Covid-19

Mobility pricing & Contact tracing

Solange Ghernaouti 4 commentaires

Tarification et surveillance personnalisées

En décembre 2019, le Département fédéral de l’environnement, des transports, de l’énergie et de la communication publie un rapport à l’intention du Conseil fédéral concernant la faisabilité de la tarification de la mobilité[1]. Quelles que soient, les justifications du concept d’une tarification personnalisée des déplacements des personnes via leurs véhicules et par des transports publics ferroviaires et routiers, ce concept repose sur les technologies numériques de la surveillance.

 

Le projet de taxation au kilomètre des déplacements porte en lui le germe de la fin de la liberté de se mouvoir sans être sous surveillance informatique

Dans la mesure où il est possible d’enregistrer et de transmettre les données relatives aux déplacements des usagers (localisation, distance, heure, durée, moyen de transports, …) ou encore des données relatives aux entités croisées, se pose la question de la protection des données personnelles et du respect des droits fondamentaux. De même qu’avec l’application de traçage des contacts promue dans le cadre d’un état d’urgence sanitaire, aucune de ces deux applications ne permettent de garantir que les données collectées ne seront pas piratées ou détournées de leurs finalités initiales.

 

L’impossible anonymat et l’érosion des libertés

La tarification personnalisée des infrastructures partagées, nécessite que l’usager soit identifié, cela ne peut pas être complètement anonyme. De plus, les techniques d’anonymat ou de pseudo – anonymat permettent généralement d’identifier des personnes, même indirectement. Chaque déplacement des usagers des transports ferroviaire et routier est enregistré, analysé et taxé (selon des critères issus de politiques tarifaires particulières). Ainsi, chaque trajet est surveillé à des fins de contrôle et d’optimisation. Ce qui est en fait déjà le cas lorsque l’on achète un billet de train en ligne (billet nominatif), que l’on se fait contrôler durant le voyage (scannage du titre de transport, de la carte d’abonnement).

Toutes les activités numériques laissent des traces et permettent l’identification d’un système, voire d’une personne. Elles peuvent être exploitées à des fins bienveillantes ou malveillantes. En plus des données fournies consciemment par l’usager, sont systématiquement collectées des métadonnées (équipement, heure, localisation, …), à partir desquelles d’autres données sont générées par des algorithmes (profilage, …) ouvrant la porte à toutes sortes d’usages ou de dérives (publicités commerciales ou politiques ciblées,…).

 

Vie cachée des données personnelles exploitées par des tiers

Toutes les données possèdent une vie cachée hors du contrôle et de la connaissance de le leur propriétaire. Le problème est encore plus grave lorsqu’il s’agit de données de santé. De manière générale, via le numérique, l’anonymat complet (réel, effectif) est souvent impossible. C’est pour cela qu’il faut des garde-fous extrêmement stricts, voir renoncer à l’usage de certains services pour préserver les libertés publiques.

Le système est par nature liberticide et les garanties pour qu’il ne le soit pas ne sont pas probantes. Comme il ne peut exister de garantie que les données ne soient pas transmises, dupliquées, sauvegardées sans être jamais détruites ou encore piratées (cyberattaques sur le système, divulgation des données, chantages, verrouillage des ressources, etc.).

Dans l’état, rien ne garantit, que les données ne seront utilisées pas à d’autres fins, qu’elles ne seront pas croisées avec d’autres sources de capteurs (caméra de surveillance, systèmes de reconnaissance de plaques d’immatriculation, parking, portiques autoroutiers, systèmes de reconnaissance faciale, applications de traçage des contacts, capteurs de données physiologique (montres connectées, applications de santé, de bien –être, …), système d’assurance, etc.). Toutes sortes de traitements, de croisements de données et d’inférences qui permettent de constituer des profils d’utilisateurs, de reconstituer a posteriori des comportements et de prédire et d’influencer des actions sont possibles.

