Un appareil photo jetable pour détruire les puces RFID, des stylos lasers pour aveugler les caméras de vidéosurveillance, de la pâte à modeler pour flouer les contrôleurs biométriques, le dossier brouillon d’un webmail pour déjouer l’interception des communications, un vrai-faux passeport biométrique pour endormir la confiance des policiers… : la surveillance high tech serait-elle soluble dans le low tech ?

Dans mon billet consacré aux enjeux pour 2006 et intitulé Qui surveillera les surveillants ?, je m’étonnais de voir qu’il fut beaucoup question en 2005, sur InternetActu, de technologies de contrôle et de surveillance (RFID, vidéosurveillance « intelligente », biométrie, traçabilité comportementale, géolocalisation GPS ou WiFi, etc.), et quasiment jamais d’outils conçus, précisément, pour surveiller, contrôler voire désactiver ces surveillants.

Il se trouve que plusieurs des conférences du récent 22C3, le congrès annuel du Chaos Computer Club (vénérable organisation de hackers allemands) se sont penchées sur le sujet, pour démonter en particulier qu’il n’était pas forcément besoin de technologies sophistiquées pour cela.

La cybersurveillance, « techniquement inepte et inefficace à combattre les criminels »

Les Autrichiens du collectif Quintessenz ont ainsi rendu aveugle un système de vidéosurveillance policier au moyen de ballons et de petits pointeurs lasers. Pire, si l’on peut dire : ils ont aussi réussi, au moyen d’un petit récepteur satellite, à intercepter les images transmises, illustrant comment, paradoxalement, sur le modèle de l’arroseur arrosé, la vidéosurveillance peut servir à des cambrioleurs, par exemple, à repérer ceux-là mêmes qui sont censés les intercepter.

Dans une conférence intitulée Hacking Data Retention (que l’on pourrait traduire par « Comment déjouer l’interception des télécommunications »), le journaliste Brenno de Winter énumère pour sa part un certain nombre de pratiques de contre-surveillance allant du wardriving (accès wifi non autorisé) à l’installation d’un serveur de mail sécurisé comme ePost (qui fonctionne sur le mode p2p, et permet donc d’échapper à son FAI) en passant par l’utilisation de logiciels d’anonymat tels que Tor ou Freenet, ou encore par le stockage de ses communications sensibles dans le dossier brouillon d’un webmail partagé de sorte que les mails ne transitent pas, et ne puissent donc être interceptés.

En 2002, Brian Gladman, ancien « directeur des communications électroniques stratégiques » du ministère de la Défense britannique et de l’OTAN, et donc peu suspect de complaisance envers les terroristes et autres malfaisants, avait justifié sa publication d’un guide similaire, particulièrement détaillé, au motif que la cybersurveillance est « techniquement inepte et inefficace à combattre les criminels« , mais qu’elle risquait fort, par contre, d’aller à l’encontre de la vie privée, de la sûreté et de la sécurité des honnêtes citoyens, ainsi que du business.

En l’espèce, le marché le plus prometteur, avec celui de la biométrie, est à chercher du côté des RFID. Mais dans ce domaine, les craintes exprimées par nombre de citoyens -les activistes de Caspian en tête- se font pressantes, au point que le le client a besoin d’être rassuré et que certaines SSII les invitent à « venir constater de visu les bénéfices de la technologie RFID dans des centres spécialisés« .

Intervenant récemment dans Science Frictions, sur France Culture, Marc de Freminville, expert RFID chez IBM et Bernard Benhamou, maître de conférence à Science-Po, reconnaissent d’ailleurs tous deux que l’industrie n’a d’autre choix que de déployer des mécanismes de désactivation de ces puces, sous peine de voir les consommateurs boycotter les produits soumis à ce type de traçabilité.

Une mini-bombe à impulsion électromagnétique contre les RFID

En attendant la commercialisation de gadgets portatifs tels que TagZapper ou RFIDWasher, permettant de désactiver les puces RFID, ou encore l’installation de tels désactivateurs automatisés dans les téléphones portables ou à l’entrée des magasins, la seule méthode 100 % efficace consiste aujourd’hui à couper le fil composant l’antenne des puces RFID, au risque d’abîmer les vêtements dans lesquelles elles sont insérées, par exemple. Afin d’éviter ce type de désagrément, le RFID Zapper pésenté au 22C3 génère pour sa part un choc électrique permettant de « griller » la puce.

