Claude vous ouvre des portes

Voilà un titre digne de la Grande Hype autour de l’«intelligence artificielle» dont je suis loin d’être un disciple. Je pense même que de grosses déceptions sont encore à venir vu le manque de modèle économique viable des machines à illusions que sont ChatGPT et les autres. (Dans les ruées vers l’or, ce sont les vendeurs de pelles qui font fortune, et la pelle aujourd’hui est marquée du logo de NVIDIA).

Ces illusions fonctionnent parce qu’elles se basent sur des probabilités suffisantes pour nous livrer du contenu plausible. Qui veut être floué le sera d’autant plus.

Des chiffres, pas des lettres

Mais les probabilités, cela marche encore mieux quand il n’y que des chiffres, et c’est là que Claude(.ai) ouvre des portes, littéralement:

Il y a peu, j’ai été confronté à un cadenas ennuyeux. Un cadenas à quatre chiffres rotatifs avec boîtier, comme ceux qu’utilisent des utilisateurs paresseux d’Airbnb pour cacher les clés de l’appartement. Sans entrer dans les détails, je devais ouvrir ce cadenas dont je ne connaissais pas le code. Mais cela ne pressait pas, j’ai eu le temps de l’observer et de collecter sur plusieurs jours l’état de la combinaison sur laquel il était fermé.

Une fois quelques-unes de ces combinaisons rassemblées, je suis allé rendre visite à Claude et lui tint ce langage:

Imagine un système rotatif à quatre roues. Chaque roue comprend les chiffres de 0 à 9, le système peut donc présenter des combinaisons de chiffres allant de 0000 à 9999.

Voici une série de combinaisons issues de ce système

0886
9976
7209
1985
0985
1018

Sur la base de cette série de chiffres, quelles sont les trois combinaisons de chiffres suivantes les plus probables? Note que ces trois combinaisons ne doivent pas déjà figurer dans la série.

Verdict de Claude:

capture d'écran d'une réponse du chatbot claude.ai

Il s’avère que la deuxième combinaison – la médaille d’argent, donc – a permis d’ouvrir le cadenas. (La réponse en détail)

C’est de l’ABUS!

Quelles conclusions en tirer?

  1. Éviter les cadenas rotatifs, ou alors toujours les fermer sur la même combinaison – «0000» sera immédiatement un message clair.
  2. Si les ordinateurs ne sont pas bons pour créer de l’aléatoire, ils sont tout de même bien meilleurs que nous – et le nôtre, ils savent le défaire.

Sagesse net(te)

Au point où nous en sommes, nous pouvons raviver Nietzsche:

À l’école de guerre d’Internet, ce qui ne me surveille pas me rend plus fort.

Transmettre des données sensibles de son ordinateur à son téléphone (et dans l’autre sens aussi)

Dentifrice Signal en lot de deux
Signal sur son téléphone et son ordinateur, c’est possible. (photo: org-unilever-france-gms per Open Food Facts, CC BY-SA 3.0)

C’est une situation assez courante. Comment le faire sans qu’elles soient interceptées par un tiers malveillant ou simplement un des nombreux intermédiaires techniques?

Exemple:

Vous avez installé sur votre téléphone une application qui requière de créer un compte utilisateur. Vous devez définir un mot de passe, et il n’est pas possible de l’entrer autrement que sur votre téléphone.

Comme vous voulez faire les choses sérieusement, vous voulez que ce mot de passe soit:

  • unique
  • long
  • aléatoire
  • et composé:
    • de lettres
    • de chiffres
    • et de symboles

Il est donc mieux de le générer avec un gestionnaire de mots de passe hors ligne installé sur votre ordinateur (par exemple: KeePassXC).

Mais retranscrire un mot de passe de 32 signes — qui plus est deux fois, car il faudra le confirmer — est pénible. Il serait plus facile:

  • de le copier depuis le gestionnaire de mots de passe (qui est donc sur votre ordinateur)
  • pour le coller dans l’application (sur votre téléphone).

Mais comment transmettre ce mot de passe de manière sûre de l’un à l’autre pour qu’il soit accessible à vous seul-e?

Une bonne méthode est de vous l’envoyer via Signal. Vous utilisez ainsi son chiffrement de bout en bout.

Marche à suivre:

  1. D’abord, il faut bien sûr que Signal soit installé sur votre téléphone, et que vous ayez aussi téléchargé le client Signal pour ordinateur.
  2. Le client Signal sur votre ordinateur une fois ouvert et relié à votre téléphone, trouvez le contact Note à mon intention (en anglais: « Note to Self »).
    Ce n’est pas un vrai contact: c’est vous-même! Ce que vous envoyez à ce « contact » arrive donc sur tous les appareils reliés à votre identifiant Signal, donc aussi l’application Signal sur votre téléphone.
  3. Faites un test pour le croire.
  4. Une fois que vous le croyez, copiez votre mot de passe pour l’application depuis votre gestionnaire de mots de passe, puis collez-le dans le client Signal à l’intention de… Note à mon intention.
    VÉRIFIEZ QUE VOUS LE FAITES BIEN LÀ et que vous n’êtes pas en train d’envoyer votre mot de passe tout frais à quelqu’un!
  5. Réceptionnez le mot de passe sur votre téléphone dans Signal > Note à mon intention, copiez-le et collez-le dans l’application qui vous le demande.
  6. Dans Signal, vous pouvez ensuite « supprimer pour tout le monde » le message comprenant le mot de passe, « tout le monde » étant ici votre téléphone et votre ordinateur. Cela n’est pas absolument nécessaire, mais cela vous évitera un malentendu éventuel.

