Ashram de Swâmi Petaramesh - Big Brozeur

"Dépassons les bornes !"

Petaramesh — Mon, 10 Mar 2008 23:56:00 +0100

J'ai vu passer cela, je fais tourner...

Du 12 mars au 12 avril - campagne nationale contre la biométrie

Voici un texte explicatif sur la campagne biométrie, ses objectifs et modalités, en html ainsi qu’en version mise en page et prête à être photocopiée. Tous les outils de campagne, tracts et affiches types sont disponibles en cliquant ici. Des documents complémentaires. sur la biométrie sont disponibles là, ainsi que des documentaires sonores, ici

Contexte et propositions de lutte

La biométrie consiste à utiliser la mesure de parties du corps (iris de l’œil, empreintes digitales, contour de la main, du visage...) ou de comportements (démarche, manière de signer...) pour reconnaître une personne. Ces parties du corps, réputées uniques pour chaque individu, sont numérisées, puis enregistrées dans des bases de données, et réactivées à chaque fois qu’il faut s’identifier. Depuis la fin des années 90, sous la pression de lobbys industriels et étatiques, les outils de reconnaissance biométrique, souvent des bornes, se généralisent et remplacent les clés, les cartes ou tout simplement la reconnaissance en face-à-face.

Les dispositifs biométriques ont d’abord été installés dans des zones dites « sensibles » (prisons, aéroports…). Depuis quelques années, dirigeants et industriels ne reculent devant rien pour en généraliser l’usage à toutes sortes d’activités quotidiennes. En 2004, le groupement des industriels de micro-électronique (Gixel) publiaient un Livre Bleu de préconisations au gouvernement, lui conseillant de conditionner les plus jeunes pour faire accepter la biométrie à une population récalcitrante. Ils y prescrivaient une « éducation dès l’école maternelle », c’est-à-dire l’implantation massive de bornes biométriques dans les établissements scolaires. Dès 2005, cette propagande s’est rapidement matérialisée sous forme de systèmes d’accès des élèves à la cantine et aux entrées. On compterait aujourd’hui 350 établissements scolaires biométriques, contre seulement une vingtaine en 2005. C’est donc une grande partie de la jeunesse qui, tous les jours, est priée de trouver normal d’être gérée en silence par le biais de son anatomie, avec la complicité de prétendus éducateurs.

Le monde de la biométrie est le même que celui du prélèvement massif d’ADN, de la vidéo-surveilllance et de la pose de bracelets électroniques sur les nourrissons. C’est un monde où l’on juge que gérer des corps est finalement plus efficace et rentable que dialoguer avec des personnes. Derrière la machine, un pouvoir arbitraire et omniprésent alimente, peut-être plus encore que par le passé, frustration, impuissance et paranoïa. Grâce à ces technologies, les dirigeants constituent des fichiers et organisent une surveillance en temps réel dont auraient rêvé les dirigeants soviétiques. De leur côté, les industriels se réjouissent d’étendre encore leur conquête des activités humaines, en les conformant à leurs innovations technologiques. Tantôt en agitant la peur des terroristes, tantôt pour nous « simplifier la vie », les bureaucraties, petites et grandes, étatiques ou marchandes, ne cessent de soumettre les espaces de la vie commune à leurs propres critères : rien ne doit entraver le flux de l’économie ; rien ni personne ne doit se déplacer incognito.

Pourtant, depuis 2005, une résistance se structure. Fin 2005, une troupe de clowns apparaît dans la cantine du lycée de Gif-Sur-Yvette et sabote les bornes biométriques pendant le repas de midi. Diverses campagnes d’information ont lieu et certaines oppositions réussissent à empêcher l’installation de bornes biométriques. En ce début d’année 2008, divers collectifs en France se sont alliés pour lancer du 12 mars au 12 avril une campagne nationale contre la biométrie. Vous trouverez ci-dessous diverses infos politiques et pratiques sur cette campagne.

Cadre de la campagne

Cette campagne a été lancée parce qu’il est urgent de faire obstacle à la banalisation de la biométrie. Or les mobilisations qui ont eu lieu dans certains lycées sont encourageantes : la détermination de quelques-uns peut suffire à créer un rapport de force favorable. Si, depuis plus de deux ans, diverses actions ont déjà été menées ici et là, l’idée est aujourd’hui de se donner plus de force et de cohésion, notamment en agissant au même moment.

Cette campagne contre la biométrie a été lancée par divers collectifs en France souvent impliqués par ailleurs dans des luttes contre le fichage (ADN, "base élève"), la vidéo-surveillance, la répression et l’enfermement des mineurs... Nous avons décidé de nous attaquer à la biométrie dans le cadre d’une offensive de longue haleine et plus large sur le contrôle social, l’enfermement et les conséquences du développement des nouvelles technologies. Mais dans cette campagne, pas de stratégie unique ni de cadre fermé : à chacun, selon le contexte, de trouver les alliances et les formes d’action les plus belles et les plus intéressantes.

Nous cherchons à élargir cette campagne au plus vite. Votre aide est la bienvenue pour diffuser ce texte de proposition, par internet, mais surtout dans le monde réel autour de discussions.

