34c3 – agir pour réagir

5 janvier 2018

Hall central du centre des congrès de Leipzig lors du 34c3

La 34e édition du Chaos Communication Congress (34c3) s’est tenue à Leipzig du 27 au 30 décembre 2017. Le nombre de conférences et d’ateliers fut conséquent, et la variété des sujets abordés confirme la volonté des organisateurs de faire de leur congrès plus qu’une « simple » manifestation de hackers. Avec plus de 15 000 entrées payantes, cette volonté d’ouverture semble fonctionner.

Pas de grande révélation cette année, plutôt une multitude de petites idées et de confirmations. Bien que le slogan du 34c3 fut TUWAT (traduisible par « AGIS! »), de manière générale, on en est resté au niveau du diagnostic. Les solutions aux problèmes identifiés ne sont pas aisées, sans doute.

Deux thèmes ont eut droit à plusieurs conférence: l’exploitation des données personnelles par des entreprises ou des structures étatiques et ses conséquences, et les avancées de l’intelligence artificielle.

Une traduction en données de pratiquement tous les aspects de la vie est en cours. Les données personnelles deviennent des marchandises vendues par des data brokers comme Axciom et Oracle. Elles sont utilisées pour de la prédiction, mais aussi pour de la prise de décision.

Le manque de transparence semble être une constante chez les acteurs qui disposent de moyens importants de collecte et d’analyse de données, que ce soit la police au Royaume-Uni, les entreprises chinoises travaillant pour le compte de leur gouvernement, ou les grandes plateformes de médias sociaux pour ce qui est de leurs critères de censure. S’ajoutent à cela:

le risque de perte ou d’accès illégitime de tiers aux données personnelles collectées par ces instances (voir Equifax, Aadhaar, et bien d’autres encore).
le risque de biais ou d’erreur dans l’interprétation de ces données, qui peut avoir des conséquences concrètes graves pour les personnes concernées (refus d’un crédit, d’un job, d’un appartement).

It’s not about your data, it’s about their derived data. – Tijmen Schep

Il existe une asymétrie de pouvoir entre d’un côté ceux qui ont la capacité de récolter des données en masse et d’agir à partir de ces données, de l’autre les personnes dont les données sont exploitées, qui subissent une perte de contrôle.

Sans connaître en détails ces pratiques, de plus en plus de gens s’en doutent bien. Ils/elles communiquent moins et se censurent par peur de conséquences négatives (social cooling). Par ailleurs, une étude représentative montre qu’une grande majorité des citoyens européens souhaite que les outils de communication soient respectueux par défaut de la sphère privée.

Un zoetrope en 3D exposé au 34c3

Les risques évoqués ci-dessus se retrouvent dans le traitement de telles données via l’intelligence artificielle. Les biais y sont omniprésents et mènent à de la « discrimination 2.0. ». Exemple: une recherche sur Google Images pour « three white teenagers » montrera trois jeunes souriants, alors que « three black teenagers » proposera trois portraits de jeunes suspectés de crime. Que ce soit voulu ou non, cela crée un effet de prophétie auto-réalisatrice.

Ces biais sont dus aux données qui influencent le modèle et/ou au modèle qui se répercute sur les données.

Exemple de biais de données: une étude chinoise affirme pouvoir reconnaître des criminels d’après les traits du visage. Or, les photos utilisées pour identifier « les gentils » sont tirées de dossiers de candidature, où les portraits sont sous leurs meilleurs jours, quand ils ne sont pas franchement retraités avec Photoshop.

Les biais de modèles se basent sur des suppositions simplifiées, qui ne sont souvent ni nommées ni vérifiées. Quand trop peu de contexte est disponible, respectivement trop peu de scénarios ont été testés, l’intelligence artificielle se base sur des suppositions: un médecin sera plutôt un homme qu’une femme, etc. Elle cherchera des corrélations, mais ne sera pas en mesure de déterminer causes et effets.

Ces types de biais existaient déjà dans la statistique. Tout cela n’est pas foncièrement nouveau, mais se trouve massivement renforcé par les capacités actuelles de calcul et les masses de données à disposition (Exemple: Google Mail a un milliard d’utilisateurs). La nouveauté est aussi que beaucoup d’argent est fait avec ces biais!

