Des données biométriques au « passe sanitaire »

Si Facebook est le réseau social le plus plébiscité avec 2, 74 milliards de comptes, actuellement TikTok se taille la part du lion. Avec 315 millions d’installations au premier trimestre 2020, soit le plus grand nombre de téléchargements en trois mois depuis le 1er janvier 2014. Elle est devenue la première application à franchir ce nombre après Facebook et ses satellites (WhatsApp, Instagram et Messenger). Un petit détail semble être passé inaperçu, TikTok vient d’autoriser la collecte de données biométriques des utilisateurs américains.

Tout commence le vendredi 4 juin 2021. La date où l’application permet la moisson de masse des renseignements biométriques, notamment les « empreintes faciales et vocales ». Auparavant, la politique de confidentialité modifiée le mercredi où l’introduction d’une section stipule que l’application de vidéo sociale « peut collecter des identifiants biométriques et des informations biométriques » à partir du contenu de ses usagers. « Contacté pour un commentaire, TikTok n’a pas pu confirmer quels développements de produit ont nécessité l’ajout des données biométriques à sa liste de divulgations sur les informations qu’il recueille automatiquement auprès des utilisateurs, mais a déclaré qu’il demanderait le consentement dans le cas où de telles pratiques de collecte de données commenceraient », révèle Sarah Perez sur techcrunch.

La chose inquiétante est que les « informations sur les images et le son » sont collectées de manière machinale. La première partie de cette nouvelle section explique que TikTok peut ramasser des informations « comme l’identification des objets et des paysages qui apparaissent, l’existence et l’emplacement dans une image des caractéristiques et attributs du visage et du corps, la nature du bruit et le texte des mots prononcés dans votre contenu utilisateur. »

Le deep learning

Effrayant au demeurant, cette clause n’est appliquée, à l’heure actuelle, qu’outre-Atlantique. L’Union européenne, posséderait des lois plus strictes en matière de protection des données et de la vie privée, qu’aux États-Unis. Sous l’administration Trump, le gouvernement fédéral avait tenté d’interdire totalement l’exploitation de TikTok (propriété de ByteDance Ltd) et WeChat (propriété de Tencent Holdings Ltd) sur leur sol, qualifiant les logiciels de menace pour la sécurité nationale en raison de leur propriétés par des sociétés chinoises. Le décret de la Maison-Blanche annule plusieurs du gouvernement précédent. « Les responsables disent qu’ils restent préoccupés par les risques de sécurité posés par les applications chinoises et certaines autres étrangères, mais que les décrets signés par l’ancien président Donald Trump étaient en fait inapplicables », écrit le Wall Street Journal. La nouvelle réglementation de M. Biden vise à adopter une approche plus sobre, affirmant que le gouvernement américain devrait « évaluer ces menaces par le biais d’une analyse rigoureuse, fondée sur des preuves », afin de faire face à « tout risque inacceptable ou excessif compatible avec les objectifs généraux de sécurité nationale, de politique étrangère et d’économie », explique Lucas Ropek sur gizmodo.

800 millions d’utilisateurs actifs par mois à l’échelle mondiale

Bien qu’effrayant, divers réseaux sociaux effectuent déjà de la reconnaissance d’objets sur les images téléchargées pour alimenter les fonctionnalités d’accessibilité (description d’une photo dans Instagram), mais également à des fins publicitaires. La politique indique aussi que cette portion de ramassage de données sert à activer « les effets vidéo spéciaux, la modération du contenu, la classification démographique, les recommandations de contenu et de publicité et d’autres opérations ne permettant pas d’identifier les personnes ».

Rappelez-vous que lorsque quelque chose vous est proposé gratuitement, vous êtes le produit. La localisation de l’emplacement d’un individu et du paysage peut contribuer aux effets de réalité augmentée, tandis que la conversion des mots prononcés en texte est utile pour des fonctionnalités telles que les légendes automatiques de TikTok. Les intelligences artificielles apprennent de leurs interactions pour être plus performantes, le deep learning.

Le « passe sanitaire »

Alors que le gouvernement français est à même de lancer le fameux « passe sanitaire », la Quadrature du Net (LQDN) s’y intéresse de près. « Nous allons déposer un référé contre ce passe sanitaire devant le Conseil d’État car il divulgue de façon injustifiée des données sur l’état civil et des données de santé », écrivent-ils le 9 juin 2021. Il faut dire qu’après les restrictions de libertés subies par les habitants de l’hexagone, le gouvernement fait du passe sanitaire l’objet de toutes les convoitises. « L’accès aux grandes manifestations sera limité aux personnes présentant certaines garanties contre la pandémie, telles que le fait d’être vaccinées, d’avoir réalisé un test PCR ou de s’être récemment rétablies de la maladie. Ce n’est pas cette limitation que nous avons choisi d’attaquer. » Le passe sanitaire permet de vérifier le statut vaccinal, le résultat d’un test négatif ou le certificat de rétablissement d’une personne, lui permettant par exemple la participation à un rassemblement ou un événement de plus de 1 000 personnes, assure le gouvernement.