Pour autant, la massification des données et des traitements effective depuis plusieurs années déjà, n’a pas permis aux autorités d’anticiper la pandémie SARS-CoV-2 ni de constituer des stocks suffisants de masques pour ne citer qu’un seul exemple de ce qui fait défaut pour affronter la situation sanitaire liés au Covid-19.

En revanche, les multinationales du numérique continuent à imposer leurs visions de l’informatisation de la société, basée sur l’exploitation sans limite des données. Leur avance dans la captation des données (Big data, Cloud Computing, Intelligence artificielle) et leur pénétration du marché, font qu’ils sont incontournables dans la mise en place de solutions de « gestion des données» que cela soit dans un contexte de villes intelligences, d’optimisation des déplacements ou de surveillance en cas de pandémie. Leurs produits commerciaux sont en passe de devenir des invariants indispensables à la gestion publique. Les Google, Apple, Facebook, Amazon, Microsoft, ou encore Palantir (géant américain de l’analyse des données, en lien avec des agences de renseignement américains et dont une partie du financement initial est issu de la CIA[2]) par exemples, ne cessent de développer des partenariats avec diverses entreprises locales et autorités de par le monde. Les opérateurs téléphoniques sont également très présents sur le marché du contrôle sécuritaire du fait de leur maitrise des données de géolocalisation.

Les technologies, services et données de géolocalisation et de navigation constituent des enjeux économique et géopolitique majeurs, y compris dans leur indissociable dimension de la maitrise de l’espace et des satellites, à des fins civiles et militaires.

 

Le smartphone le nouvel instrument de la perte du désir de vouloir protéger ses données personnelles et son intimité (privacy) ?

Ce n’est pas tant le smartphone qui est en cause mais la manière dont il est devenu le vecteur indispensable d’une économie numérique basée sur l’exploitation des données qui doit être questionnée. L’eldorado numérique s’est transformé à l’insu des personnes, en économie de la surveillance de masse et de la surveillance personnalisée. Le marketing du consentement pour se laisser déposséder de ses données et se faire surveiller informatiquement est très efficace.

 

Un détournement de vigilance préjudiciable

Que ces applications soient mises en œuvre à des fins de rationalité et d’optimisation économique ou pour contribuer à la maitrise d’une situation sanitaire, les moments de trouble et de déstabilisation économique et pandémique, détournent l’attention et la vigilance des populations concernant la défense de leurs libertés. Ils peuvent être exploités par des acteurs qui souhaitent autoriser ou déployer des solutions qui empiètent fortement sur les libertés (fichage de la population, droits sélectifs attribués en fonction des comportements, profils, nouvelles pratiques policières et commerciales, …).

 

Prendre soin de la liberté, c’est  prendre soin de la démocratie (et de la santé des personnes)

Il appartient aux citoyens d’être vigilants, exigeants, d’exprimer leurs besoins, y compris envers les entités commerciales et publiques afin que celles-ci ne bafouent pas leurs droits fondamentaux et respectent notamment le droit à la vie privée et à l’intimité (privacy). Il faut espérer qu’un solutionnisme technologique préjudiciable aux droits fondamentaux  soit refusé par le public, mais rien n’est moins sûre.

J’ose espérer que la bataille pour la protection des données personnelles et pour le droit à ce que la vie privée puisse rester privée, n’est pas perdue. De nos capacités à résister, sensibiliser, éduquer,  et à défendre la vie privée, de notre volonté à lutter contre la transparence totale des êtres, dépend le sort de nos libertés et celles des générations futures.

Le droit de vivre sans être sous surveillance informatique, le droit à la déconnexion, le droit de ne pas dépendre d’algorithmes d’intelligence artificielle, sont de nouveaux droits humains qui pourraient être reconnus si nous le revendiquons de manière effective.

Ce n’est pas parce que l’on a rien à dire qu’il ne faut pas défendre la liberté d’expression !