Artificial intelligence is powerful, but not mystical. – Katharine Jarmul

Connaître ces biais permet aussi de tromper une intelligence artificielle, par exemple en « empoisonnant » les données de test pour faire augmenter le taux d’erreur. Les applications pratiques: s’évader de la surveillance, tromper les systèmes de publicité, créer de fausses données personnelles, …

Que les données personnelles soient exploitées par de l’intelligence artificielle ou non, plusieurs intervenants mettent beaucoup (trop?) d’espoir dans les mécanismes légaux de défense induits par le règlement général sur la protection des données (RGPD), dont le respect sera bientôt obligatoire pour tout service agissant dans l’Union européenne. Apparemment, l’ordonnance y relative va dans la bonne direction.

Une marque de fabrique du Chaos Communication Congress est la dénonciation, preuves techniques à l’appui, de la sécurité défaillante voire inexistante d’infrastructures de services. Cette année, ce sont entre autre les bornes de chargement pour véhicules électriques et les applications mobiles des banques allemandes qui s’en sont pris pour leur grade.

Instructions pour un chapeau en aluminium, inspirées par un grand fournisseur de meubles suédois

Instruction pour un chapeau en aluminium, inspirée par un grand fournisseur de meubles suédois

Quelques courtes infos (avec les vidéos des conférences dont elles sont tirées en lien):

En 2014, environ 50 millions de personne ont dû fuir à cause d’événements météorologiques sévères. À terme, le changement climatique causera aussi des pertes économiques importantes (par exemple: des dérangements dans les chaînes de production mondialisées).
Globalemement et en moyenne, 10% du produit national brut disparaît dans les paradis fiscaux. Il y a des différences notables entre pays.
Telegram est de loin l’application de communication la plus populaire en Iran: 25 millions d’utilisateurs par jour. Le service ne semble pas à la hauteur de ses déclarations sur la défense de la liberté d’expression et la non coopération avec les autorités iraniennes.
Il n’y a pas un, mais plusieurs systèmes de crédits sociaux en Chine. Ils sont développés par les grandes entreprises – Baidu, Tencent, Alibaba – et le(s) gouvernement(s). Le principe est apparemment le même partout: les (inter)actions des utilisateurs de services en ligne – et celles de leurs amis! – font augmenter ou baisser leurs « points sociaux ». Cela affecte leur réputation et influence par exemple leur possibilité d’obtenir tel ou tel service. Néanmoins, les mécanismes précis ne sont pas connus. Un de ces systèmes sera obligatoire dès 2020; comment il fonctionnera n’est pas clair non plus. Le gouvernement central veut que la Chine devienne le champion mondial de ce type de systèmes et les exporte.

The Chinese government do not count and think in years – they think in decades, at least. – Katika Kühnreich

Obtenir le nom d’utilisateur et le mot de passe pour un compte e-mail coûte entre 8 et 15 USD sur le marché noir.
Les mises à jour de sécurité d’Android n’atteignent que 50% des appareils. De manière générale, ce n’est pas parce qu’un patch existe qu’il est installé: certains administrateurs de système craignent que le patch empêchent leurs machines de fonctionner.
Un tiers des logiciels malicieux sont des rançongiciels.
L’immense majorité des applications pour smartphones les plus populaires en Allemagne envoient des données sur leurs utilisateurs à des tierces parties. La même chose pour les sites web les plus visités, spécialement ceux de médias (Spiegel, Welt, Taz, Bild).
Bien que Tor reste le système d’anonymisation du trafic internet le plus répandu, il y en a d’autres. Chacun a son focus, mais aucun ne peut résister à un observateur global extérieur du type NSA, du moins en théorie.
RSA-1024 sera probablement cassé vers 2035 (confirmation des estimations précédentes).
Les problèmes d’échelle (scaling) qu’a connu Bitcoin en 2017 attendent Ethereum en 2018.
lulr.me est un service pour raccourcir des liens similaire à bit.ly mais géré par QCHQ (service de renseignement britanniques), apparemment pour propager des contenus relatifs au Moyen Orient et à l’Afrique (et analyser qui clique sur ces liens).

Personnes, outils et organisations à suivre:

Mahsa Alimardani pour la situation en Iran.
Briar: une messagerie sécurisée de pair à pair, donc sans serveur. Requière une rencontre physique entre interlocuteurs pour le pairing de leurs appareils, ou un tiers de confiance. Pour l’instant uniquement pour Android.
Le Cyber Independent Testing Lab (CITL) veut informer le grand public sur les risques associés aux logiciels, par exemple avec un code de couleur similaire à l’efficience énergétique des appareils.
NeoPG: développement d’une alternative à OpenPGP/GnuPG 2 plus légère et plus efficace.
Onlinecensorship.org: analyse de la censure sur les médias sociaux.
Salamandra: détecter et localiser un microphone espion.
Sebastian Schmieg pour la relation humains-logiciels.