La Quadrature ne s’attaque pas au passe en tant que tel, mais à : « l’accès aux grands événements sera en pratique limité aux personnes disposant d’une carte d’identité ou d’un passeport ». Or, à la question « Est-on contraint d’avoir sur soi une pièce d’identité ? » La limpidité des services de l’État surprend : « Non, aucun texte ne vous oblige à demander une carte d’identité. Néanmoins, si vous êtes soumis à un contrôle d’identité, la procédure sera plus longue si vous ne pouvez pas présenter de pièce d’identité. » Là où le bât blesse c’est le décret de 2015, subrogé par le n° 2021-279 du 13 mars 2021.

La reconnaissance faciale en marche

Ledit décret prévoit que la photo de chaque visage soit impérativement numérisée et centralisée dans le mégafichier des titres électroniques sécurisé (TES). Il pourrait être une base idéale du système de reconnaissance faciale étendue dont rêvent différents partis politiques se partageant actuellement le pouvoir. « De plus, la crise sanitaire ne doit pas être un prétexte pour rétablir l’obligation généralisée de détenir une carte d’identité, tel que l’avait imposée le gouvernement de Vichy afin de traquer et de tuer les séparatistes juifs et résistants », martèle la Quadrature du Net. Le fichier TES voté en 2016, sous l’égide de M. François Hollande, par l’action du ministre de l’Intérieur Bernard Cazeneuve, est acté par le Conseil d’État le 24 octobre 2018.

Un article d’Anaïs Cherif dans La Tribune, le 25 octobre 2018, évoquait déjà les inquiétudes. « Il y a un risque sérieux de piratage dès lors qu’il y a centralisation d’une montagne de données : c’est la base de la sécurité informatique, soulignait Arthur Messaud, juriste pour LQDN. Quand il y a des fuites de données, la gravité du piratage dépend de la nature des données. Or, le fichier TES condense des données biométriques… » Tandis que la réalité dépasse la fiction au Royaume-Uni et aux États-Unis, avec les attaques de codes malveillants qui infectent les forces de l’Ordre et font fuiter les civilités des policiers sur l’Internet, nous sommes en droit de nous poser la question de la protection des nôtres.

Quid des données ?

D’après Canalys, un cabinet d’analyses de marché spécialisé dans les technologies, 30 milliards de données ont été volées en 2020, soit plus que le total cumulé des quinze dernières années. Dès 2014, la Wildlife Justice Commission, une ONG qui lutte contre le trafic d’espèces menacées, a constaté que la messagerie WeChat avait permis l’émergence au Vietnam d’une plaque tournante illégale de commerce d’espèces sauvages s’adressant essentiellement à des clients chinois. La criminalité continuera probablement de se développer tant que les États ne réorganiseront pas en profondeur leurs services de police. Ces derniers ont de plus en plus besoin de spécialistes dotés de compétences en sécurité des systèmes d’information. « À l’échelle mondiale, on estime à 3,5 millions le nombre de postes d’ingénieurs en cybersécurité qui sont vacants. Le problème, c’est que vu la pénurie, les salaires sont parmi les plus élevés du secteur », relate Misha Glenny dans le Financial Times du 28 avril 2021.

La population mondiale n’a pas conscience de cette réalité budgétaire, ainsi que de l’évolution de la nature de la criminalité. La Capture de plus de 800 personnes au sein du crime organisé fait grand bruit sur tous les médias : « Un réseau de crime organisé a été démantelé avec l’arrestation de plus de 800 personnes », a déclaré, le 8 juin 2021, Europol. Toutefois, les infections par codes malveillants continuent, procurant des dommages collatéraux conséquents, par effet domino.

Le plus dur c’est pas la chute, c’est l’atterrissage.

Film La Haine, Mathieu Kassovitz

L’un dans l’autre, sommes-nous à l’aube d’un contrôle total (avec les bons et mauvais points) à la sauce de la République Populaire de Chine ? « Le système de code en deux dimensions (parfois appelé “cachet électronique visible” ou “2D-Doc”) intégré au passe sanitaire est celui destiné à intégrer les futures cartes d’identité biométriques. Ce système simple et pratique de code en 2D facilitera le traçage constant et à grande échelle de toute personne présentant sa carte d’identité. Si, à l’heure actuelle, le passe sanitaire permet déjà et très facilement la constitution de fichiers illicites de données personnelles, la situation pourrait très vite s’aggraver s’agissant des futures cartes d’identité. […] En résulte un triptyque idéal du traçage constant, automatisé et centralisé de l’ensemble de la population : géolocalisation du téléphone, reconnaissance faciale et contrôle d’identité automatisé sanitaire », justifie la Quadrature. D’autant qu’au temps des réseaux sociaux, les stories montrant le « graal » qu’est le « passe sanitaire » est un manque discernement face au danger. Les renseignements affichés sont des données personnelles de santé. Ainsi en le publiant, vous pourriez tomber dans un processus hameçonnage ciblé, suite à l’accès de vos données médicales. De plus, un réseau de faux certificats existe dans les hôpitaux et sur l’internet. Soyez vigilant, car « le plus dur c’est pas la chute, c’est l’atterrissage ! »