 

[1] https://www.uvek.admin.ch/uvek/fr/home/transports/mobility-pricing.html

[2] https://en.wikipedia.org/wiki/Palantir_Technologies

 

Transcender la banalité du mal

Solange Ghernaouti

Transcender la banalité du mal

***

J‘ai écrit cet article après les attentats terroristes du 13 novembre 2015 à Paris, il fut publié dans le magazine Indices de l’Agefi de Décembre 2015. Aujourd’hui, dans cette situation de crise liée au Covid-19, il est toujours d’actualité, le voici sans aucune modification.

***

 

Avez-vous entendu parlé de Conflicker ? Ce ver informatique toujours actif depuis 2008 qui exploite une vulnérabilité critique de plusieurs versions de Windows. Il permet de prendre le contrôle à distance des machines infectées et de les piloter via un centre de commande et de contrôle. Le tout constitue un botnet, réseau de machines zombies pouvant se compter par millions réparties sur la planète. Les systèmes compromis, souvent à l’insu de leur propriétaire légitime, infiltrés par des agents dormants peuvent être activés à la demande pour réaliser des attaques en dénis de service, l’envoi de spam, le vol de données, de temps de calcul ou encore pour distribuer des contenus illicites.

Au cœur des principales infractions portant atteintes aux systèmes informatiques, les botnets sont à louer ou à vendre sur Internet. Paramétrables en fonction du niveau, du type de nuisances, d’impacts souhaités et des cibles visées, ils ont contribué à créer le concept de Crime As A Service (CAAS) et sont des vecteurs privilégiés de la cybercriminalité, d’actions relevant de l’hacktivime ou du terrorisme.

Le démantèlement des réseaux de botnets constitue un défi majeur pour les forces de l’ordre au même titre d’ailleurs que celui de réseaux d’hacktivistes ou de terroristes. En effet, leurs ampleur et dimension internationale nécessitent des investigations à ce niveau, ce qui pose des problèmes de ressources, d’entraide judiciaire internationale et de coopération entre les acteurs techniques et judiciaires. De plus, les compétences acquises dans le démantèlement d’un réseau deviennent vites obsolètes du fait de l’évolution des techniques et savoir faire des malveillants et du contexte dynamique dans lequel ils opèrent.

Par ailleurs, leur prévention est quasi impossible puisqu’ils bénéficient de la complicité passive ou active des internautes et des infrastructures technologiques licites. Ceci est également le cas des activités liées à l’hacktivisme et au terrorisme, constituées de cellules dormantes au sein de la population, pouvant se réveiller n’importe quand pour frapper n’importe où, de manière isolée ou synchronisée. Soutenues par une structure organisationnelle et financière, qui agit dans l’ombre tirant partie d’activités illicites, d’une économie souterraine efficace et s’appuyant sur une multitude d’acteurs parfois très spécialisés. Si l’ombre et l’anonymat sont nécessaires à la gestion de leurs activités pour leurs garantir une certaine protection et impunité, en revanche le monde des hacktivistes comme celui des terroristes, utilise à merveille les outils de communication, de e-marketing et de e-commerce de l’Internet pour être performant tant en matière d’information, d’endoctrinement, de manipulation ou de recrutement, que de planification et réalisation d’actions. Internet, caisse de résonance de leurs causes, permet une publicité gratuite comme en rêve n’importe quelle entreprise, est aussi un catalyseur du passage à l’acte.

Il y a eu un après 11 septembre, désormais il existe un après 13 novembre. La menace terroriste y compris dans le cyberespace est là pour durer, nous devons apprendre à vivre avec, comme nous le faisons avec les virus biologiques, que cela soit à Paris ou dans le cyberespace, nous devons vivre avec des agents pathogènes, des vecteurs de transmission inhérent à notre monde globalisé, un système immunitaire déficient et une antibiothérapie peu efficace au regard de la mutation des virus et du fait qu’ils deviennent de plus en plus forts et résistants.

Le « même pas peur !» n’est pas de mise car la peur peut être aussi un facteur de sécurité. Nous avons de bonnes raisons d’avoir peur, pour notre sûreté et notre liberté. Peur que notre sécurité relève de la chance, peur de devoir redéfinir la notion de liberté, peur de penser que le couple sécurité et liberté soit stérile et ne possède rien en commun. Peur de devoir troquer notre liberté pour une sécurité que l’on pourrait qualifier de peau de chagrin à l’instar du titre du roman de Balzac qui écrivit en 1831 « Si tu me possèdes, tu possèderas tout, mais ta vie m’appartiendra ».