Cette technique, semblable aux bombes à impulsion électromagnétique (EMP) utilisées par les militaires afin de brouiller ou détruire le matériel radio de leurs adversaires, a néanmoins l’inconvénient de pouvoir également nuire aux disquettes, disques durs, cartes à puce et autres pacemakers. Elle pourrait également être mal perçue, tant par les forces de l’ordre que par des vigiles privés, qui pourraient y voir un outil destiné à brouiller les communications radio des avions, hopitaux, etc., ou à voler des objets en magasin.

Néanmoins, et de même que les couteaux ne servent que très rarement à détourner des avions, on ne peut rejeter d’emblée l’idée d’un tel gadget, ou l’assimiler à quelque chose d’illégal. Et l’on pourra d’autant moins en freiner la fabrication que certains de ces dispositifs sont à la portée de tout un chacun. Le RFID Zapper, par exemple, est bricolé à partir d’un appareil photo jetable doté d’un flash, dont le film est remplacé par un fil de cuivre, relié à la batterie en lieu et place du flash.

Plus simple encore, Richard Stallman, l’inventeur du logiciel libre, a pour sa part recouvert d’une feuille d’aluminium (à la manière d’une cage de Faraday bloquant les ondes électromagnétiques) le badge confié aux participants du récent Sommet mondial sur la société de l’information, empêchant ainsi les capteurs de pouvoir communiquer avec la puce RFID qui y était incorporée.

Que fera-t-on le jour où de faux papiers biométriques commenceront à circuler ?

Autre piste explorée : modifier les données que contiennent les puces. En 2003, les artistes et hacktivistes de la Carbon Defense League avaient lancé re-code.com, parodie de boutique en ligne qui permettait de choisir le prix de certains produits, en en modifiant le code barre. Menacé de poursuites, le site a depuis fermé, mais dans la mesure où les RFID ont vocation à supplanter les codes barre, d’autres initiatives similaires surgissent. Pas tant afin de « pirater » les puces qu’afin de pouvoir lire les données qui y sont inscrites, ou transmises, et éventuellement de les corriger ou de les effacer.

Un outil d’interception des transmissions RFID a ainsi été présenté au 22C3. Loic Dachary, le représentant français de la Free Software Foundation, avait de son côté lancé, en 2003, un logiciel libre pour lire et modifier les « tags » RFID. Evoquant RFDump, un logiciel similaire, Bruce Schneier, expert en sécurité informatique des plus réputés, avançait pour sa part que son développeur n’avait rien piraté mais qu’il s’était contenté de lire, et d’appliquer les spécifications techniques des puces. Ce type de logiciels permet également de tester la sécurité des protocoles utilisés, plusieurs d’entre-eux ayant déjà fait montre de failles et problèmes potentiellement désastreux.

L’an passé, une équipe américaine d’universitaires et de professionnels de la sécurité informatique avait ainsi démontré qu’il était relativement aisé de flouer le mécanisme d’authentification reposant sur des puces RFID installées dans plus de 150 millions de clés de voiture, et 6 millions de cartes de paiement pour stations services. Un informaticien canadien vient quant à lui de cloner la célèbre puce Verichip, destinée à être implantée sous la peau, et censée garantir une identification absolue de ses porteurs. Et une société de sécurité néerlandaise a réussi à casser la protection du passeport RFID (et biométrique) du passeport hollandais…

De problèmes d’ordre commerciaux, a priori limités, si l’on peut dire, à un manque à gagner, on en arrive ainsi rapidement à des risques autrement plus importants puisque relatifs à l’usurpation d’identité, et dans des domaines aussi sensibles que la santé, la sécurité des personnes ou encore les futurs passeports et cartes d’identité électroniques. Car si les douaniers, par exemple, sont formés pour détecter les faux papiers -ce qui ne signifie pas non plus qu’ils les détectent tous-, que fera-t-on le jour où de faux papiers avec identifiants biométriques et puce RFID, reconnus comme valides par les machines, commenceront à circuler ?

Société de surveillance et présomption de culpabilité

Plus difficiles à créer, et plus chers que les faux papiers actuels, ils seront réservés à une certaine « élite » (mafieux, terroristes, espions, barbouzes). Si les douaniers pourront plus facilement intercepter immigrants illégaux et sans-papiers, nos futures pièces d’identité high tech ne pourront pas pour autant nous prémunir de la menace terroriste. Pire : les nouveaux faux papiers pourraient bien se fondre dans la masse des « faux positifs » et erreurs, imputables tant aux hommes qu’aux machines, qu’on recense d’ores et déjà dans les systèmes en place, et dont la biométrie offre une bonne illustration.

