Cipav, le nouveau logiciel espion du FBI

Dans mon livre Tous Fichés, je raconte comment « le FBI a mis au point, très officiellement, un logiciel, baptisé Magic Lantern, qui transmet l’emplacement de toutes les touches qu’un individu est en train d’activer sur le clavier de son ordinateur. L’identification des mots de passe devient alors très facile. Magic Lantern est un virus informatique envoyé discrètement sur l’ordinateur de la personne visée par une enquête. » Un article récent de Cnet News.com (voir http://news.com.com/830-10784_3-9746451-7.html) révèle que le Bureau Fédéral aurait développé un autre outil d’espionnage, Cipav (Computer and Internet Protocol Adress Verifier). Cipav peut être envoyé par courrier électronique ou par messagerie instantanée. Le FBI aurait même passé des accords avec les éditeurs d’anti-virus pour que Cipav ne soit pas bloqué par leurs logiciels de protection. A moins que les Fédéraux n’aient trouvé une faille dans Windows permettant de contourner ces défenses. Une fois installé sur l’ordinateur cible, le logiciel espion communique l’adresse IP (Internet Protocol) et le numéro de série de la carte Ethernet de la machine, ainsi que l’identifiant (log-in) de l’utilisateur, sans oublier la liste de tous les sites visités pendant 60 jours. Normalement, les agents de Washington ne peuvent se servir de Cipav que s’ils y ont été autorisés par un magistrat. Ils viennent de l’être pour démasquer un jeune Américain qui avait publié sur MySpace une fausse alerte à la bombe visant son ancien lycée. L’auteur de cette - très - mauvaise plaisanterie à été condamné à 90 jours de prison pour mineurs.

Pour rendre anonymes les informations qu'il conserve, Google a choisi une technique vieille de dix ans.

Le 14 mars dernier, Google a annoncé qu'il allait procéder à l'« anonymisation » des données qu'il a accumulées sur les internautes depuis sa création. A chaque fois que nous leur confions une requête, les serveurs de Google enregistrent en effet les termes de notre recherche, l'adresse IP de notre ordinateur et éventuellement un cookie. Jusqu'alors, ces informations étaient conservées indéfiniment. Sous la pression des associations de défenses des libertés, le géant de Mountain View a décidé de rendre anonyme le contenu de ses serveurs au bout de 18 à 24 mois. « C'est la première fois qu'une société Internet va supprimer des données pour protéger la vie privée de ses utilisateurs », se glorifie Peter Fleischer, un ancien de Microsoft, entré chez Google il y a un an et demi pour devenir « privacy counsel » (chargé des problèmes de confidentialité des données). A l'en croire, l'« anonymisation » est une tâche, certes longue (chez Google, elle va porter sur des milliards de chiffres), mais assez simple : « Nous allons supprimer le dernier «octet» de l'adresse IP des internautes. Ainsi, vous n'aurez plus qu'une chance sur 256 d'être reconnu. » En effet, une adresse IP est généralement constituée de quatre nombres (les « octets »), séparés par des points ; et chacun de ces octets varie de 0 à 255.

« Cela prouve la bonne volonté de Google, mais, techniquement, cela ne sert pas à grand-chose, tempère Luc Bouganim, directeur de recherche à l'Inria (Institut national de recherche en informatique et en automatique) et spécialiste de la protection des données. A tout moment, on aura au moins 18 mois de données identifiées et plusieurs années de données anonymes : on pourra alors assez facilement étudier des similarités entre les données identifiées et anonymes et réaffecter les trois derniers digits de l'adresse IP. » En fait, Google va appliquer ce que les experts appellent la « K-anonymité », une technique qui remonte déjà à 1998. Elle consiste à dégrader les données de façon à cacher un individu parmi d'autres personnes (dans le cas de Google, K = 256). Problème, il suffit souvent de croiser la base de données «anonymisée » avec d'autres fichiers qui ne le sont pas pour retrouver l'identité exacte de la personne recherchée. Pire : si ces K personnes présentent toutes les mêmes caractéristiques (par exemple, si elles souffrent d'une maladie identique), l'« anonymisation » ne sert à rien puisque l'on obtient tout de même des données personnelles sur chacun des individus « cachés ».

