresse entre autres à la loi sur les télécommunications et aux objets connectés.
« On ne veut pas qu’un système comme celui-là finisse par servir à des fins d’assurances. On ne veut pas entendre : “Non, on ne vous assurera pas, parce que d’après nos données, on vous voit aller dans les bars tous les soirs et rentrer tard…” »

Comment se défendre en cas d'abus ?

Pour l’instant, il faudrait invoquer le Code civil du Québec et la Charte québécoise des droits et libertés, qui interdisent de violer la vie privée sans motif sérieux, explique le professeur Trudel. Mais les tribunaux n’ont pas encore établi comment ils s’appliquent aux systèmes de reconnaissance faciale.
« S’ils servent à assurer la sécurité dans un évènement public, on pourrait peut-être argumenter que le motif est raisonnable. Mais si c’est pour savoir si vous êtes un bon client à l’hôtel, on est plutôt dans le marketing… »
Il est souvent possible de filmer pour éviter les vols, à condition que la surveillance soit annoncée. Mais les caméras n’étaient traditionnellement pas branchées à un système de reconnaissance faciale – capable d’entraîner l’exclusion d’un délinquant de toute une chaîne de magasins, sans pardon possible.
« La question qui se pose, c’est : est-ce un mécanisme disproportionné compte tenu de la finalité ? demande M. Trudel. Il va falloir que l’État intervienne. Le marché joue à l’encontre des droits fondamentaux. »

Que sait-on au sujet de l'outil japonais que Bell a vanté à ses clients ?

Il n’a pas fait la manchette, mais le système NeoFace, conçu par l’entreprise japonaise NEC, est partout. Le réseau Star Alliance, auquel appartient Air Canada, vient de signer un contrat pour le faire installer et la police de Calgary a indiqué qu’elle l’utilisait déjà, tout comme des navires de croisière de Disney ou des hôtels en Asie.
Aux États-Unis, des gouvernements, des universités et des entreprises l’emploient. Et il permettra d’assurer la sécurité aux Jeux olympiques de Tokyo.

Est-ce rassurant quant à son déploiement possible au pays ?

Pas forcément. « Bell doit bien saisir que si elle vend cette solution-là à des clients, ils vont pouvoir l’utiliser de toutes sortes de façons après », prévient le professeur d’éthique des affaires Dominic Martin.
Le géant des télécommunications s’associe à des tiers pour offrir des services spécialisés, parce que son « objectif premier est la connectivité réseau », selon un courriel que sa porte-parole Caroline Audet a envoyé à La Presse.
Le professeur Martin s’interroge néanmoins : « À la place de Bell, je me demanderais jusqu’à quel point ça cadre dans mon modèle d’affaires, sachant que de gros joueurs comme Google et Facebook ont officiellement mis la pédale de frein à cause des possibles débordements éthiques de cette technologie-là. »



REF.:

lundi 27 janvier 2020

Comment une entreprise aspire illégalement des millions de photos au service des forces de l’ordre

Clearview AI : comment une entreprise aspire illégalement des millions de photos au service des forces de l’ordre





CyberVols, image, reconnaissance faciale, vol d'identité, vol de donnés,



Le New York Times s'est intéressé au cas inquiétant de Clearview AI, une startup qui a créé un 
outil de reconnaissance faciale... à partir de millions d'images trouvées sur le web. L'application, sortie 
des pires scénarios de science-fiction, convainc les utilisateurs, mais s'affranchit de plusieurs barrières légales. Peut-elle s'installer dans les usages, alors qu'elle se confronte aux lois américaines et au règlement européen sur les données en Europe ?
La fin justifie-t-elle les moyens ? Pour plus de 600 autorités publiques, des petites polices locales jusqu’au FBI, la réponse est oui. Elles sont états-uniennes, canadiennes ou encore indiennes et utilisent l’application de reconnaissance faciale de Clearview AI, sur laquelle le New York Times a enquêté. Créée en 2016, cette entreprise a constitué une base de données de milliards d’images, en aspirant les données de Facebook, Twitter ou encore YouTube. Sans aucune considération pour la
 loi.
Grâce à une technologie développée en interne, elle relie ensuite les images similaires entre elles
pour former des albums photos de personnes aléatoires. Chaque image est reliée à sa source (Facebook, par exemple). Un utilisateur de l’application peut donc retrouver l’identité d’une personne, voire son adresse, s’il dispose d’une seule photo qu’il a lui-même prise. Clearview
dispose ainsi d’une sorte de Google Image surpuissant, qu’elle a nommé Smartcheckr. Elle le commercialise uniquement aux « forces de l’ordre » pour l’instant, mais n’exclut pas de le rendre accessible au public.
Pour l’instant, la technologie de Clearview n’est accessible qu’aux forces de l’ordre.
 // Source : Capture d’écran du site de Clearview

La meilleure technologie pour retrouver un criminel ?

Clearview dispose d’un avantage concurrentiel exceptionnel : son application peut, en théorie, identifier une personne même si elle porte un chapeau ou des lunettes, quel que soit l’angle de la
 prise de vue. À l’heure actuelle, les logiciels autorisés aux États-Unis, en Inde ou au Canada ne contiennent que des photos officielles, c’est-à-dire des photos au format portrait, de face, prises
pour créer des papiers d’identité ou de lors d’arrestations. Comme tout service par abonnement, Clearview propose une offre d’essai de 30 jours, pour convaincre ses utilisateurs de la supériorité
de sa technologie.
« La technologie pour résoudre les crimes les plus compliqués », lit-on sur le site de Clearview AI. 
La startup, qui compile aussi des images de personnes sans casier judiciaire, permet de retrouver des criminels en tout genre : du voleur de magasin filmé par un passant à un meurtrier filmé par une caméra de surveillance, en passant par un fraudeur bancaire trop peu prudent. Le Times relaie de nombreux témoignages d’utilisateurs plus que satisfaits de l’efficacité de la technologie, dont l’utilisation a commencé sans consultation du public.
Pourtant, le débat autour de la reconnaissance faciale émerge aux États-Unis comme en France, et laisse déjà entrevoir de fortes oppositions. Il en est de même dans de nombreux pays, à part quelques exceptions, comme la Chine, où le gouvernement se sert de la technologie pour imposer une surveillance d’État.
Pour éviter de se retrouver au centre de l’attention, Clearview a donc opéré sous le radar : son site, très pauvre en information, n’a été réellement lancé que début 2020, alors que son business était
déjà bien installé.