Autre avantage de tout cela: vous pouvez créer un mot de passe sûr puis l’oublier, puisque vous l’avez conservé dans votre gestionnaire de mot de passe.

Société numérique, Congrès d’hiver et Flot de clics

Société numérique (Digitale Gesellschaft) est une association suisse pour la défense des droits individuels sur internet. Elle est encore peu connue en Suisse romande, mais suffisamment prise au sérieux pour participer à des procédures de consultation au Parlement sur des questions telles que la neutralité du net et la réforme du droit d’auteur. Elle s’engage aussi contre la surveillance de masse, qu’elle soit étatique ou privée, avec les outils de la démocratie semi directe, ou le cas échéant devant les tribunaux, jusqu’à la Cour européenne des droits de l’homme. J’ai eu l’occasion de réaliser pour elle des traductions en français.

Société numérique organise également des événements publics. Le plus important est assurément son Congrès d’hiver (Winterkongress). En 2019, il s’est tenu le 23 février à Zurich. Voici un résumé de sa keynote, tenue par l’activiste allemande Katharina Nocun:

Ceux qui disent n’avoir rien à cacher connaissent-ils l’ampleur de leurs traces numériques? Afin de générer de telles traces, Katharina Nocun a utilisé pendant quinze mois un compte du géant du e-commerce Amazon. En y cherchant et en y achetant de tout, sans excès. Puis elle a demandé ses données liées à ce compte, comme le permet le Privacy Shield dont Amazon est signataire.

Après une certaine insistance, elle a reçu l’énorme fichier clickstream.xls, qui montre bien plus que ses achats: pour chaque connexion à Amazon, il indique un enregistrement de l’heure, du lieu, de l’adresse IP, des détails de sa session et de son navigateur, des adresses visitées (y compris d’où elle venait), du temps de chargement de la page, etc. En tout, cinquante variables. Soit, selon les termes (traduits) de Katharina Nocun:

Comme si quelqu’un nous poursuivait dans un supermarché et tenait un protocole pointilleux de quel chemin nous empruntons, de ce que nous regardons, et de quelles marchandises nous reposons sur le rayon.

(Keynote, slide 7)
Katharina Nocun avec la masse de papier que représenterait son fichier clickstream.xls s’il fallait l’imprimer. (Keynote, slide 10)

D’après son clickstream.xls, sur les quinze mois de son test Amazon, Madame Nocun a généré plus de 15 000 enregistrements organisés selon cette cinquantaine de variables.

Ces données ne sont que celles qu’Amazon a bien voulu lui fournir. Mais elles suffisent à se demander quelle interprétation, et donc quel profil de personnalité, peut être tirée de ce « flot de clics »? Il ne s’agit pas seulement de ce qu’Amazon sait sur ses clientes, mais aussi de ce qu’il peut en déduire, à tort ou à raison. Considérons quelques achats de Katharina Nocun:

  • un jeu vidéo violent
  • un t-shirt célébrant les chimistes
  • une cocotte-minute
  • une cagoule noire

Madame Nocun est-elle une personne dangereuse? Ou est-ce que chacun de ses achats est explicable dans son contexte, qui échappe aux variables pourtant nombreuses du fichier clickstream.xls?

Quelles garanties existent que l’interprétation que peut faire Amazon — ou tout autre entreprise similaire qui tienne le couteau des données par le manche — ne soit pas partagée avec d’autres services ou organes, maintenant ou à l’avenir? Le cas échéant, quelles décisions seraient prises sur la base de cette interprétation à l’égard de l’ « interprétée », et quelles seraient leur légitimité et leur transparence? Pour rappel, les essais de crédit social chinois ont pour origine des systèmes de e-commerce.

Katharina Nocun a refait l’exercice avec plusieurs autres offres web et décrit avec humour les longues « correspondances amicales » qu’elle a dû entretenir avec nombre de services clients. Elle invite chacun-e à faire soi-même le test et demander ses données partout où on achète et consomme en ligne. Fun fact: Facebook tient un registre des « données effacées » pour chacun de ses comptes.

Parmi les autres thèmes du Congrès d’hiver: la portée, les détails et les abus de la surveillance étatique en Suisse; l’absurdité de vouloir bloquer les contenus à caractère pédopornographique en ligne plutôt que de les détruire (INHOPE); et la défiance légitime face au principe même du vote électronique. En attendant la prochain édition, voici toutes les vidéos du Winterkongress 2019.

Mise à jour (12 avril 2020): le podcast bien nommé The Privacy, Security, & OSINT Show a fait le même exercice pour Amazon et en décrit le résultat avec plus de détails techniques.