On sait, depuis longtemps, que les identifiants biométriques ne sont pas infaillibles. Des experts britanniques se sont d’ailleurs récemment inquiétés de découvrir que la nouvelle carte d’identite serait incompatible avec un Fish & Chips : des doigts huileux pourraient en effet ne pas être reconnus par les bornes biométriques, sans parler des travailleurs manuels, aux doigts âbimés, qui pourraient ne plus être reconnus.

En matière d’usurpation d’identité, un mathématicien japonais avait, dès 2002, berné des bornes biométriques avec de fausses empreintes digitales créées avec de la gélatine alimentaire. Le chercheur expliquait également comment récupérer des empreintes sur un verre, par exemple (et sur le modèle des techniques utilisées par la police scientifique) afin de la reproduire en 3D, et donc de tenter d’usurper l’identité de quelqu’un.

Dans le cadre de recherches en partie financées par la National Security Agency, la principale agence de renseignement high tech américaine, Stephanie Schuckers, de la Clarkson University, révélait récemment avoir réussi à berner 90 % des lecteurs du marché qu’elle a testé au moyen de moulages d’empreintes de doigts en pâte à modeler, argile, gélatine et plâtre dentaire, ainsi que des doigts prélevés sur des cadavres humains.

Lorsque ces derniers sont dotés de capteurs de transpiration, le taux d’erreur tombe à 10 %, ce qui reste néanmoins considérable. Délaissant la présomption d’innocence, nous entrerions alors dans un régime de présomption de culpabilité pour une personne sur 10… et des centaines de milliers personnes pourraient, à tort, être refoulées aux frontières, ou placées en gardes à vue le temps de vérifier leur identité par d’autres biais, sans même parler des conséquences économiques et humaines de telles présomption de culpabilités.

Le problème se pose d’ores et déjà aux USA : le propre frère de John Kennedy, Ted, lui-même sénateur et icône du parti démocrate américain, a mis trois semaines avant d’être retiré de la liste noire des personnes interdites d’embarquement dans les avions américains. L’an passé, quelques 30 000 personnes ont ainsi été inscrites, à tort, dans des fichiers de suspects, et l’on compte déjà des cas de violences perpétrées à l’encontre de tels innocents, « coupables » d’être fichés.

La possibilité de frauder, condition vitale pour une démocratie

Pour certains analystes, les problèmes seront tels que c’est la viabilité économique, et sociale, de tels systèmes qui risque de vaciller : Bruce Schneier en 2001, Jennifer Granick plus récemment, notent que, dans la mesure où le nombre de non-terroristes est (heureusement) bien plus important que le nombre de terroristes, même un taux d’erreur de 0,1 % (chiffre qu’aucun fournisseur de solutions de sécurité ne peut décemment avancer) amènera à suspecter à tort des centaines de milliers de voyageurs dans les aéroports, ce qui est à la fois inacceptable d’un point de vue humain et ingérable du point de vue de l’organisation des équipes policières.

Philippe Wolf, responsable du centre de formation de la très officielle Direction centrale de la sécurité des systèmes d’information (DCSSI), avait ainsi déconseillé, en 2003, l’utilisation de la biométrie en matière d’authentification, et s’inquiétait de voir la sécurité sacrifiée sur l’autel du côté « mode » de la biométrie et de ses promesses « futuristes« , mais non validées.

Enfin, et Marc Olanié le rappelait à l’occasion de la récente publication du décret relatif aux passeports électroniques français, « plus la « preuve » d’inviolabilité d’une pièce d’identité semble vantée par les institutions, plus simple semble la fraude. En d’autres termes, la simple possession d’un « passeport biométrique » endormira la confiance des personnes chargées de leur contrôle… c’est là une quasi certitude« .

En attendant, et sauf à interdire les stylos lasers, les appareils photos jetables et la pâte à modeler, il est a priori possible de contourner ces technologies de contrôle et de surveillance. Et il faut probablement s’en féliciter : comme le déclarait Raymond Forni, ancien président de l’Assemblée Nationale et ex vice-président de la Commission Nationale Informatique et Libertés (CNIL), « Dans une démocratie, je considère qu’il est nécessaire que subsiste un espace de possibilité de fraude. Si l’on n’avait pas pu fabriquer de fausses cartes d’identité pendant la guerre, des dizaines de milliers d’hommes et de femmes auraient été arrêtés, déportés, sans doute morts« . C’est même précisément pour cela que les trois étudiants en philosophie récemment accusés d’avoir détruit deux bornes biométriques dans la cantine d’un lycée ont reçu le soutien d’une association d’anciens déportés et résistants.