L’aspiration illégale de données au centre de la technologie

L’entreprise construit ses bases de données à partir d’une technique bien connue, et très facile à mettre en œuvre : le web-scraping. Le principe est simple : un logiciel aspire de façon automatique
 le contenu des pages web. Dans le cas de Smartcheckr, toutes les images accessibles librement y passent. Profils et photos publics sur Facebook, Instagram, LinkedIn, les sites de vos clubs de sport ou encore de votre employeur sont autant de sources d’images pour l’application. Même si ces sites écrivent de façon explicite dans leurs conditions générales d’utilisation (CGU) qu’ils interdisent
cette pratique. Résultat, alimenter constamment la base de donnée ne coûte presque rien à Clearview, puisqu’elle se sert librement. Ces économies lui permettent de proposer un prix d’abonnement
annuel à son service compris entre 2 000 et 10 000 dollars par an, une bouchée de pain pour sa cible de clientèle.
Pour construire son outil, Clearview AI n’a pas hésité à piétiner le droit existant. « En Europe 
comme aux États-Unis, rien n’interdit le web scraping en soi. Mais assez rapidement, il se heurte
 à certaines règles », nous explique Sabine Marcellin, avocate spécialisée en droit du numérique
 chez Aurore Légal.
5 an de prison, 500 000 euros d’amende
La juriste énumère l’immense arsenal légal français et européen qui pourrait, sous condition d’apports de preuves, qualifier les pratiques de Clearview   : concurrence déloyale et parasitisme, extraction non-autorisée, fraude informatique, vol d’information, violation du contrat (ici, des CGU)… Selon les qualifications, les sanctions vont des simples dommages et intérêts jusqu’à 5 ans de prison, accompagné de 500 000 euros d’amende. « En théorie, les procédures sont cumulables, mais dans le cas de contentieux complexes comme celui-ci, le choix des voies judiciaires peut être subtil », précise-t-elle. De l’autre côté de l’Atlantique, l’arsenal légal est assez similaire, et LinkedIn a par le passé déjà obtenu réparation pour « rupture de contrat » sur ses CGU, après qu’une entreprise a scrapé plus de 1 000 profils sur sa base de données.
Malgré tout, David Scalzo, un des investisseurs de Clearview cité par le New York Times, ne semble pas se soucier de cette épée de Damoclès : « Je suis arrivé à la conclusion que puisque le volume d’informations augmente constamment, il n’y aura jamais de respect de la vie privée. Les lois 
doivent déterminer ce qui est légal, mais ne peuvent bannir la technologie. Bien sûr, ça pourrait pourrait mener à un futur dystopique ou quelque chose du genre, mais vous ne pouvez pas le bannir.  »

Le RGPD protège l’Europe contre l’utilisation de Clearview

Si les sites sont déjà lourdement armés pour se protéger contre Clearview devant les tribunaux aux États-Unis, les utilisateurs disposent d’armes supplémentaires en Europe. « Puisque dans le cas de ces images, il s’agit de données personnelles, le règlement général européen sur la protection des données offre tout un arsenal supplémentaire. Or, si le traitement des données est fait en Europe ou concerne des personne situées sur le territoire européen, alors le RGPD s’applique  », rappelle Sabine Marcellin. Voici probablement une des raisons pour lesquelles Clearview a des clients en
Inde, aux États-Unis et au Canada, mais pas en Europe.
En France, la Cnil contrôle les usages de la reconnaissance faciale
En cas de non-respect du RGPD, les entreprises s’exposent à une amende du plus haut montant entre de 20 millions d’euros et 4 % du chiffre d’affaires annuel mondial de l’entreprise. « On oublie souvent que le RGPD permet aussi des sanctions administratives qui peuvent aller jusqu’à l’interdiction de l’utilisation des données concernées », rajoute la juriste. De quoi anéantir pour de bon un logiciel comme celui de Clearview, en cas de condamnation.
Aujourd’hui, la reconnaissance faciale n’est pas encore inscrite dans les textes en France, mais
 la Cnil et ses homologues européennes veulent déjà encadrer son usage. Après le débat autour de l’application d’identification Alicem, l’autorité française a renouvelé, dans un guide sur le sujet, la nécessité d’obtenir sa validation pour lancer une expérimentation. Si les forces de l’ordre françaises veulent utiliser une technologie similaire à celle de Clearview, elles devront donc passer par la Cnil. « C’est sûrement la plus grande différence entre les systèmes européens et américains », estime l’avocate.

