Bonsoir,
Les brèves de cette semaine par le Collectif sont désormais disponibles. Très bonne lecture !
MY2022, l’application des JO : des failles de sécurité détectées par Citizen Lab
Source : Le Parisien
Le laboratoire de recherche canadien, Citizen Lab, a publié, ce mardi 18 janvier, un rapport dans lequel il dénonce une « faille simple, mais dévastatrice » de l’application MY2022, application officielle des Jeux Olympiques d’hiver qui débuteront le 4 février prochain.
En effet, à l’occasion des Jeux d’hiver de 2022 à Pékin, la Chine est venue imposer l’utilisation de MY2022 à tous les participants. L’application, créée et gérée par Beijing Financial Holdings Group (BFHG), une filiale de la ville de Pékin, est destinée à surveiller la santé des participants. Elle permet de contrôler la vaccination des participants, d’imposer des tests quotidiens, de suivre les cas contacts, etc. Ainsi, ils devront rentrer dans l’application, en plus de leur passeport, des informations médicales personnelles, comme les symptômes qu’ils ont eus s’ils ont déjà été testés positif au Covid-19.
Cependant, cette application présente, selon Citizen Lab, deux défauts majeurs la rendant sensible à une éventuelle fuite de données.
Le premier défaut dénoncé par le laboratoire de recherche concerne les certificats SSL, qui visent à garantir le trafic de données et permettent ainsi à deux entités de communiquer de façon sécurisée en ligne. Il avance que MY2022 n’authentifie pas les certificats SSL, ce qui peut amener l’application à communiquer avec un ordinateur malveillant. Jeffrey Knockel, de Citizen Lab, a trouvé cette faille pour les données de santé, mais également pour d’autres services de l’application traitant les pièces jointes et les messages vocaux.
Citizen Lab pointe également du doigt la collecte d’informations personnelles des participants comme le numéro de passeport, le pays vaccinal, le statut de vaccination, etc., données transmises à la plateforme et qui, faute de validation par les certificats SSL, sont également soumises à des risques de piratage et d’usurpation d’identité.
Face à ces controverses, la rédaction de ZDNet a interrogé le Comité International Olympique (CIO), qui s’est voulu rassurant. Ce dernier a justifié les problèmes relevés par Citizen Lab au regard de la pandémie de Covid-19. « Par conséquent, un système de gestion en boucle fermée a été mis en place […]. L’application « MY2022 » prend en charge la fonction de suivi de la santé. Elle est conçue pour assurer la sécurité du personnel lié aux Jeux dans l’environnement en boucle fermée », poursuit le CIO. Il ajoute que « l’utilisateur a le contrôle de ce à quoi l’application « MY2022 » peut accéder sur son appareil. Il peut modifier les paramètres dès l’installation de l’application ou à tout moment par la suite. Il n’est pas obligatoire d’installer « MY2022 » sur les téléphones portables, car le personnel accrédité peut se connecter au système de surveillance de la santé sur la page web à la place », et rappelle également que « le CIO a fait procéder à des évaluations indépendantes de l’application par deux organismes de test de cyber sécurité. Ces rapports ont confirmé qu’il n’y a pas de vulnérabilité critique ».
Jeffrey Knockel s’interroge : « la Chine est connue pour avoir sapé les technologies de chiffrement afin de pratiquer la censure politique et la surveillance. Il est raisonnable de se demander si le chiffrement des données de cette application n’a pas été volontairement saboté à des fins de surveillance ou s’il est le fait de la négligence des développeurs ».
Début décembre, Citizen Lab avait prévenu les autorités chinoises de ces failles, et leur avait demandé de procéder à des corrections sous 45 jours. Pékin n’avait cependant pas donné suite. Et, malgré les mises à jour effectuées dans l’App store et le Google Play store, Citizen Lab n’a relevé aucun changement dans la liste de censures et vulnérabilités mentionnées au comité d’organisation chinoise.
Loriane LAVILLE
Sources :
https://citizenlab.ca/2022/01/cross-country-exposure-analysis-my2022-olympics-app/
CNIL : lancement d’une consultation publique à propos des dispositifs de vidéo dite « intelligente » ou « augmentée »
L’utilisation de la vidéosurveillance basée sur l’intelligence artificielle dans les lieux ouverts au public a connu une augmentation significative au cours de ces dernières années. Ces systèmes de captation vidéo sont dotés de plus en plus de performance et d’efficacité grâce à l’essor de l’intelligence artificielle.
Particulièrement sensible à ce sujet, la Commission nationale de l’informatique et des libertés (CNIL) a publié un projet de position le 14 janvier 2022 concernant le déploiement des dispositifs de vidéo dite « intelligente » ou « augmentée » et soumet ce document à une consultation publique qui prendra fin le 11 mars 2022.