Échapper à sa bulle

29 avril 2017

bulles

À tort ou à raison, c’est avec les commentaires sur l’accession de Donald Trump à la présidence des États-Unis que la notion de bulle de filtrage est parvenue dans le grand public. Nous sommes toutes et tous « otages » de notre passé sur le Web, à un degré ou à un autre. Les services en ligne que nous utilisons pour chercher et/ou recevoir de l’information l’adaptent selon la manière dont nous avons utilisé ces mêmes services par le passé. Pour un moteur de recherche, ce sera entre autre l’historique de recherche. Pour un réseau social, ce sera entre autre nos connections aux autres utilisateurs. Cela vaut pour tout service web pour lequel une inscription à un compte est requise. Mais notre bulle de filtrage personnelle se construit au-delà de nos comptes web: cookies, pixel espion, empreinte audio…

La plupart du temps, les services web affirment collecter les données d’utilisation pour « améliorer l’expérience de l’utilisateur », à savoir lui livrer des informations qui sont personnalisées pour lui seul. Pour ces services, le but ultime est que les utilisateurs restent ou reviennent le plus souvent possible chez eux. Cela peut avoir des avantages aussi pour les utilisateurs. Par exemple, refind est un bon service pour découvrir des contenus par rapport à ceux qu’on a déjà sauvegardés. Mais les dangers pour la formation d’une opinion, par exemple, sont évidents. Si, sur la base de mon historique d’utilisation, mon moteur de recherche ne me livre que des informations avec lesquelles je suis d’accord, puis-je me considérer vraiment informé?

Qui plus est, la manière dont fonctionnent les analyses et algorithmes qui délivrent ainsi les données aux utilisateurs est la « formule du Coca-Cola du 21e siècle ». Pour qui n’est pas dans le secret des dieux technologiques, il n’y a pas moyen de comprendre exactement comment la livraison de certaines informations plutôt que d’autres se réalise. L’utilisateur est tributaire de ce que les services veulent bien lui dévoiler à ce propos.

Comment échapper à la bulle de filtrage lorsqu’on recherche de l’information?

Pour réaliser une recherche vraiment décontextualisée de son propre « passé web », utiliser Tor Browser. Ce navigateur est plus connu comme la porte d’accès privilégiée au fameux darknet, mais peut tout-à-fait naviguer sur le Web visible (légalement). Le Tor Browser ne garde pas d’historique de navigation et limite au maximum les traces qui peuvent identifier l’utilisateur. Certains services web comme Google requièrent néanmoins un contrôle de sécurité minime (CAPTCHA ou autre) lorsqu’ils repèrent une visite provenant de Tor.

Si télécharger et installer Tor s’avère trop lourd pour une recherche rapide, il existe des moteurs de recherche généralistes qui limitent la transmission de données identifiantes (ou du moins prétendent le faire). Ma préférence va à Startpage, qui fournit en fait des résultats de Google, mais anonymisés.

Éviter les intermédiaires et tâcher d’aller au plus près des sources pertinentes est un principe de base d’une bonne recherche qui aide aussi dans la lutte contre la bulle de filtrage:

Éviter les réseaux sociaux, à moins que la recherche ne concerne une personne.
N’utiliser les moteurs de recherche que pour du dégrossissage.
Une fois une bonne source trouvée, s’abonner à son fil RSS.

Pour limiter au jour le jour la bulle de filtrage, des contre-mesures passives sont possibles:

Pour toute la connection internet, utiliser un VPN (aussi utile pour la sécurité en général). En voici une liste. Ma préférence va à AirVPN. Sérieusement se méfier des VPN gratuits.
Interdire ou limiter les cookies (exemple dans Firefox).
Utiliser des extensions comme le bloqueur de pub et de tracking uBlock Origin (voici une liste pour Firefox et Chromium).

À l’exemple de refind cité plus haut, la bulle de filtrage peut être exploitée à son avantage:

Dans les navigateurs web courants comme Firefox, il est possible de créer des profils d’utilisateur distincts. On peut alors les utiliser pour des situations différentes. Par exemple, un profil pour un projet de recherche particulier, un autre pour une enquête, un troisième pour ses études. Il est utile de garder et de laisser des traces qui resteront dans leur profil respectif. Mais il faut rester conscient que certaines de ces traces dépassent le navigateur web: adresse IP (si pas de VPN/pas de Tor), adresse MAC… Et, plus prosaïquement, les simples données personnelles qui peuvent être recoupées d’un profil à un autre, par exemple si on utilise une même adresse e-mail pour se connecter à des services dans différents profils. Selon la nature et la sensibilité de ce que l’on recherche, une réflexion sur une compartimentation du travail de recherche doit précéder toute utilisation technique.