Porte ouverte aux abus

En mettant son application sur le marché, Clearview AI a franchit une barrière jusque-là respectée. Facebook, Amazon ou Google, avec leurs compétences et leurs grands volumes de données auraient pu créer un tel outil bien avant la startup. Mais même ces géants de la tech ont mis l’usage de la reconnaissance faciale à des fins sécuritaires de côté. Ils se sont contentés de créer des technologies voisines de reconnaissance d’image, qui permettent par exemple le tag automatique sur les publications, ou de classer les albums photos par personne. Clearview ouvre donc la boîte de
Pandore et laisse entrevoir un futur dystopique imaginé par la science-fiction.
Mais si l’application Smartcheckr est aussi problématique, c’est surtout parce qu’elle n’a pas été contrôlée par une autorité tierce indépendante. En conséquence, rien ne garantit son efficacité, ni sa sécurité. Pourtant, les technologies de reconnaissance faciale sont régulièrement épinglées pour
leurs biais discriminatoires. Par exemple, les risques de faux positifs pourraient être plus élevées
pour les personnes noires, déjà discriminés dans le système judiciaire actuel.
Clearview convainc les investisseurs
Ensuite, les autorités qui utilisent la technologie peuvent télécharger dans la base de données de Clearview des preuves essentielles à des enquêtes confidentielles … parfois sans en avoir
conscience. Pire, si des acteurs malveillants découvraient une fuite ou exploitaient une faille dans
 les serveurs de Clearview, ils disposeraient de tout un éventail d’outil : harcèlement, chantage, traque, extraction de preuves… Sans contrôle extérieur, l’entreprise pourrait enfin tout à fait manipuler les résultats qu’elle présente à la police.
Jusqu’où ira-t-elle avant d’être épinglée par le système judiciaire ? Vu la décontraction dans les propos des dirigeants, ils ne semblent guère s’inquiéter. Pas d’inquiétude non plus du côté des investisseurs : la startup a levé 9 millions de dollars en juin 2019, un montant relativement conséquent pour un premier tour.


REF.:

mercredi 11 septembre 2019

Fuite de données chez Industrielle Alliance

Fuite de données chez Industrielle Alliance



fuite, vol d'identité, vol de donnés, banques, hackers
Après le Mouvement Desjardins, c’est au tour d’Industrielle Alliance au Québec d’être la cible de fraudeurs. Les renseignements personnels d’environ 3000 clients québécois ont été exposés au cours de l’été.
Selon l’assureur, la première tentative d’hameçonnage est survenue le 20 juin. Deux autres stratagèmes similaires ont été effectués le 8 juillet et le 11 juillet.
Au total, trois représentants du réseau de vente de iA Groupe financier au Québec ont été victimes d’hameçonnage. Il s’agirait de trois incidents distincts aucunement liés entre eux. Une enquête a été ouverte par la compagnie.
«Lors de chaque incident, une personne externe à l’organisation a réussi à prendre momentanément le contrôle des boîtes de courriel d’un représentant et a ainsi eu l’opportunité d’accéder à l’ensemble de ses courriels», explique le porte-parole de l’organisation, Pierre Picard. «À l’heure actuelle, rien n’indique que les données auraient été utilisées à des fins malveillantes ni qu’elles auraient été vendues à des tiers», dit-il

Selon l'Industrielle Alliance Groupe financier, trois des représentants de son réseau de vente ont été victimes d'hameçonnage en juin et juillet derniers. Les trois incidents ne sont pas liés entre eux, mais dans chaque cas un pirate informatique a pris le contrôle de la boîte courriel de l'employé. Il n'est pas impossible que l'auteur de l'intrusion informatique ait pu mettre la main sur des informations personnelles concernant certains des clients.
Selon la société, qui compte plus de 4 millions de clients au pays et dont le siège social est à Québec, rien n'indique à l'heure actuelle que des données aient été utilisées à des fins malveillantes ou qu'elles aient été vendues à des tiers.
Dans une lettre envoyée le mois dernier aux clients touchés, la compagnie présente ses excuses et assure prendre la situation très au sérieux.
Des mesures additionnelles ont été rapidement mises en place pour renforcer la protection des renseignements personnels.
L'Industrielle Alliance, dans une lettre à ses clients touchés
Industrielle Alliance propose à ses 2864 clients touchés par l'intrusion informatique un abonnement de cinq ans au service de surveillance de crédit et d'assurance contre le vol d'identité de l'agence de crédit Equifax.
Elle a aussi mis à leur disposition un service à la clientèle pour répondre à leurs questions.

Des règles à revoir

Pour l'expert en cybersécurité Steve Waterhouse, l'accumulation d'histoires semblables à celle d'Industrielle Alliance devrait inciter les autorités à prendre encore plus au sérieux la sécurité des données personnelles.
Steve Waterhouse, expert en cybersécurité.

Les commissaires à la vie privée du Québec et du Canada n'ont toujours pas de mordant pour faire une intervention légale, dit Steve Waterhouse, c'est-à-dire porter des accusations à partir d'enquêtes.
Les enquêtes prennent souvent trop de temps à être réalisées pour être capables de faire quelque chose qui a du sens ou qui peut réellement faire un changement positif, ajoute-t-il.
Selon le ministre des Finances du Québec, Eric Girard, un projet de loi qui est en cours d’écriture devrait certainement être déposé lors de cette session parlementaire afin d’aider à résoudre le problème.
Je me suis engagé à déposer un projet de loi pour légiférer sur les agences de crédit. […] Je suis au travail là-dessus depuis la mi-juin.
Eric Girard, en point de presse mercredi
Selon le ministre Girard, le projet de loi encadrant les agences de notation de crédit permettra de bloquer les tentatives de fraude.
Photo : Radio-Canada
Le ministre souligne toutefois que la protection des renseignements personnels est d’abord la responsabilité des entreprises concernées.
Pour sa part, le député libéral Gaétan Barrette estime une fois encore qu’il faut saisir cette occasion pour élargir le mandat de la commission parlementaire sur les fuites de données personnelles.
La sécurité, ce n'est pas seulement une question physique, c'est aussi une question de protocoles de logiciels, de structure d'organisation des ressources humaines, et cela exige qu'on soit, nous parlementaires, informés pour débattre de façon informée et transparente de ce sujet, a déclaré Gaétan Barrette.
Les données, qu'elles soient au public ou au privé, c'est la même procédure et le même environnement. En ce qui me concerne, il faut tout traiter d'un coup maintenant.
Gaétan Barrette
Industrielle Alliance a signalé l'événement à l'Autorité des marchés financiers et à la Commission d'accès à l'information.