Les actions que nous projetons visent notamment les établissements scolaires : ce sont des lieux privilégiés de la propagation de ces technologies, mais aussi parce que ce sont des endroits où les enjeux collectifs permettent encore des mobilisations (au grand dam du Gixel). Mais il est tout aussi pertinent de s’attaquer à d’autres espaces où s’implante la biométrie : immeubles, entreprises, bars et restos, lieux de diffusion d’objets high-tech (disques durs et ordinateurs portables par exemple), piscines... Et puis, évidemment, à toutes les entreprises qui la vendent (vous trouverez de nombreux détails sur le blog d’un grand amateur de biométrie : http://pagesperso-orange.fr/fingerchip/biometrics/biometrie_en_france.htm. Pas tout à fait exhaustif mais une bonne base).

Modes d’action

La base est pour nous, de provoquer des remous dans les établissements biométriques et au mieux d’en exclure la biométrie ; et de diffuser massivement des tracts dans les établissements où elle n’est pas implantée, histoire de décourager des projets d’installation. Il a été constaté que dans l’un et l’autre cas ça pouvait marcher.

Nous nous sommes rendu compte qu’il est assez facile d’entrer dans les établissements pour glisser des papiers dans les casiers des profs, voire d’aller trouver franchement des chefs d’établissements et de leur proposer des affiches. On trouve toujours des profs et des lycéens complices.

Dans diverses villes, on peut prendre contact avec des lycéens, syndicats de profs (FEN, FSU, CGT educ, CNT, SNES, SNUIPP, SUD educ...) et parents d’élèves (FCPE...) pour organiser une soirée d’information. C’était assez efficace jusqu’ici et cela permet que les luttes soient menées avec des personnes directement concernées. Cela peut être pas mal d’organiser des actions communes avec des collectifs locaux (en général des syndicats de profs et parents aussi) qui s’engagent actuellement contre Base-élève.

En dehors des tracts et des soirées d’information, des initiatives de "fermeture" symbolique des établissements déjà équipés, avec des marquages du type "Biométrie : quand les lycées se transforment en prison, fermons-les !", pourraient aussi sonner juste.

Des initiatives plus drastiques ne sont pas à exclure, sans nuire aux personnes.

Textes et affiches-type pour la campagne

Deux tracts-types sont proposés avec un contenu un peu différent. Ils peuvent être diffusés tels quels ou modifiés à votre guise (versions texte et pdf disponibles sur le site panoptique.boum.org). Nous proposons aussi des modèles d’affiches à coller autour des établissements et ailleurs.

Soirées publiques

Pour des soirées publiques, nous pouvons envoyer des copies du documentaire "le temps des biomaîtres", un film qui est loin d’être parfait, mais assez court. Si vous en faites la demande par mail, certaines personnes qui ont l’habitude d’intervenir dans des présentations publiques pourraient venir vous aider à organiser la soirée.

Lister les établissements biométriques en France

Nous sommes en train d’établir une liste des établissements scolaires équipés. Il y aurait donc 350 établissements biométriques officiellement déclarés à la CNIL (qui participe activement à la banalisation de la biométrie, voir par ex. l’article http://ww.rebellyon.info/article4767.html), et un certain nombre d’établissements biométriques non déclarés. Il est assez facile d’appeler les collèges et lycées, voire les écoles primaires, en se faisant passer pour une quelconque boîte de biométrie qui propose des équipements aux établissements, pour voir s’ils sont déjà équipés ou pensent le faire. L’un des rares moments dans la vie où il est agréable de se faire insulter au téléphone par des gens qui ne veulent pas en entendre parler.

Retours et diffusion de l’info

Les divers documents et comptes rendus liés à cette campagne seront disponibles sur le site panoptique.boum.org. Vous pouvez déjà y retrouver, outre les tracts et affiches sus-mentionnés, des brochures et documents à photocopier sur le sujet.

Si vous avez fait de l’info dans les lycées locaux, collé des affiches, organisé des débats, envoyez-nous des communiqués sur les réactions que ça a suscité auprès des parents d’élèves, administrations, dans les médias locaux... Par ailleurs si vous entendez parler d’autres actions menées, par le biais de médias locaux indépendants ou marchands, nous voulons bien relayer l’info. Vous pouvez envoyer ces informations à panoptique@boum.org

Nous vous invitons à relayer largement cette initiative chez vous et à décider vous-mêmes du traitement médiatique que vous trouvez adéquat. Rappelons que les chefs d’établissement installent souvent la biométrie pour donner une image de modernité et de prestige à leur école : ils sont donc particulièrement gênés par une opposition médiatisée, ne serait-ce que localement. Des communiqués de synthèse des actions menées partout en France pendant la campagne seront envoyés aux médias au nom du réseau « Biométrie hors de nos vies ». Nous avons choisi que ce réseau de circonstance n’ait ni représentant ni porte-parole ; personne ne devrait donc se mettre en avant et « récupérer » ces actions publiquement, et surtout pas un parti politique.

Bon printemps à tous.

