Accéder au contenu principal

Deepfake, décryptage d’une arnaque

Par Thomas Mannierre, Directeur EMEA Sud de BeyondTrust L’IA a fait entrer les braquages dans une nouvelle dimension. Plus besoin d’une cagoule noire désormais. En améliorant les attaques d'ingénierie sociale modernes, l’IA a donné naissance à un autre type de menaces : les deepfakes. Bienvenue dans ce qui pourrait être un épisode de Black Mirror ! Le faux CFO de Hong Kong En début d’année, une entreprise à Hong Kong s’est vue escroquée de 25,6 millions de dollars par un hacker utilisant l’IA et la technologie deepfake pour usurper l’identité d’un directeur financier. Si l'on en croit les rapports d’enquête, l'attaque a simulé un environnement de vidéoconférence complet et utilisé une fausse identité d'un important directeur financier de Hong Kong et d'autres participants à la réunion. La victime ciblée du département financier s'est d'abord méfiée d'un e-mail de phishing prétendant provenir du directeur financier. Cependant, la victime a rejoint une con

Le retour du contrôle par QR code pour les JO de Paris 2024 n’est pas anodin

 

QR code

Par Yoann Nabat, Université de Bordeaux et Elia Verdon, Université de Bordeaux

Vidéosurveillance algorithmique, scanners corporels, et désormais QR codes : les technologies de surveillance ont le vent en poupe pour sécuriser les Jeux olympiques et paralympiques de Paris 2024. Largement utilisé lors de la crise sanitaire, le QR code se présente comme une petite image composée de carrés noirs sur fond blanc qui peut être scannée pour accéder à certaines informations. L’annonce de son retour a été faite par le ministère de l’Intérieur début avril, lors du dévoilement du plan de sécurité prévu pour la cérémonie d’ouverture des JO en juillet 2024.

La présentation d’un QR code sera nécessaire pour entrer dans certaines zones pendant toute la durée des Jeux de Paris 2024 : autour des lieux de cérémonie, d’épreuves ou de vie des athlètes et personnels. Le but est de filtrer les entrées dans ces zones particulièrement sensibles au risque d’attentats. Si l’objectif de ce dispositif de sécurité peut sembler louable, il conduit à restreindre la liberté d’aller et venir de tous les individus (travailleur, touriste, riverain, etc.). Le ministre de l’Intérieur a évoqué, à la marge, la possibilité d’exempter certaines catégories (peut-être les porteurs de billets pour les Jeux ou certaines professions médicales), mais le principe demeurera la restriction d’accès conditionnée à la présentation de ce QR code.

Même si le texte juridique concernant cet événement n’a pas encore été publié, il est extrêmement probable qu’il s’inscrive dans le cadre de la Loi du 30 octobre 2017 renforçant la sécurité intérieure et la lutte contre le terrorisme. En effet, celle-ci a introduit, à la suite des zones de sécurité mises en œuvre pendant l’état d’urgence sécuritaire post-attentats de 2015, la possibilité pour le préfet d’instaurer des « périmètres de protection » des grands événements. Ces derniers peuvent être mis en place, selon l’article L226-1 du Code de la sécurité intérieure :

« afin d’assurer la sécurité d’un lieu ou d’un événement exposé à un risque d’actes de terrorisme à raison de sa nature et de l’ampleur de sa fréquentation ».

Toutefois, les modalités de contrôle ne sont pas prévues précisément par le texte du Code de la sécurité intérieure. Ainsi, la possibilité de mettre en œuvre des QR codes n’est pas visée explicitement. D’ailleurs, si de tels périmètres sont régulièrement mis en œuvre, par exemple à l’occasion de visites ministérielles ou présidentielles, la vérification de l’identité des personnes admises se fait habituellement de façon plus classique (présentation des papiers d’identité).

Une forme de contrôle sans précédent pour une manifestation sportive

Il s’agirait donc ici d’une première – que rien n’interdit dans les textes juridiques mentionnés. Malgré tout, l’arrêté de la Préfecture de police de Paris qui instaurerait un tel dispositif devrait en démontrer la stricte nécessité et proportionnalité, car il s’agit d’une atteinte importante à la liberté de circulation et, par la force des choses, à la vie privée des citoyens. En effet, comme beaucoup de décisions prises par les pouvoirs publics, celle-ci pourrait faire l’objet d’un recours devant les juridictions administratives. La CNIL pourrait également être amenée à se prononcer.

Compte tenu de l’ampleur de l’événement que représentent les Jeux olympiques et paralympiques de Paris 2024, il est sans doute probable qu’un tel dispositif soit validé par le juge administratif. Néanmoins, ce recours interroge nécessairement, au-delà des seules restrictions à la liberté qu’il apporte, sur le principe même d’utiliser des outils numériques de contrôle.

D’abord, parce que ces outils demandent, pour fonctionner correctement, la mise en œuvre de bases de données. Le QR code n’est, en réalité, rien de plus qu’un code barre qui permet, en le scannant, de renvoyer à une référence dans une base de données pour en contrôler la véracité. Un QR code peut donc être considéré comme l’arbre qui cache la forêt. Et cette forêt est celle des données à caractère personnel et de la multiplication des fichiers.