REF.:

vendredi 30 août 2019

Beaucoup de Québécois se sont faits avoir par ces faux concours alors qu'il s'agit d'une ruse pour voler leurs données personnelles.


Beaucoup de Québécois se sont faits avoir par ces faux concours alors qu'il s'agit d'une ruse pour voler leurs données personnelles.




concours, vol d'identité, hackers
 
 
 
« Tentez de gagner cette magnifique Aire de jeux contenant une cabane, toboggan, mur d’escalade et autres ! Livrée et montée directement chez vous! [...] Partager maintenant cette photo et écrire " je participe " dans les commentaires. Mettre un “like” sur cette page. Envoyer “Fait” en message privé. »

Voici un exemple de concours que vous pouvez voir sur une page Facebook. Mais ce qui semble en apparence banal peut servir à voler vos données personnelles.
Selon une enquête des Décrypteurs de Radio-Canada, il y aurait pas moins de 17 pages francophones qui partagent des concours identiques depuis un bon moment. Certaines pages ont plusieurs dizaines de milliers d'abonnés.

Des francophones de tous les coins du monde dont des Canadiens répondent à ces concours qui sont gérées depuis la France, la Belgique et l'Espagne. Selon les Décrypteurs de Radio-Canada, plus de 20 000 Canadiens ont potentiellement mis leurs données personnelles en danger ces dernières semaines en participant à ces concours.
Dans les commentaires, on peut voir des gens dénoncer le fait qu'il n'y a « jamais de gagnants » ou qu'ils ont été arnaqués.
Mandy, une femme de Charleville-Mézières, en France, a participé à l'un des concours de la page Hot Deals

« Vu que c'était en période de Noël et que je suis seule avec ma fille, j'y ai cru », a-t-elle confié à l'équipe de Radio-Canada.
Quand Mandy a reçu un message pour lui apprendre qu'elle avait gagné, on lui a dit qu'elle devait composer plusieurs fois un numéro de téléphone pour obtenir un code de validation. Des appels factués à 100 euros. On lui a aussi demandé d'envoyer des photos de ses pièces d'identification pour valider son identité.

Mandy a porté plainte à la police... après avoir fourni toutes les informations qu'on lui avait demandées. Les policiers lui ont confirmé que les arnaqueurs avaient tout ce dont ils avaient besoin pour faire une demande de carte de crédit en son nom.
Les journalistes de Radio-Canada ont aussi tenté de participer à un concours. Ils ont reçu un lien imitant l'habillage de Facebook et dans lequel ils devaient fournir nom, adresse courriel, mot de passe, date de naissance et adresse. Des informations permettant ensuite de procéder à un vol d'identité numérique. Après avoir entré de fausses informations, les journalistes ont été redirigés vers un autre site demandant un numéro de carte de crédit pour « valider leur âge ». En tout petits caractères au bas du site, il était possible de lire que la personne allait souscrire automatique à un abonnement à 60 $ par mois.





« Une personne qui entre toutes ces données pourrait se mettre dans la merde », a confirmé Jean-Philippe Décarie-Mathieu, chef de la cybersécurité aux Commissionnaires du Québec.
Voici les pages identifiées par les Décrypteurs comme faisant partie de ce vaste réseau de fraudeurs : Concessionnaire MultiMarque, Buco Offers, StiffStake, Pyjama Party, Rising Curve, Soaring Deals, 1Day1Deal, Summer Deals, Best Deals Club, Like Deals, Love Deals, Sunny Deals, Summer Concours, Leo Concours, Funny Deals, Hot Concours, Hot Deals et Le Génie du high tech.



REF.:


mercredi 14 août 2019

Capital One : des données personnelles de 6 millions de Canadiens ont été volées

Capital One : des données personnelles de 6 millions de Canadiens ont été volées


Radio-Canada

hackers, vol d'identité, vol de donnés, banques
Capital One a été la cible d'un des plus importants piratages informatiques visant une grande banque américaine. L'institution a annoncé lundi que les renseignements personnels de 106 millions de ses clients nord-américains, dont 6 millions de Canadiens, avaient été dérobés par un pirate informatique, qui a déjà été arrêté par le FBI.


D'après le communiqué publié par Capital One Canada, le piratage a été commis les 22 et 23 mars 2019. « Un individu extérieur a eu un accès non autorisé [à notre réseau] et a obtenu certaines informations personnelles », indique la banque.
Capital One, qui a confirmé le piratage le 19 juillet dernier, deux jours après qu'un chercheur en sécurité externe lui eut signalé une vulnérabilité du système, dit avoir colmaté la brèche « immédiatement ».
La voleuse de données, qui a profité d'une faille dans un serveur d'informatique dématérialisée (cloud) de la banque, aurait principalement eu accès aux informations de consommateurs et de petites entreprises ayant soumis une demande pour une carte de crédit entre 2005 et le début de 2019 : noms, adresses, numéros de téléphone, adresses courriel, revenus et date de naissance, etc.
D'autres informations, comme les cotes de crédit, les limites de crédit, les soldes et les habitudes de paiement, ont aussi été piratées, ainsi que certaines données sur des transactions effectuées sur un total de 23 jours de 2016 à 2018.
Au Canada, le numéro d'assurance sociale d'environ 1 million de clients a aussi été compromis.
Capital One – le cinquième émetteur de cartes de crédit bancaire aux États-Unis – dit poursuivre son enquête, mais se fait rassurante. « Selon l’analyse que nous avons effectuée à ce jour, nous estimons qu’il est peu probable que l’individu ait utilisé les renseignements à des fins frauduleuses ou qu’il les ait disséminés », dit-elle dans son communiqué.
« Ni les numéros de compte de carte bancaire ni les informations pour se connecter à des comptes bancaires n'ont été volés. Et plus de 99 % des numéros de sécurité sociale n'ont pas été compromis », ajoute-t-elle.
La banque indique qu'elle offrira sans frais aux Américains et aux Canadiens touchés des services de surveillance du crédit et une assurance contre le vol d’identité. Elle ne précise pas pour l'instant lesquels de ses clients ont été touchés. Au Canada, Capital One émet notamment des cartes de crédit pour Costco et pour La Baie d'Hudson.

