Reflexions sur la surveillance visuelle de masse par les GAFAM

La surveillance de masse est un sujet majeur de reflexion, car il s'inscrit dans deux domaines en apparence bien différent : la politique et l'informatique. Ici, je vais essayer d'exposer une reflexion récente sur un système de surveillance qui pourrait être mis en place par des agents déjà infiltrés intimement dans nos vies, afin d'essayer de prendre la mesure du danger auquel nous sommes exposés.

Dans un monde ou la donnée est un élément de monnaie et d'acquisition de pouvoir important, il ne fait aucun doute que les GAFAM sont des agents extrêmement puissants. Je ne soutiens pas la thèse selon laquelle ils seraient plus puissants que les gouvernements, car je pense que notre monde est loin d'être suffisamment digitalisé. Nous ne pouvons ignorer que le monde digital repose sur des infrastructures lourdes, elles-mêmes disposées dans des pays régient par des lois. Si le gouvernement américain venait à ordonner la fermeture de Google, et que les autres pays du monde (au moins occidental) s'accordaient sur cette décision, il ne ferait aucun doute que Google ne saurait avoir gain de cause. Pourtant, ils disposent d'une arme extrêmement puissante et de moyens colossaux grâce aux données acquises : à la fois chez les particuliers, mais aussi chez les entreprises.
Bien sur, ici je tape sur les doigts de google en ne citant que leur nom, mais cette reflexion s'étend au-delà : Apple, Facebook ou même Amazon disposent de services de renseignement très performants. Ici, ma réflexion s'étend à tous ces organismes mais il est plus aisé de citer l'exemple de Google qui possède des accès privilégiés sur la majorité des smartphones du marché. C'est pour cela que j'utiliserai leur nom.


Prenons donc l'exemple de Google, et envisageons qu'ils soient en mesure de récupérer toutes les données circulant dans les smartphones Android (non modifié). Cette idée peut sembler farfelue, mais plusieurs raisons nous poussent à la considérer. D'une part, un principe de sécurité élémentaire : ne pas faire confiance. Lorsque vous développez un logiciel ou un service, vous ne devez pas faire confiance aux utilisateurs. Vous ne devez pas partir du principe qu'ils utiliseront votre service comme il a été conçu pour être utilisé, vous ne devez pas partir du principe qu'ils auront les bons réflexes quand quelque chose disfonctionne et vous ne devez pas partir du principe que cacher quelque chose vous dispense de le sécuriser. La même chose se produit lorsque vous utilisez un service sur lequel vous ne savez rien du code source : vous ne devez pas considérer qu'il est sécurisé, qu'il utilise vos données comme il le dit et que tout est fait comme cela devrait être fait. Considérez toujours le pire scénario, et agissez en conséquence. Si cela est nécessaire, relachez un peu certaines hypothèses et continuez sur cette voie. C'est de cette façon que vous vous protégerez au mieux.
D'autre part, nous savons que Google récolte des données qu'à l'évidence il ne veut pas que nous puissions récupérer. J'en ai moi-même fait l'expérience : alors qu'une VPN installé sur un téléphone permet de rediriger tout son traffic réseau, et donc potentiellement de l'analyser, les smartphones android exfiltrent systématiquement des données vers l'Irlande, sans passer par le VPN. C'est à dire qu'il existe un service dans votre téléphone qui outrepasse les autorisations des services normaux : c'est donc vraisemblablement un service installé avant même que vous achetiez votre téléphone, et ce service envoie des données sur des serveurs en Irlande : là où Google possède son siège social. Considérer ainsi que Google peut récupérer vos données et les envoyer sur ses serveurs sans votre consentement est donc une hypothèse tout à fait légitime que nous admetterons comme acquise dans la suite de cette reflexion.
Pour rappel, le but de cette article est de proposer une reflexion sur ce sujet. Je ne prétends pas que ce que je vais proposer comme système de surveillance de masse est déjà mis en place par Google et qu'il représente un agent dangereux et malveillant. Je prétends simplement que c'est un système qu'il est surement à sa portée de mettre en place, et je précise pourquoi. Si mon raisonnement ne comporte pas de failles cela ne veut pas dire que nous sommes espionnés, cela signifie simplement que si Google veut nous espionner de cette façon il le peut. Les conclusions vous sont ensuite laissées, je ne sous-entend rien.