Aussi, depuis 2006, on ajoute souvent à la « K-anonymité » la « L-diversité » : on mélange les données dans chaque groupe de K personnes de façon à ce qu'il y ait au moins L valeurs distinctes de leurs caractéristiques (par exemple, 10 salaires différents s'il s'agit d'un fichier des rémunérations). « C'est ce que l'on fait actuellement de mieux en «anonymisation» », estime Luc Bouganim. Dans le cas de Google, il faudrait s'assurer que les requêtes d'un groupe de 256 personnes recouvrent un très grand nombre de centres d'intérêt (musique classique, médecines douces...) et ne portent pas uniquement sur la pornographie ou l'alcool, par exemple. Une autre technique d'« anonymisation » très aboutie est la fonction de « hachage » : les données textuelles (noms, adresses...) qui permettent d'identifier un individu sont cryptées et remplacées par un chiffre. « C'est comme si je prenais un cochon, que je le passais à la moulinette et que je vous confiais les saucisses, explique Jeff Jonas, chief scientist chez IBM, qui est à l'origine d'une méthode de hachage. Même si je vous donne la moulinette, vous ne pouvez pas refaire le cochon. » Cette technique sert surtout à protéger l'intégrité des bases de données : si un pirate informatique s'empare d'un fichier « haché » au moment de son transfert, soit via Internet, soit sur un support physique, à l'extérieur d'une entreprise ou d'une administration (pour enrichissement ou vérification), il ne peut rien en faire. Un argument qui séduit énormément les Américains, souvent victimes de vols d'identité. Mais le hachage ne protége pas vraiment l'identité des personnes fichées : dans les faits, l'entreprise ou l'administration propriétaire du fichier haché en conserve une version originale et, surtout, un index qui lui permet de savoir qu'à tel chiffre correspond tel individu.

Article de Jacques Henno paru dans Les Echos (rubrique "Innovation") le 18-04-2007 sous le titre "L'anonymat des internautes difficile à garantir"

Votre banque peut transmettre votre fichier aux autorités américaines

Nouvelle révélation dans la transmission de données des banques européennes aux agences de Washington. Aux Pays-bas, le président du Collège pour la protection des données personnelles, l’équivalent batave de la Cnil, a révélé que les banques néerlandaises transmettaient des informations sur leurs clients européens aux services américains de lutte contre le terrorisme. Et cela en violation des lois européennes sur la protection des données.

Les autorités de Washington estiment en effet que le Patriot Act* s’applique également aux filiales des entreprises et organismes financiers étrangers implantées sur le territoire américain. Les établissements européens, menacés de poursuites par Washington, se seraient exécutés sans faire de vague : les responsables de la Rabobank, une banque d’Amsterdam, ont reconnu que leur bureau de New-York avait été forcé d’enfreindre la législation européenne et hollandaise. (voir http://www.lemonde.fr/cgi-bin/ACHATS/acheter.cgi?offre=ARCHIVES&type_item=ART_ARCH_30J&objet_id=980574 )

• le Patriot Act est une loi d’exception votée après les attentats du 11 septembre 2001 et qui permet aux agences fédérales de réquisitionner n’importe quel fichier dont elles estiment avoir besoin dans le cadre de la lutte contre le terrorisme

Google et les données des internautes

Google vient de modifier sa politique en matière de protection des données des internautes. Alors que jusqu'ici les logs de connexion étaient conservées de façon quasi-illimitée ("aussi longtemps que nécessaire", disait Google), elles ne le seront plus que pendant 18 à 24 mois (voir le blog officiel de Google : http://googleblog.blogspot.com/2007/03/taking-steps-to-further-improve-our.html). A mon sens, cela appelle 3 commentaires :

. ce faisant, Google se met en conformité avec les législations locales existantes ou à venir ; les défenseurs des libertés individuelles, qui sétaient alarmés des pratiques de la firme dans ce domaine, ne peuvent donc plus rien lui reprocher ;

. cela va libérer pas mal de place dans les serveurs de Google, puisque ce sont des milliards d'informations, stockées depuis la création de l'entreprise, il y a neuf ans, qui vont être supprimées ; des dizaines d'ingénieurs vont s'atteler à cette tâche ;

. je suis surpris qu'il faille autant d'ingénieurs pour effacer toutes ces données. Cela signifie que l'archivage des données chez Google était très complexe. La firme va sans doute profiter de cette occasion pour revoir son système - d'où l'importance du travail et du nombre d'ingénieurs affectés.

La reconnaissance de l’iris prise en défaut

La reconnaissance de l’iris est une des trois techniques biométriques (avec l’identification du visage et l’analyse des empreintes digitales) que le Home Office (le ministère de l’Intérieure britannique) teste, dans le cadre de la création d’une carte d’identité nationale. Une première évaluation grandeur nature de cette technique a été menée outre-Manche. L’industriel français Sagem a signé en avril 2004 un contrat de cinq ans et d’un montant de 2,86 millions de £ portant sur la fourniture d’un système de contrôle aux frontières utilisant la reconnaissance de l’iris (projet Iris : Iris Recognition Immigration System). Deux « pilotes » de ce système fonctionne depuis juin 2005 aux terminaux 2 et 4 de l’aéroport d’Heathrow. Or, un député britannique, Ben Wallace (Travailliste), vient de révéler que, d’après une évaluation officielle datant de fin 2005, ces 2 pilotes ne remplissent pas leur cahier des charges (voir http://www.theregister.co.uk/2007/01/11/project_iris_evaluation_report/ ). Les résultats de cette expérience avaient été discrètement archivés dans la bibliothèque de la Chambre des Communes en décembre 2006. Selon Ben Wallace, qui a pu consulter ces documents, la reconnaissance de l’iris « a failli à la moitié de ses tests ». Le système aurait de graves problèmes de disponibilité et de fiabilité. (Contacté par mail, Sagem n’a pas souhaité commenter les présentes informations).