Serons-nous en mesure de relever le défi de plus de sécurité pour plus de liberté ?

Saurons-nous trouver le juste équilibre entre sécurité et liberté ?

Pourrons-nous éviter les dérives sécuritaires au regard des besoins de protection et des moyens effectifs à disposition pour maitriser les risques ?

A nous collectivement et individuellement d’être non pas résilients mais résistants à la malveillance et à la cupidité de certains, sans oublier que l’on meurt toujours de la grippe. « Les trop nombreux » comme les dénommait Nietzsche sont effectivement en nombre et déterminés à nuire et à dominer, espérons que nous saurons, les yeux grands ouverts, être plus forts, non pas les yeux ouverts pour tâcher d’entrer dans la mort comme dans les Mémoires d’Hadrien de Marguerite Yourcenar mais les yeux grands ouverts comme avec Aragon dans son hymne à l’amour « … A moi dans la nuit / Deux grands yeux ouverts / Et tout m’a semblé / Comme un champ de blé … ». Espérons avec lui que “tout ce qui s’oppose à l’Amour sera anéanti”.

Merci aux poètes et artistes qui nous aident à transcender la banalité du mal.

***

Désormais, il y aura aussi un après Covid-19, du moins je l’espère!

 

Virus biologique, virus informatique

Solange Ghernaouti 3 commentaires

Contexte

Selon l’OMS, la Suisse est à ce jour, sur les 110 pays touchés par le virus COVID-19, en douzième position pour ce qui concerne le nombre de cas de personnes infectées. Ce classement ne tient pas compte de la densité de la population. Faire le calcul, du ratio du nombre de cas connus au regard de la population du pays, c’est peut-être nous rendre compte que la situation de la Suisse dépasse celle de notre voisin italien.

Comment disposer d’une juste cartographie des personnes infectées alors que le dépistage systématique n’est pas possible, que les porteurs de virus ne sont pas tous recensés, ni identifiés, surtout s’ils n’ont pas de symptômes, alors qu’ils sont un vecteur de propagation de l’infection.

 

Posture et exigences de sécurité

Comme en cybersécurité, les organisations qui ont développé des postures de gestion des risques sont mieux préparées que les autres à anticiper et à se mobiliser pour faire barrière à la propagation de virus, qu’ils soient d’origine biologique ou informatique.

Comment comprendre la difficulté de certaines instances dirigeantes à prendre des décisions pour mettre en place des mesures proactives et de préventives en temps voulu, c’est à dire à temps, pour préserver leurs capital qu’il soit informationnel ou humain? Aujourd’hui, comment ignorer la réalité du terrain et le fait que les mesures de précaution prises au plus tôt augmentent leur efficacité ?

Combien d’institutions privées ou publiques ont communiqué à leurs employés, les mesures de prévention, de protection et de précaution prises pour ne pas favoriser l’infection et la propagation du coronavirus SARS-CoV-2 (COVID-19) ? En fait, si certaines entreprises prennent des mesures particulières pour limiter l’exposition de leurs personnels, ce n’est pas le cas partout.

Le retard pris dans l’adoption de mesures de précaution est préjudiciable à la protection de la population. Les impacts du risque sanitaire sont subis par les individus qui, s’ils sont infectés, en porteront les conséquences financièrement mais aussi dans leur chair et dans leur esprit. Si le virus ne leur est pas fatal, être un vecteur de la maladie, avoir contaminé des personnes, y compris des proches qui peuvent en décéder, les affecteront.

Parmi les nombreuses questions que soulèvent les virus biologiques et informatiques, il convient de se demander :

  • Comment rester sain dans un monde de malades ?
  • Comment assurer sa sécurité et sa sûreté alors que la qualité de celles-ci dépend de celles des autres ?