Nous avançons à pas de loup, mais les bases de notre reflexion sont posées. Nous pouvons à présent considérer que Google dispose d'un accès complet à tout smartphone android et qu'il est en mesure d'exfiltrer les données récoltées à l'insu de l'utilisateur. Essayons de déterminer ce qu'il est possible de faire pour une surveillance de masse avec de la reconnaissance faciale.
Une première base est de considérer que chaque smartphone possède un unique propriétaire. Bien sur, il existe des cas où cela est faux, mais en considérant le grand nombre de smartphones sur le marché, et en analysant ce qui se passe dans la majorité des cas... Nous pouvons considérer que cela représente une approximation qui n'est pas si mauvaise. Ainsi, admettons cette idée.
Nous savons que la reconnaissance faciale est basée sur des systèmes d'intelligence artificielle utilisant un grand nombre de données. Ainsi, si vous voulez faire apprendre à une intelligence artificielle à différencier des milliards de personnes, il est préférable d'avoir accès à de grandes quantités d'images de ces personnes. Et alors... Que dire d'un accès au téléphone d'une personne ? Deux avantages considérables : le premier est l'accès à la caméra frontale du téléphone, 24h/24. En sachant que nous passons tous en moyenne plusieurs heures derrières nos écrans, cela représente un moyen extrêmement commode de récupérer des images. Et comme certains utilisateurs "scannent" leur visage pour avoir le déverouillage facial de leur téléphone, nous obtenons des données de qualité ! Et ensuite, puisque nous avons un accès complet au téléphone... autant utiliser la galerie qui regorge peut-être de selphies ? En utilisant les métadonnées et les dimensions de l'image, il est rapide de différencier celles qui sont prises avec la caméra avant pour espérer récupérer des images de qualité.
Ainsi, il en découle que récupérer des données d'images sur les utilisateurs devient possible sans grande difficulté. Et puisque tout smartphone est lié à un ou plusieurs compte(s) google, le fichage devient efficace.
Et puisque nous avons suggéré qu'un smartphone puisse être utilisé par deux personnes, envisageons l'idée plus répandue qu'une personne puisse posséder deux smartphones. N'est-ce pas un problème ? En réalité pas tellement... En utilisant des scans bluetooth réguliers, il est facile de savoir quels appareils sont régulièrement l'un à côté de l'autre. En observant que deux smartphones passent quasiment l'intégralité de leur temps ensemble, il est facile d'établir un lien fort entre les deux : soit les smartphones appartienent à la même personne, soit ils appartiennent à deux membres d'une même famille. Mais dans ce cas, la probabilité de tomber sur deux "sosies" est très faible. En portant une attention un peu plus approfondie par de la comparaison "pair à pair" des images pour les appareils souvent ensemble, il devient envisageable de savoir si deux smartphones sont en train de réaliser la fiche visuelle d'une même personne.


Ainsi, les bases sont posées. Les hypothèses établies nous permettent de considérer que Google dispose d'un accès complet aux smartphones de ses utilisateurs, qu'il peut ainsi récupérer et traiter les images qu'il en tire pour ficher les personnes en liant les données récupérées aux comptes Google. Et puisque tout compte Google dispose déjà d'un nombre très important de données, la magie peut commencer à opérer...
D'abord, il s'agit de récupérer les données des contacts enregistrés dans Google. Cela constitue une première étape pour tisser un tissus géant de liens entre les personnes. Cela est même bien plus efficace que les réseaux sociaux : alors que les réseaux sociaux ne nous lient qu'à nos "amis" plus ou moins proches, nos contacts enregistrent toute relation : de l'artisan qui a travaillé chez vous aux membres les plus intimes de votre famille, en passant par vos voisins, collègues, supérieurs hiérarchiques ou anciens enseignants.
Ensuite, viennent les données de localisation. Si chaque jour de la semaine, entre 8h et 17h vous êtes au même endroit qu'une personne qui habite à 40km de chez vous, il y a toutes les chances pour que vous soyez collègues. Là encore, même si vous n'avez pas les coordonnées de cette personne, même si vous ne connaissez pas son nom ou quoique ce soit de sa vie... Google est capable de créer un lien.
Et nous pourrions continuer longtemps comme ça : en récupérant les rendez-vous dans votre agenda, le contenu de vos mails, les scans bluetooth ou même les liens effectués sur des plateformes tierces utilisant la connexion google pour les comptes !
Mais alors, peut-être avez-vous le sentiment que nous nous éloignons du sujet de départ : la surveillance visuelle, et non le fichage exhaustif. Pourtant, nous ne faisons que préparer le terrain. Si une caméra observe deux personnes se tenant la main dans la rue, est-elle sure des personnes identifiées ? Ne fait-elle pas erreur dans la reconnaissance ? Rien n'est sur. Maintenant, si les deux personnes identifiées ont été fichées comme étant membres du même foyer, ne réduisons nous pas les risques d'erreur ? Assurément ! Le fichage est donc un moyen extrêmement efficace de rendre plus sures des données établies à partir d'acquisitions de mauvaises qualité.