Arrestation rapide

« Capital One a informé rapidement les autorités compétentes du vol de données, ce qui a permis au FBI de retrouver la trace de l'intrus », a expliqué Brian Moran, le représentant du département de la Justice dans l'État de Washington, dans un communiqué.
Selon la plainte déposée par le département de la Justice, la personne accusée dans cette affaire est Paige Thompson, domiciliée à Seattle, dans l'État de Washington.
Sous le pseudonyme Erratic, Mme Thompson s'est targuée d'être l'auteure de cette fraude sur les réseaux sociaux. Elle y a notamment déclaré « qu'elle détenait des informations de Capital One, et qu'elle reconnaissait avoir enfreint la loi », peut-on lire dans la plainte du FBI.
L'arrestation de Mme Thompson survient quelques jours après qu'Equifax, l'agence de crédit américaine, eut été contrainte de payer une amende de 700 millions de dollars américains pour le vol de données de plus de 150 millions de clients en 2017.
Récemment, 2,9 millions de membres de Desjardins ont aussi été victimes d'un vol de données.

 ***************************************************************************

 Capital One : un suspect arrêté par le FBI pour le piratage d’une banque canadienne
Les données bancaires de 6 millions de canadiens et d’un peu plus de 100 millions de résidents américains sont concernées par le piratage. Le suspect a utilisé Tor et un VPN pour camoufler ses agissements.Paige A. Thompson, 33 ans, était une ingénieure ayant travaillé dans plusieurs secteurs informatiques et a notamment été employée pendant deux ans pour la société Cloud Computing Company, un prestataire informatique travaillant pour Capital One.


La banque Capital One a été victime d’un piratage d’ampleur, mais le principal suspect a déjà été appréhendé. Lundi, la banque canadienne a publié un communiqué indiquant avoir été victime d’un piratage. L’auteur du piratage aurait accédé aux données de la banque suite à une erreur de configuration dans l’un des pare-feu d’application web (Web application Firewall, WAF) de la société ayant permis d’accéder aux données personnelles des clients de la banque. Les informations collectées par l’attaquant étaient issues des fichiers de demande de carte bancaire des clients.
Parmi les informations exposées, on retrouve ainsi des noms, adresses postales, numéros de téléphone, adresses email, dates de naissance et revenus déclarés par les clients. En plus de ces données personnelles, la banque précise que 140 000 numéros de sécurité sociale ainsi que les numéros de comptes de 80 000 clients ont été exposés, ainsi qu’un million de numéros d’assurance sociale appartenant à des résidents canadiens. La banque précise également que les informations de comptes de ses clients (Historique de paiement, score de crédits, etc.) ont été exposées ainsi que des historiques de transactions.
Les vols de données auraient eu lieu entre mars et avril, mais n’ont été découverts par la banque que le 17 juillet grâce à un chercheur en sécurité ayant alerté la société. La banque a depuis corrigé le problème de configuration à l’origine de la fuite de donnée.

La faute aux réseaux sociaux

Dans un communiqué publié par le FBI, on en apprend un peu plus sur le suspect interpellé par les autorités américaines suite à ce piratage. Paige A. Thompson, 33 ans, était une ingénieure ayant travaillé dans plusieurs secteurs informatiques et a notamment été employée pendant deux ans pour la société Cloud Computing Company, un prestataire informatique travaillant pour Capital One.
Thompson était parvenue à accéder aux données et avait pris ses précautions afin de ne pas se faire repérer, en se connectant notamment à travers le réseau Tor et en utilisant un VPN afin de dissimuler ses traces. Malheureusement pour elle, elle s’est un peu trop épanchée sur les réseaux sociaux et a notamment publié plusieurs informations volées sur le réseau social Github ainsi que sur plusieurs channels Slack, où un chercheur en sécurité a repéré les informations et contacté la banque concernée.
REF.:

Comme c’est généralement le cas aux Etats-Unis suite à un piratage informatique, une plainte en recours collectif (class action) a été déposée dans la foulée de l’affaire Capital One. La semaine dernière, la banque canadienne révélait avoir été victime d’une attaque informatique au cours de laquelle les données personnelles (noms, adresses postales, numéros de téléphone, adresses email, dates de naissance, revenus déclarés) de 106 millions de clients ont été exposées. Une plainte déposée en Californie vise non seulement Capital One mais également Github.
La plateforme d'hébergement de code source est accusée de négligence. Le pirate, qui a été appréhendé avant que l’affaire ne soit rendue publique, a publié des informations sur son attaque via GitHub, ce qui conduit les plaignants à estimer que “les décisions de la direction de GitHub (...) ont permis que les données piratées soient publiées, affichées, utilisées et/ou autrement disponibles." Les informations étaient disponibles sur le site entre le 21 avril et la mi-juillet. GitHub est accusé d’avoir enfreint la loi fédérale sur les écoutes (Wiretap Act).
Des porte-parole de Capital One et de GitHub ont déclaré à nos confrères de ZDNet.com que les données téléchargées sur GitHub par le pirate ne contenaient aucune information personnelle. (Eureka Presse)