Le projet de position ne concerne pas les dispositifs de reconnaissance biométrique comme la reconnaissance faciale, ainsi que les usages des dispositifs de vidéo « augmentée » dans des lieux privés. Le projet s’articule autour de la présentation et des usages de vidéo « intelligente ou augmentée ». L’objectif principal est de « mettre en avant les enjeux éthiques et sociétaux de cette technologie et les risques gradués pour les droits et libertés des personnes ».
Les dispositifs de vidéo dite « intelligente » ou « augmentée » sont constitués de « logiciels de traitements automatisés d’images couplés à des caméras », prévient la CNIL, ils permettent notamment « d’extraire des diverses informations à partir des flux vidéos qui en sont issus ». Autrement dit, il s’agit d’un système de vision qui capture des images et les interprète. Ils peuvent donc être utilisés par tout agent public ou privé dans les lieux ouverts au public afin de répondre aux besoins spécifiques tels que l’analyse de la fréquentation d’un lieu ou encore l’amélioration de la sécurité des personnes ou des biens.
La CNIL se montre vigilante sur l’utilisation des caméras intelligentes depuis plusieurs années. Dans le cadre de la gestion de la crise sanitaire du COVID-19, ces dispositifs ont été largement employés pour mesurer la température, détecter ou s’assurer du respect de la distanciation sociale ou du port du masque. Cependant, un tel usage pourrait conduire à un traitement massif de données personnelles, et « entraîner un risque de surveillance généralisée ». C’est la raison principale qui conduit la CNIL à lancer une consultation publique à propos de dispositifs de vidéo dite « intelligente » ou « augmentée ».
La Commission fait appel à tout acteur public ou privé concerné pour participer à la consultation. Elle souhaite mobiliser l’ensemble des acteurs de la vidéo « augmentée » afin d’aboutir à une réflexion nouvelle sur les enjeux de ces dispositifs au regard de la protection des droits et libertés fondamentaux.
Siyin JIN
Sources :
https://siecledigital.fr/2022/01/17/cnil-consultation-publique-video-intelligente/
https://www.lesalexiens.fr/actualites/cameras-intelligentes-la-cnil-consulte-les-francais/
(image)
Loi du 30 décembre 2021 visant à améliorer l’économie du livre et à renforcer l’équité entre ses acteurs
Source : Ministère de la Culture
La loi n°2021-1901, dite loi « Darcos » du 30 décembre 2021 visant à améliorer l’économie du livre et à renforcer l’équité et la confiance entre ses acteurs, a été publiée au Journal officiel le 31 décembre 2021.
Tout d’abord, la loi poursuit l’objectif de la loi « Lang » de 1981 d’un prix unique du livre et, la loi de 2014 encadrant les conditions de la vente à distance des livres, en instaurant un prix plancher pour les frais d’envoi des livres achetés en ligne. En effet, avec l’arrivée des plateformes de e-commerce telles qu’Amazon, la concurrence présente sur le marché était défavorable aux libraires indépendants. Ces géants du commerce électronique ont pu grâce aux accords avec La Poste, bénéficier de la quasi-gratuité des frais de livraison (0,01 centimes d’euro). Il s’agit d’un tarif très avantageux auquel les librairies physiques ne font pas face. Désormais, le minimum de frais de port devra s’appliquer, y compris dans le cas des programmes de fidélité (type Prime sur Amazon), ou des colis comportant outre des livres, d’autres produits.
Le texte de loi prévoit par ailleurs, l’obligation pour les sites de vente en ligne d’afficher distinctement sur tout support l’offre des livres neufs et l’offre de livres d’occasion, afin que l’acheteur ne puisse pas penser qu’un livre neuf puisse être vendu à un prix différent de celui fixé par l’éditeur ou l’importateur. La loi Darcos réforme également le régime des soldes d’éditeurs. Cela permet d’encadrer la concurrence des éditeurs ayant une activité de détaillants à l’égard des libraires.
Ensuite la loi du 30 décembre 2021 confère aux communes et à leurs groupements la possibilité de soutenir leurs librairies locales. Ces collectivités auront la faculté de verser des subventions aux petites et moyennes librairies indépendantes, selon les exigences posées par l’article 53 du règlement (UE) n° 651/2014 du 17 juin 2014 relatif aux aides d’État en matière d’aides à la culture.
Le texte renforce également la protection des auteurs en cas de cession d’activité de l’éditeur. Ce dernier devra fournir un état des comptes complet, dans lequel il devra faire apparaître le nombre d’exemplaires des ouvrages vendus depuis la dernière reddition des comptes établie, le montant des droits dus au titre de ces ventes, ainsi que le nombre d’exemplaires disponibles dans le stock de l’éditeur, chez le ou les distributeurs, ainsi que dans les réseaux de vente au détail.