Il faudra en effet recenser beaucoup d’informations pour mettre en œuvre ce dispositif à l’occasion des seuls Jeux de Paris 2024, ne serait-ce que relativement à l’identité de chacun des citoyens qui sera contraint à y avoir recours (et ils devraient être nombreux !). Une plate-forme pour s’inscrire devrait être en ligne le 10 mai. Elle générera les QR codes. Ceux-ci jouissent d’une certaine facilité d’utilisation, sous réserve de posséder un smartphone (en son absence, il faudra imprimer le QR code et veiller à ne pas le perdre). Cette aisance d’usage peut faire oublier l’enjeu majeur de la collecte de données – dont on n’est jamais certain du devenir. Ce risque est d’autant plus grand que nous ne connaissons pas encore précisément le régime juridique des traitements de données mis en œuvre dans ce cadre, la durée de conservation des informations ou les données précises qui seront collectées.

L’accoutumance des pouvoirs publics au contrôle

Sur un plan davantage philosophique et politique, la résurgence régulière de ses dispositifs de surveillance à chaque évènement (crise sanitaire, attentat terroriste, fait divers, etc.) conduit à s’interroger sur ce que Stéphanie Hennette-Vauchez, professeure de droit public, appelle « l’état d’urgence permanent ». Justifiés par un motif sécuritaire toujours plus demandeur, ces dispositifs risquent d’amenuiser peu à peu la garantie des droits fondamentaux comme, ici, la liberté d’aller et venir et le respect de la vie privée.

Cette multiplication des dispositifs de contrôle et de surveillance mène également à la banalisation des dispositifs de surveillance dans la ville et, plus généralement, dans la société. Souvent mis en œuvre à l’occasion d’un événement particulier ou d’une expérimentation, ils sont en réalité la plupart du temps prolongés et intégrés dans le droit commun, sans jamais être retirés. Par exemple, un certain nombre de dispositions instituées dans le cadre de l’état d’urgence sécuritaire mis en œuvre après les attentats de 2015 (comme des assignations à résidence administratives) ont été finalement inscrits dans le droit commun en 2017. D’ailleurs, la ministre des Sports a d’ores et déjà annoncé que la vidéosurveillance algorithmique « expérimentée » durant les Jeux serait probablement invitée à s’inscrire dans le temps long.

Ainsi, il serait illusoire de croire que le choix des QR codes est anodin. Il s’inscrit, au contraire, dans la dynamique du techno-solutionnisme qui fait du recours aux outils technologiques un principe et une solution à tout problème humain, sans penser les conséquences de cet usage systématique. Il participe également à l’accoutumance des citoyens à ces outils dans un contexte où chacun est déjà soumis aux pressions directes et indirectes des grandes entreprises du numérique.

Dans le cas présent, rien n’interdirait, par exemple, que le contrôle des accès soit réalisé sur pièces par les agents, par exemple par une simple vérification de l’identité ou d’un justificatif de domicile pour les riverains, sans besoin de créer une base de données ad hoc dont l’existence même constitue un risque, ne serait-ce qu’en termes de sécurité informatique. Pourtant, cette solution n’a pas été retenue. Peut-être la CNIL l’exigera ? Ce n’est pas le cas à ce jour.

Le retour du QR code dans nos vies ne doit pas être pris comme un événement anodin. Il faut le mesurer à l’aune des atteintes aux droits et libertés fondamentaux qu’il représente. Cette technologie contribue à l’avènement d’une société de surveillance à laquelle s’accoutument peu à peu les individus.The Conversation

Yoann Nabat, Enseignant-chercheur en droit privé et sciences criminelles, Université de Bordeaux et Elia Verdon, Doctorante en droit public et en informatique, CERCCLE (EA 7436) et LaBRI (UMR 5800), Université de Bordeaux

Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.

Labels:

Posts les plus consultés de ce blog

Le bipeur des années 80 plus efficace que le smartphone ?

Par André Spicer, professeur en comportement organisationnel à la Cass Business School (City University of London) : Vous vous souvenez des bipeurs ? Ces appareils étaient utilisés largement avant l'arrivée massive des téléphones portables et des SMS. Si vous aviez un bipeur, vous pouviez recevoir des messages simples, mais vous ne pouviez pas répondre. Un des rares endroits où on peut encore en trouver aujourd’hui sont les hôpitaux. Le Service National de Santé au Royaume-Uni (National Health Service) en utilise plus de 130 000. Cela représente environ 10 % du nombre total de bipeurs présents dans le monde. Une récente enquête menée au sein des hôpitaux américains a révélé que malgré la disponibilité de nombreuses solutions de rechange, les bipeurs demeurent le moyen de communication le plus couramment utilisée par les médecins américains. La fin du bipeur dans les hôpitaux britanniques ? Néanmoins, les jours du bipeur dans les hôpitaux britanniques pourraient être compté
Lire la suite »