Ces conseils ne sont pas exhaustifs, mais sont une bonne base pour reprendre le contrôle sur l’utilisation de l’information.

Crédit photo: Tom Wachtel via Visualhunt.com / CC BY-NC-ND

Stratégie / Tactique

25 mai 2015

La stratégie signifie faire les bonnes choses, la tactique faire les choses de la bonne manière. Le tacticien sait ce qu’il faut faire quand il y a quelque chose à faire, alors que le stratège sait quoi faire quand il n’y a rien à faire.

Tiré et traduit librement de Buchner M., Friedrich F., Kunkel D., Zielkampagnen für NGO: Strategische Kommunikation und Kampagnenmanagement im Dritten Sektor (ISBN 978-3825890698), p. 177.

Protéger ses données mobiles

10 septembre 2014

Il y a quelques semaines, j’ai envoyé une clé USB par la poste. Elle n’est jamais arrivée. Son enveloppe a été livrée avec une fine coupure sur un côté, impliquant que quelqu’un l’a ouverte. Cela n’a pu arriver qu’entre le bureau de poste, où j’ai amené moi-même l’enveloppe, et le destinataire. Une requête auprès de la poste n’a rien donné – si ce n’est une idée du caractère confus de la procédure (renvois à divers interlocuteurs, contradictions, « qu’est-ce qu’il y avait dessus? »).

La clé USB ne contenait rien de critique (trois vidéos) et était neuve (il n’y avait donc aucune donnée détruite à exploiter). Pas trop grave, donc. Mais ce cas de figure pose la question de la sécurité des données mobiles : qui ne souhaite pas envoyer des données par internet – pour quelque raison que ce soit – doit avoir moyen de mitiger les conséquences d’une disparition de ces données (vol, perte) ou de leur interception par un tiers (copie, modification, compromission).

Conseils:

utiliser un disque optique (DVD, CD-R) plutôt qu’un support flash (clé USB, carte SD). C’est moins cher en cas de perte et cela n’a pas de microcode (théoriquement exploitable).
chiffrer les données. Il est possible de chiffrer des volumes entiers, mais ce n’est ni forcément évident ni rapide.

L’exemple ci-dessous montre comment chiffrer un fichier individuel en vitesse. Prérequis: GNU Privacy Guard (GPG), installé chez l’expéditeur et le destinataire. GPG est disponible gratuitement pour toutes les plates-formes courantes. GPG est le standard pour le chiffrement des e-mails et tout le monde devrait l’avoir installé.

ouvrir un terminal (sous Windows : une console).
taper gpg -c --cipher-algo AES256 chemin/vers/le/fichier/à/chiffrer (Explication: -c pour chiffrer, --cipher-algo AES256 pour un meilleur chiffrement que CAST5 (le défaut). Pour remplacer CAST5 de manière permanente, ajouter cipher-algo AES256 (ou un autre) au fichier de configuration de GPG – sous Linux Debian: ~/.gnupg/gpg.conf).
un mot de passe sera demandé. Bien le choisir. Il devra être transmis par un autre canal au destinataire.
confirmer le mot de passe.

Un fichier contenant le nom du fichier à chiffrer et l’extension .gpg apparaît alors au même emplacement. C’est ce fichier qui sera transmis au destinataire. Pour « en faire sortir » le fichier original en clair, ce dernier devra

ouvrir un terminal / une console.
taper gpg chemin/vers/le/fichier/à/déchiffrer
entrer le mot de passe.

Important: ne pas détruire l’original! Ou au moins en faire une sauvegarde. J’ai fait une mauvaise expérience du cas contraire : j’ai voulu transférer une large archive d’e-mails d’un ordinateur à un autre. Une fois l’archive copiée sur une clé USB, j’ai effacé le fichier source. Au moment du déchiffrement : fichier corrompu… Seul une vieille sauvegarde sur un disque externe m’a tiré d’affaire – mais j’ai eu droit à une heure de sueurs froides. Je ne sais pas d’où venait cette corruption (peut-être de CAST5?), je conseillerais donc de n’appliquer cette méthode de chiffrement qu’à des fichiers de petites tailles.

Ce conseil vaut pour tout transport physique de données (par exemple : celles sur la clé USB de votre porte-clé).