dimanche 19 février 2017

Le Juge qui autorisa l'écoute d'un journaliste au Québec



Il s’agit du juge Marc Bisson,.....le juge "la 64FFE" nommé en 2003 par le ministre de la Justice Marc Bellemare.L'ex-ministre de la Justice Marc Bellemarre, a allégué que les juges étaient nommés de façon partisane.Marc Bellemare affirme ignorer les détails bureaucratiques entourant la nomination du juge Marc Bisson. Il soutient simplement que Jean Charest lui a dit de le nommer parce que Franco Fava l'encourageait à le faire.D'ailleurs, les événements entourant la nomination de Marc Bisson ne sont pas nécessairement favorables à la version de Marc Bellemare, car l'ancien ministre de la Justice prétend que le choix de Marc Bisson a été confirmé le 2 septembre 2003 lors d'une rencontre avec le premier ministre Jean Charest.Et la commission Bastarache devrait expliquer pourquoi elle n'a pas jugé utile, dans l'intérêt de la vérité et de la bonne conduite de son mandat, d'interroger Michel Gagnon sur les circonstances de la nomination du juge Marc Bisson.Et dans le cas des juges de paix : ils ont signé 98,6 % des mandats demandés par le SPVM depuis trois ans,assez facile a convaincre.Le SPVM a ainsi cherché à identifier les interlocuteurs au sein même de ses forces parlant au journaliste indépendant Fabrice de Pierrebourg, anciennement à La Presse, à Félix Séguin, du Bureau d'enquête du Journal de Montréal et à Monic Néron, du 98,5 FM.Or, dans le cas présent, ce sont plutôt les registres téléphoniques des employés du SPVM qui ont été épluchés, afin de savoir si certains avaient contacté ces trois journalistes. Le tout dans un contexte de chasse aux sources au SPVM. En effet, la section des Enquêtes spéciales de la police, chargée de réprimer le crime au sein même des forces de l'ordre, cherche à savoir qui, à l'interne, parle aux journalistes.Au moins 24 mandats de surveillance concernant le téléphone ont été accordés,et c'est la juge de paix Josée de Carufel, de Montréal, qui a autorisé la majorité des mandats de surveillance.M. Lagacé juge que les raisons invoquées par le SPVM, à savoir faire avancer une enquête interne, ne sont pas crédibles. «Il y a un contexte de chasse aux sorcières à la police de Montréal, où elle cherche à savoir qui parle à des journalistes, estime-t-il. Je crois que dans une des enquêtes criminelles sur un policier, on a soupçonné que ce policier parlait à un journaliste, et que le SPVM a vu là un prétexte fantastique pour espionner un journaliste. Et ils ont trouvé une juge qui a été assez stupide pour émettre un mandat et leur permettre de faire ça.»M. Lagacé rappelle qu'il n'est pas un journaliste d'enquête: il écrit des chroniques et critique des institutions. «S'ils ont fait ça à un journaliste qui ne fait pas d'enquête, imaginez ce qu'ils font à des vrais journalistes d'enquête», Alain Gravel(rendu depuis ce tamps a la radio de RC "Gravel le matin") et Marie-Maude Denis ,Isabelle Richer d'Enquête,,a-t-il dit.Le Service de police de la Ville de Montréal (SPVM) m'avait donc déjà espionné en décembre 2014, dans une affaire distincte de celle de 2016, révélée la semaine dernière par La Presse. Et cette fois, l'histoire implique Denis Coderre arrêté avec son auto avec des plaques non payées et que Pat Lagacé demanda si le ticket de 444$ avait été payé.Le bureau du maire Coderre, irrité,car supposément deux policiers soupçonnés d'avoir remis une copie du constat d'infraction à M. Lagacé ont vu leurs déplacements à l'intérieur des locaux de police vérifiés grâce aux registres d'utilisation des cartes magnétiques., et Coderre a appelé le chef de police. À l'époque, Marc Parent chef du SPVM. L'actuel chef, Philippe Pichet, était son chef de cabinet. Costa Labos était chef des Affaires internes. Et quelqu'un a décidé que c'était bien correct d'espionner un journaliste, en tout cas plus facile!On va le dire et on va le répéter : en démocratie, ces intrusions de l'État dans les données téléphoniques des journalistes sont rarissimes et universellement condamnées. Aux États-Unis, quand le Department of Justice a fait le coup à 20 journalistes de l'Associated Press, l'affaire a fait scandale, en 2013. Il s'agissait, au moins, de reportages liés à une opération antiterroriste. Pas à une question sur le ticket d'un politicien.
Bien sûr, si on prend la voie criminelle, on a un prétexte extraordinaire pour aller espionner en douce les données téléphoniques d'un journaliste...
Bien sûr, si on prend la voie criminelle, on envoie aussi un signal bien clair aux troupes : parlez, et vous allez souffrir.
La beauté de l'affaire, ici, c'est que les policiers qui ont fait l'objet d'une enquête criminelle n'ont jamais été accusés. Je dis « la beauté de l'affaire » parce que jamais l'enquêteur Borduas ou son boss Labos n'auront à se justifier en cour : les policiers n'ont jamais été accusés ! Partie de pêche gratuite.Il y a trop de proximité entre le maire Coderre et « sa » police. Le bien public commande d'ériger un mur plus haut entre le SPVM et le bureau de notre maire hyperactif et contrôlant.«Patrick Lagacé a simplement fait son travail de journaliste : poser des questions sur un sujet d'intérêt public.»Mais ça prouve que tous les autres autour de ce dossier sont des pourris.
juge Marc Bisson