Pour autant, nous tomberions dans des excès qui ne sembleraient plus si vraisemblables si nous venions à envisager que Google nous observe via les caméras de surveillance dans les rues. Bien sur, certaines sont accessibles sur internet, d'autres sont très vulnérables, et il est possible que des organismes puissants possède des ingénieurs capables de venir à bout de certains mécanisme de sécurité. Mais nous sortons de l'optique d'une surveillance "de masse", et surtout d'un cadre "indépendant". Ce qui rend un service de surveillance de masse efficace pour Google est le fait qu'il puisse agir seul, en toute indépendance. Et jusque là c'est l'idée que nous avons suivi : de l'acquisition des données à leur traitement, Google n'a pas eu besoin de faire appel à de tierces personnes. Suivons donc cette ligne de réflexion...
Nous observons qu'en réalité, les caméras de rue représentent un moyen commode mais extrêmement limité de récupérer des données d'images. Puisque Google à accès aux caméras de tout smartphone android, récupérer des images de rues est bien plus aisé ainsi. Et alors, quelle efficacité ! Sur les images capturées par les smartphones apparaitront des visages, mais aussi des plaques d'immatriculation, les bruits environnants... Tout cela lié aux coordonnées géographiques des téléphones, il est évident qu'une cartographie précise du monde à tout instant du jour pourrait être effectuée !


J'ajoute à celà un petit mot concernant la puissance de calcul que cela représenterait et la bande passante utilisée... Bien sur, dans une optique de surveillance d'une telle ampleur, chercher à acheminer tous les flux audio et vidéo vers les serveurs de google pour y effectuer les traitements de données représenterait un coût démesuré en bande passante et puissance de calcul. L'idée plus judicieuse serait de laisser chaque smartphone faire l'analyse des données de son côté : en laissant ouvert le micro et en analysant les voix, il suffirait de sélectionner les moments intéressants. Et pour les calculs plus lourds qui pourrait ralentir le téléphone alors que l'utilisateur s'en sert, le smartphone pourrait simplement garder les images dans sa mémoire pour les traiter pendant la nuit, alors qu'il est branché et inutilisé. Il n'enverrai alors vers le serveur que quelques données très légères comme les plaques d'immatriculation, le parcours géographique suivi dans la journée et les visages ou voix identifiés.
Là encore, pas besoin d'envoyer des images des visages ou des extraits des voix : Les serveurs de Google récupérant de grandes quantités de données pourraient perpétuellement entrainer leurs modèles de reconnaissance faciale et vocale pour que les smartphones fassent une "mise à jour" de leur propre système de reconnaissance en récupérant les poids des différents paramètres de "l'algorithme mère" tournant sur les serveurs.


En conclusion, nous avons pu observer qu'il semblait envisageable pour un géant comme Google de mettre en place un système de surveillance de masse afin de récolter des données sur leurs utilisateurs, mais également sur leurs liens avec les autres personnes, leurs habitudes et leur vie dans le monde physique. Ce qui semble permettre celà est l'accès total que nous conferrons aux GAFAM à nos smartphones, véritables mouchards embarqués. Et puisque les GAFAM ont ce pouvoir, pourquoi ne pas envisager que des pirates discrets ou des gouvernements peu scrupuleux soient en mesure d'exercer ce même controle ?
Je ne cherche nullement à démontrer ici que nous sommes victimes d'un complot à l'échelle internationale visant à tous nous surveiller. Je cherche juste à montrer que la mise en place de ce genre de systèmes ne dépend en réalité que de la bonne volonté des acteurs auxquels nous livrons le plus intime de nos vies : les vendeurs de smartphones et firmware. En conséquence de cela, il peut être judicieux de se prémunir d'un certains nombres de menaces en observant quels sont réellement les ééments permettant un tel pistage.
En premier lieu, l'accès à la caméra est particulièrement critique. C'est pourquoi éviter qu'elle ne puisse être utilisée à votre insu peut-être utile. De même, le micro et le GPS sont des éléments décisifs : le premier peut aussi être désactivé physiquement, mais pour le second cela semble plus compliqué. Bien sur, toute désactivation logicielle dans un telle contexte est inutile.
Enfin, un des soutiens d'un tel dispositif est le fichage effectué en amont. Ainsi, en évitant de partager toutes vos données avec Google (en n'utilisant pas vos mails sur votre smartphone, en limitant l'enregistrement des contacts, en n'enregistrant pas toutes les données inutiles), vous limitez ce qui permet de créer un dispositif de fichage efficace.
Je finirai en ajoutant que le plus efficace est peut-être de n'utiliser qu'un dumbphone au lieu de votre smartphone ? Ou puisque le monde dans lequel nous vivons rend cette idée compliquée, utiliser un appareil avec un système modifié peut-être une bonne alternative ? Cela sera surement le sujet d'un prochain article...