Enfin, la loi élargit le recours au médiateur du livre par les auteurs et les organisations professionnelles et adapte les modalités du dépôt légal numérique.
Olesya LOGUNOVA
Sources:
- https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000044637892
- https://www.dalloz-actualite.fr/flash/modernisation-du-cadre-juridique-du-commerce-du-livre
- https://www.vie-publique.fr/loi/281850-loi-darcos-30-decembre-2021-prix-frais-de-port-livres-librairies
- http://www.senat.fr/dossier-legislatif/ppl20-252.html
- https://kiosque.bercy.gouv.fr/alyas/msite/view/lettre-daj/16506
- https://www.culture.gouv.fr/Regions/DRAC-Nouvelle-Aquitaine/Aides-demarches/Livre-et-lecture?limit=30
SEARCH « DATAJUST » in « MINISTERE DE LA JUSTICE » : ERROR 404 – gateway not found
Le journal Acteurs Publics a rapporté que le ministère de la Justice a décidé, le jeudi 13 janvier, d’abandonner le développement de l’algorithme DataJust. Cet abandon serait dû à la complexité de la mise en œuvre d’un tel algorithme, selon les sources. Tel qu’expliqué dans l’une de nos précédentes brèves, l’algorithme devait permettre d’établir un référentiel de l’indemnisation des victimes de préjudices corporels. L’expérimentation avait commencé début 2020 et avait pour durée deux ans. L’enjeu principal résidait dans le recours à l’intelligence artificielle pour obtenir un avis indicatif chiffré. L’objectif principal étant de désengorger les tribunaux grâce aux règlements à l’amiable des litiges qui en découleraient.
Cette décision du ministère de la Justice peut surprendre, voire étonner, puisque le Conseil d’État avait quelques jours auparavant débouté les opposants au projet, notamment l’association la Quadrature du net , qui espéraientt par leur action en justice mettre fin à l’expérimentation.
Projet (trop) ambitieux ?
Très probablement. Si les algorithmes, qui reposent principalement sur une logique mathématique, ont su faire avancer les sciences dites dures en résolvant des problèmes complexes, il semble que les sciences humaines restent encore un casse-tête pour les IA. Du moins, elles restent difficiles à mettre en œuvre au vu de la complexité d’un tel domaine.
Effectivement, pour entraîner l’algorithme DataJust, le ministère avait autorisé à utiliser diverses données personnelles issues de décisions de justice, notamment celles des cours d’appel. Cependant, restait tout de même exclu les noms des parties. Comme le rapporte le journal Acteurs publics, bien que sensible, ces données étaient fortement utiles à l’algorithme pour « caractériser le lien entre le montant de l’indemnité et le préjudice corporel et en tirer des “règles” récurrentes ». Sauf que tout ne s’est pas déroulé comme escompté, le projet était trop ambitieux au vu du délai, des moyens humains et des moyens techniques déployés.
– « la mobilisation de moyens nécessaires, notamment pour étudier et prévenir les biais algorithmiques, était trop conséquente pour atteindre un niveau de performance indiscutable », a rapporté Acteurs Publics.
Quelle est la raison officieuse de l’abandon ?
Finalement, si le Conseil d’État a considéré que « le traitement autorisé par le décret attaqué répond à une nécessité justifiée par des motifs d’intérêt public important » et a également jugé que ce traitement des données était « nécessaire à l’exécution d’une mission d’intérêt public au sens de l’article 6 du Règlement général sur la protection des données ».
En réalité, la base de données sur laquelle l’algorithme était entraîné reposait sur des biais car incomplet, en raison de l’absence des décisions de première instance. Par ailleurs, le journal Acteurs Publics a rapporté que « le préjudice corporel est lui-même intrinsèquement très compliqué, avec 40 dimensions à prendre en compte, et la mobilisation de moyens était trop conséquente pour atteindre un niveau de performance indiscutable », selon une source du dossier.
Actuellement, le ministère réfléchit à un moyen légal de sauver les données collectées dans le cadre de l’expérimentation, alors pourtant que le décret prévoit leur suppression, au motif d’en ouvrir l’accès sous conditions à des chercheurs. Il y a également un enjeu de ne pas laisser un tel secteur tomber dans les mains du privé, notamment dans un contexte de floraison des legaltech.
Anthony THOREL
Sources :
https://www.la-croix.com/France/DataJust-algorithmes-justice-inquietent-2022-01-07-1201193673
http://master-ip-it-leblog.fr/breve-du-3-janvier-au-9-janvier-2022/