 

L’urgence d’agir

Faire face à une menace de grande ampleur, invisible mais bien réelle, en se reposant sur le civisme des citoyens ou sur l’hygienne individuelle, ne suffit pas. Toutes démarches de sécurité reposent sur la responsabilité des dirigeants, une volonté politique, des mesures stratégiques et opérationnelles de prévention, de défense et de réaction cohérentes. Le faux sentiment de sécurité, la pensée magique consistant à croire que les problèmes n’arrivent qu’aux autres, que les virus s’arrêtent aux frontières de son organisation ou encore de croire que de ne pas voir le problème le fait disparaitre, sont des erreurs exemplaires.

Aujourd’hui, l’urgence n’est pas uniquement liée aux cryptovirus, qui depuis Wanacry en 2017, sont devenus des préoccupations des responsables de la sécurité informatique, de manière pragmatique, l’urgence est biologique, humaine. Toutefois, que devient la sécurité informatique en cas de pandémie, qui est disponible pour l’assurer ? Comment protéger le système d’information quand l’humain est défaillant ?

Mais à ce jour pour les institutions, il s’agit encore de décider et de mettre en place des mesures concrètes pour se protéger au mieux du Covit-19 et de contribuer à limiter sa propagation. Concrètement, par exemple, c’est faire en sorte que la distance minimale entre les individus soit respectée sur leur lieux de travail ou lors de leurs déplacements.

Est-ce que les salles de cours sont suffisamment grandes pour assurer une distance minimale entre les personnes ?

Est-ce que les lieux communs fréquentés par un grand nombre de personnes sont régulièrement et suffisamment désinfectés durant la journée ?

Force est de constater que ce n’est pas le cas dans nombre d’organisations. Ainsi par exemple, l’absence du port de masques de protection par le personnel employé dans la restauration et de l’absence de la distance minimale entre individus aux files d’attente des bureaux administratifs et autres points de vente (gares, poste, supermarchés, etc.), telle que préconisée par l’OFSP (Office fédéral de la santé publique) est une réalité. Comme l’est d’ailleurs, l’absence de produit hydro-alcoolique pour la désinfection des mains aussi bien aux entrées des bâtiments, à proximité des toilettes ou encore à côtés des ascenseurs.

Pourtant, ce sont des précautions simples, indiquées par les autorités fédérales ayant pour but d’éviter la propagation rapide du virus au sein de la population.

 

COVID-19, sommes-nous prêts?

Y a-t-il un plan d’action pour le tutorat de cours dispensés par voie informatique? Comment assurer l’équité de traitement entre étudiants et évaluer les contrôles continus et autres examens si quelques étudiants sont absents, se trouvant en quarantaine volontaire suite à la fréquentation de zones à risque ou à la contamination d’un proche ?

Qu’avons-nous appris des exercices stratégiques concernant les risques d’épidémie et de pandémie en Suisse et de l’expérience de pays affectés avant nous ?

Sommes-nous prêts à faire face au COVID-19 et à saisir l’opportunité de penser et de faire différemment et surtout de tirer parti du numérique et de toutes ses promesses ?

Sommes-nous prêts à croire que les établissements d’enseignement ne seront pas un maillon de la chaîne de contamination ?

Sommes-nous prêts à faire face à un tsunami de virus informatique et à la combinaison d’une infection virale biologique et informatique ?

Sommes-nous prêts à vouloir privilégier la santé de tous et de toutes ?

Sommes-nous prêts à prendre des décisions courageuses ?

La crise « Covit-19 » est un révélateur de notre capacité à gérer les risques, à déterminer les risques acceptables et à savoir qui les assume. À l’heure des décisions, nous sommes face à nous mêmes, aucune intelligence artificielle ne peut se substituer à l’intelligence naturelle ou au bon sens. Il est temps que l’humain reprenne en main son destin. Il est temps de privilégier le progrès technologique au service du vivant et de faire en sorte que l’humain ne soit pas uniquement une ressource à optimiser au service du pouvoir économique et technologique.