Comment les machines succombent à la chaleur, des voitures aux ordinateurs

  La chaleur extrême peut affecter le fonctionnement des machines, et le fait que de nombreuses machines dégagent de la chaleur n’arrange pas les choses. Afif Ramdhasuma/Unsplash , CC BY-SA Par  Srinivas Garimella , Georgia Institute of Technology et Matthew T. Hughes , Massachusetts Institute of Technology (MIT) Les humains ne sont pas les seuls à devoir rester au frais, en cette fin d’été marquée par les records de chaleur . De nombreuses machines, allant des téléphones portables aux voitures et avions, en passant par les serveurs et ordinateurs des data center , perdent ainsi en efficacité et se dégradent plus rapidement en cas de chaleur extrême . Les machines génèrent de plus leur propre chaleur, ce qui augmente encore la température ambiante autour d’elles. Nous sommes chercheurs en ingénierie et nous étudions comment les dispositifs mécaniques, électriques et électroniques sont affectés par la chaleur, et s’il est possible de r
Lire la suite »

De quoi l’inclusion numérique est-elle le nom ?

Les professionnels de l'inclusion numérique ont pour leitmotiv la transmission de savoirs, de savoir-faire et de compétences en lien avec la culture numérique. Pexels , CC BY-NC Par  Matthieu Demory , Aix-Marseille Université (AMU) Dans le cadre du Conseil National de la Refondation , le gouvernement français a proposé au printemps 2023 une feuille de route pour l’inclusion numérique intitulée « France Numérique Ensemble » . Ce programme, structuré autour de 15 engagements se veut opérationnel jusqu’en 2027. Il conduit les acteurs de terrain de l’inclusion numérique, notamment les Hubs territoriaux pour un numérique inclusif (les structures intermédiaires ayant pour objectif la mise en relation de l’État avec les structures locales), à se rapprocher des préfectures, des conseils départementaux et régionaux, afin de mettre en place des feuilles de route territoriales. Ces documents permettront d’organiser une gouvernance locale et dé
Lire la suite »

La fin du VHS

La bonne vieille cassette VHS vient de fêter ses 30 ans le mois dernier. Certes, il y avait bien eu des enregistreurs audiovisuels avant septembre 1976, mais c’est en lançant le massif HR-3300 que JVC remporta la bataille des formats face au Betamax de Sony, pourtant de meilleure qualité. Ironie du sort, les deux géants de l’électronique se retrouvent encore aujourd’hui face à face pour déterminer le format qui doit succéder au DVD (lire encadré). Chassée par les DVD ou cantonnée au mieux à une petite étagère dans les vidéoclubs depuis déjà quatre ans, la cassette a vu sa mort programmée par les studios hollywoodiens qui ont décidé d’arrêter de commercialiser leurs films sur ce support fin 2006. Restait un atout à la cassette VHS: l’enregistrement des programmes télé chez soi. Las, l’apparition des lecteurs-enregistreurs de DVD et, surtout, ceux dotés d’un disque dur, ont sonné le glas de la cassette VHS, encombrante et offrant une piètre qualité à l’heure de la TNT et des écrans pl
Lire la suite »

Des conseils d'administration inquiets et mal préparés face à la menace cyber

Alors que les Assises de la Sécurité ouvrent leurs portes ce mercredi 11 octobre, pour trois jours de réflexion sur l’état de la cybersécurité en France, la société de cybersécurité Proofpoint f ait le point sur le niveau de préparation des organisations face à l’avancée de la menace.  Cette année encore, les résultats montrent que la menace cyber reste omniprésente en France et de plus en plus sophistiquée. Si les organisations en ont bien conscience,  augmentant leur budget et leurs compétences en interne pour y faire face, la grande majorité d’entre elles ne se sont pour autant, pas suffisamment préparées pour l’affronter réellement, estime Proofpoint. En France, 80 % des membres de conseils d’administration interrogés estiment que leur organisation court un risque de cyberattaque d’envergure, contre 78 % en 2022 – 36 % d’entre eux jugent même ce risque très probable. Et si 92 % d’entre eux pensent que leur budget lié à la cybersécurité augmentera au cours des 12 prochains mois, ces
Lire la suite »

L’Europe veut s’armer contre la cybercriminalité avec le Cyber Resilience Act

  Par  Patricia Mouy , Commissariat à l’énergie atomique et aux énergies alternatives (CEA) et Sébastien Bardin , Commissariat à l’énergie atomique et aux énergies alternatives (CEA) Assez des cyberattaques  ? La loi sur la cyberrésilience, ou Cyber Resilience Act a été adoptée par les députés européens le 12 mars dernier et arrive en application dans les mois à venir, avec l’ambition de changer la donne en termes de sécurité des systèmes numériques en Europe. Alors que les systèmes numériques sont littéralement au cœur des sociétés modernes, leurs potentielles faiblesses face aux attaques informatiques deviennent des sources de risques majeurs – vol de données privées, espionnage entre états ou encore guerre économique. Citons par exemple le cas de Mirai , attaque à grande échelle en 2016, utilisant le détournement de dispositifs grand public comme des caméras connectées pour surcharger des domaines Internet d’entreprise, attaque de type DDoS (déni de service distribué)
Lire la suite »