Quand le sergent-détective Normand Borduas et son partenaire Iad Hanna ont décidé qu’ils avaient besoin d’une autorisation judiciaire pour obtenir le droit d’intercepter mes conversations téléphoniques si nécessaire, ils sont allés voir un juge.
Ils avaient déjà en main mes relevés téléphoniques d’une bonne partie de l’année 2015 et les métadonnées de mon téléphone cellulaire. Les métadonnées, ce sont les numéros de téléphone, sans le contenu : quel numéro m’appelle, à quel numéro j’envoie un texto, par exemple.
Les policiers Borduas et Hanna voulaient savoir si un certain policier me refilait des informations.
La police est donc allée voir le juge Marc Bisson, à Longueuil (pourquoi Longueuil, au fait, Montréal manque de juges prêts à autoriser des mandats ?), pour le convaincre d’aller un peu plus loin dans la surveillance de ma personne et de mon travail en autorisant ce mandat d’interception de mes conversations.
Pour le convaincre, Normand Borduas a signé une déclaration sous serment. Il a expliqué au juge un tas de choses que je ne peux pas vous dire, parce que ces déclarations sous serment sont l’objet d’un interdit de publication jusqu’au 4 janvier prochain, au moins.
Mais je les ai lus, les soupçons du sergent-détective Borduas. Je brûle de vous dire les liens présentés par l’enquêteur au juge, à partir d’échanges entre appareils téléphoniques…
Mais je ne peux pas. Pas avant le 4 janvier, au moins.
Ce que je peux vous dire, c’est que j’ai super hâte qu’arrive janvier. J’ai super hâte de l’écrire, cette chronique.
Parce que d’un bord, il y a ce que le sergent-détective Borduas a raconté au juge à propos de la signification de mes interactions avec certaines personnes. Et de l’autre bord, il y a la réalité.
Je veux dire que là où – lisant savamment dans une masse de numéros de téléphone – la police a vu un Yéti, il peut y avoir quelque chose de bien moins effrayant… Une oie, disons.
Ça ne ressemble pas au Yéti, une oie. Ça fait moins peur, mettons. Je vous dirai pourquoi je parle d’une oie quelque part en janvier.
Et cette oie qui ressemble à un Yéti quand on la dessine avec des métadonnées, elle s’est retrouvée dans le 98,6 % des mandats présentés par le SPVM et qui ont été approuvés par des juges qui devraient googler la traduction française de « rubber stamping »…
Où m’en vais-je avec mes skis, mon oie et mon Yéti ?
Dans les pages d’un rapport de la Commission de la sécurité publique de la Ville de Montréal sur l’espionnage de mon travail et de ma personne par le SPVM.
La Commission d’Anie Samson a mené ses travaux à huis clos. Seuls les boss du SPVM ont témoigné. Aucun expert n’a été sollicité pour contextualiser, nuancer ou contredire les dires des boss de la police aux élus chargés d’encadrer le SPVM.
La vue de ces gradés impeccables dans leurs costumes d’apparat a dû beaucoup impressionner les élus de l’Équipe Coderre, parce qu’ils ont accouché d’un rapport d’une complaisance totale. Projet Montréal a offert une saine et lucide dissidence.
On a demandé aux élus de se pencher sur le cas du SPVM et c’est ce qu’ils ont fait, se pencher… servilement.
Je cite le rapport de la Commission : « Les commissaires constatent ainsi que la très grande majorité des mandats et ordonnances demandés ont été acceptés, ce qui témoigne à première vue de la reconnaissance par le juge de la rigueur avec laquelle les enquêtes sont menées et de la pertinence des mandats réquisitionnés… »
Ma réponse à ça, c’est que j’ai bien hâte au mois de janvier, quand l’interdit de publication sera levé.
J’ai bien hâte de parler de la « rigueur » de l’enquête qui a été menée et qui est venue fouiller dans mes bobettes, dans cette partie de pêche inusitée qui a fini par mener, quand on a su que d’autres journalistes avaient aussi été espionnés, à une commission d’enquête publique ordonnée par Québec.
J’ai bien hâte de parler de la « pertinence » de ce que les fins limiers du SPVM ont présenté au juge Bisson, au début de 2016, pour justifier mon espionnage.


Le sergent-détective Normand Borduas est ce policier qui enquête sur ses collègues du SPVM. C'est lui qui, en 2014, en 2015 et en 2016, dans deux affaires différentes, a obtenu le droit inusité dans ce pays d'espionner un journaliste... Moi.
C'est un drôle de sentiment de lire la prose de M. Borduas me concernant, dans ces « affidavits » qu'il a soumis à des juges pour justifier mon espionnage - ou celui d'autres personnes - en traquant le policier Fayçal Djelidi.
Tout ce qu'il voit, c'est que j'ai reçu un appel ici, que j'ai envoyé un texto là. L'enquêteur ignore le contenu de ces communications. C'est ce qu'on appelle des métadonnées : le contenant, pas le contenu des communications.
Alors Normand Borduas fait des liens avec tous ces numéros de téléphone. Le 20 décembre, j'y allais d'une image, dans « Journal d'un espionné (1) » : avec ces métadonnées, l'enquêteur a dessiné pour les juges un yéti, quelque chose d'effrayant...
Tenez, M. Borduas écrit dans un affidavit que le 26 décembre 2015, à 11 h 25, « un message texte est reçu sur le (514) 239-XXXX, de Fayçal Djelidi, en provenance du numéro de cellulaire appartenant au journaliste Patrick Lagacé... »
Suit une note : « L'affiant rappelle au juge autorisateur que l'interrogatoire mené par Fayçal Djelidi avec le suspect [du vol de données confidentielles dans l'auto d'un commandant de la police] a eu lieu le 24 décembre 2015... »
Voyez ? M. Borduas donne un sens sinistre à ce texto, un peu comme une diseuse de bonne aventure qui voit une ligne de vie trop courte dans votre main : si Djelidi a interrogé un suspect le 24 et que j'envoie un texto à Djelidi le 26, il y a forcément un lien avec l'article qui parle de ce vol, le 7 janvier suivant...
Même si cet article est sorti dans le Journal de Montréal, et pas dans La Presse... où j'écris depuis 2006.
***
Parlant de scoop, j'en ai un, pour l'enquêteur Borduas : je l'ai, le texto, du 26 décembre.
Et voici ce que je disais à Fayçal Djelidi, le 26 décembre 2015 à 11 h 25 : Hey ! Joyeux Noël en retard ! T'as été malade en même temps que moi, selon mes sources.
Voyez ?
C'est vertigineux, les métadonnées. On ne voit pas le contenu. Alors on peut dessiner ce qu'on veut avec cet amas de chiffres, avec les contenants... Y compris un yéti, qui est une bête bien effrayante, Votre Honneur...
Dans sa trame narrative des Fêtes de 2015 soumise à la juge, le sergent-détective Borduas introduit soudainement le journaliste Fabrice de Pierrebourg.
Pourquoi ?
Sais pas !
Fabrice n'est pourtant l'auteur d'aucun scoop cité par l'enquêteur pour justifier mon espionnage ou celui d'autres personnes. Le sergent-détective signale seulement à la juge que le 27 décembre, « Il y a eu cinq appels téléphoniques » entre mon téléphone et celui de Fabrice, qu'il décrit (faussement) comme un « journaliste à La Presse » (il a quitté le journal en 2014).
Mais c'est vrai, Fabrice et moi avons dû échanger quelques appels, le 27 décembre 2015 : ce soir-là, Fabrice organisait son souper annuel des Fêtes, chez lui, avec des amis. Je ne le nie pas.
J'ai dû l'appeler pour lui demander l'heure des agapes.
Il a dû me rappeler pour me demander quel cadeau acheter pour mon fils.
J'imagine que je l'ai appelé, la dernière fois, pour lui demander le numéro de buzzer de son condo : j'oublie tout le temps...
Ce soir-là, on a mangé du foie gras confectionné par Fabrice lui-même. En voici une photo exclusive, que j'ai envoyée à Vincent Larouche (absent pour cause de souper dans sa belle-famille) pour lui montrer ce qu'il manquait (pardonnez le T*****K, j'ignorais devoir un jour publier ce message).
Comme je vous disais, dans « Journal d'un espionné (1) », il y a quelques semaines : là où l'inspecteur Borduas a dessiné un yéti aux juges, il y avait souvent quelque chose de bien moins effrayant, comme une oie.
Ou son foie.
Qu'on a mangé, chez Fabrice, le 27 décembre 2015, jour où je l'ai appelé cinq fois.
***
Je lis les parties des affidavits me concernant et je comprends un peu mieux la game, remarquez : il faut impressionner les juges, leur faire comprendre l'urgence de signer les mandats.
Et le juge signe, presque toujours.
Dans le cas des juges de paix : ils ont signé 98,6 % des mandats demandés par le SPVM depuis trois ans, alors on voit bien qu'ils ne sont pas difficiles à impressionner. On se dit que c'est pas la peine de leur présenter un yéti, une oie ferait l'affaire...
Reste que c'est quelque chose de solennel, un affidavit soumis à un juge. Un policier ne peut pas mentir, dans un affidavit. C'est flirter avec le parjure, affirmer quelque chose de faux, dans un affidavit.
Parjure, c'est une des accusations qui pèse sur les deux policiers arrêtés par M. Borduas dans le projet Escouade, d'ailleurs...
***
Dans la trame narrative qu'il soumet à la juge pour prouver que quand A parle à B qui parle à C, un article sur le SPVM apparaît dans les médias, Normand Borduas lui signale que j'ai appelé Vincent Larouche le 5 janvier 2016, un appel de 35 secondes.
Il note ceci : « les deux n'avaient pas communiqué à l'aide de ces appareils depuis le 13 décembre 2015 ».
Sauf que c'est faux.
Le lecteur attentif aura noté que j'ai envoyé un texto à Larouche le 27 décembre 2015. J'ai vérifié : nous avons aussi échangé d'autres textos les 19 et 28 décembre.
C'est quand même formidable : le sergent-détective Borduas, qui a demandé la permission inusitée d'obtenir toutes mes communications, n'est même pas foutu de les présenter correctement à la juge !
Omission volontaire ou oubli ?
Je l'ignore : M. Borduas a décliné ma demande d'entrevue, hier. Le SPVM ne veut pas commenter cette information fausse soumise à une juge par son enquêteur.
Dans les deux cas de figure, le résultat est le même : on a présenté une fausseté à une juge, en appui à des faits gonflés à l'hélium, pour les faire entrer dans une théorie du complot sur les fuites médiatiques.
Au final, M. Borduas a échoué dans ce pan de son enquête : Djelidi n'a pas été accusé d'avoir transmis de l'information aux médias. Le mal est ailleurs : le SPVM, dans ces deux enquêtes signées M. Borduas en 2014, 2015 et 2016, a pu espionner toutes mes communications pendant plus d'un an.
Dans une prochaine chronique, j'aborderai d'autres déductions saugrenues de Normand Borduas à l'appui de ses fabulations sous serment touchant les médias, dans ses enquêtes.
Dans l'intérêt de la justice, j'espère que le reste de son enquête du projet Escouade est plus solide que les parties touchant ma personne et mon travail.
Source.: La Presse,