Biométrie, hors de nos vies !

panoptique@boum.org - http://panoptique.boum.org

Documents joints

Dépliant campagne mis en page (PDF - 923.9 ko)
Voici le texte explicatif sur la campagne en version mise en page et prête à être photocopiée.

Vous ne devriez pas être là

Petaramesh — Tue, 19 Jun 2007 20:51:00 +0200

Vous devriez être en train de regarder Arte : Thema sur "la société de surveillance"

Big Brother is watching you

Petaramesh — Sat, 21 Apr 2007 12:09:00 +0200

Et vous comptez bloguer encore longtemps, comme ça ?

L'Etat veut-il tuer Internet en France ?

par Philippe Jannet^[1]
LE MONDE | 20.04.07 | 13h22

Discrètement, en marge de la campagne, le gouvernement prépare un décret qui, s'il était appliqué, tuerait l'Internet "made in France". En effet, sous prétexte de surveiller au plus près les internautes, un décret d'application de la loi sur la confiance dans l'économie numérique du 21 juin 2004, exige que les éditeurs de sites, les hébergeurs, les opérateurs de téléphonie fixe et mobile et les fournisseurs d'accès à Internet, conservent toutes les traces des internautes et des abonnés au mobile, pour les délivrer à la police judiciaire ou à l'Etat, sur simple demande.

Au-delà du coût incroyable que cette conservation représenterait, cette mesure ne pourrait que déclencher une défiance immédiate des Français à l'égard de leur téléphone mobile ou fixe, comme à l'égard des acteurs français d'Internet, assassinant instantanément l'économie numérique française, pourtant décrite comme stratégique par nos chers candidats.

Le décret en préparation exprime le fantasme "Big Brother" : tout savoir sur tout et tous, même l'impossible. Selon ce texte, les opérateurs téléphoniques, les fournisseurs d'accès à Internet, les hébergeurs et les responsables de services en ligne (sites Web, blogs, etc.), devraient conserver pendant un an à leurs frais toutes les coordonnées et traces invisibles que laissent les utilisateurs lors d'un abonnement téléphonique ou à Internet, lors de leurs déplacements avec un téléphone allumé, lors de chaque appel ou de chaque connexion à Internet, de chaque diffusion ou consultation sur le Web d'un article, d'une photo, d'une vidéo, ou lors de chaque contribution à un blog.

En substance, devraient être conservés les mots de passe, "pseudos", codes d'accès confidentiels et autres identifiants, numéros de carte bancaire, détails de paiement, numéros de téléphone, adresses e-mail, adresses postales, le numéro de l'ordinateur ou du téléphone utilisé, le moyen d'accès à un réseau, les date et heure d'appel, de connexion et de chacune de leurs consultations ou contributions sur un site Internet.

A tant vouloir être exhaustif, le texte imposerait d'identifier quiconque, en France, aura mis en ligne, modifié ou supprimé une virgule dans son blog, un "chat", ou sur le Web. Techniquement, on peut, certes, tenter de savoir qui s'est connecté à un site et constater sur Internet ce qu'il diffuse à un instant donné.

Mais en cherchant à conserver la trace de la publication d'un contenu qui aura, par la suite, été retiré, le texte impose de facto de mémoriser systématiquement tout ce qui est mis en ligne, modifié et supprimé sur "l'Internet français". De l'avis unanime des spécialistes, c'est économiquement et techniquement impossible. Même les Etats-Unis de George W. Bush et leur "Patriot Act" post-11-Septembre n'ont jamais envisagé pareille conservation ou réglementation, qui soulèverait sans doute l'opinion publique américaine d'aujourd'hui, mais s'opère sans bruit en France.

Le coût, aussi bien pénal qu'économique, d'un tel dispositif serait colossal pour la France. En cas de résistance, ou juste de passivité, la sanction encourue est lourde : les fournisseurs d'accès à Internet ou les sites Internet français qui ne conserveraient pas toutes ces données seront passibles de 375 000 euros d'amende et leurs dirigeants, d'un an d'emprisonnement et 75 000 euros d'amende, sans compter la fermeture de l'entreprise, l'interdiction d'exercer une activité commerciale, etc.

Lors d'une réunion organisée en catimini le 8 mars 2007 par les ministères de l'intérieur et des finances - le ministère de la justice jouait, une nouvelle fois, les absents -, certains professionnels ont fait valoir, notamment, que cette conservation leur coûterait très cher en stockage informatique et en moyens humains. De plusieurs dizaines de milliers à plusieurs millions d'euros par an de perte nette.

Pourtant, la plupart des sites Web, les Web radios, les blogs, la vidéo à la demande ou mobile, sont encore en quête d'un modèle économique pérenne. Déjà insécurisée par la complexité des enjeux de propriété intellectuelle, l'économie numérique de demain - celle du contenu et pas seulement de l'accès - serait encore fragilisée par une telle surenchère réglementaire franco-française.

En imposant aux entreprises françaises d'être des auxiliaires de justice ou des "indics", l'Etat fragilise tout un pan de l'économie de demain et de la démocratie d'aujourd'hui, en favorisant qui plus est, la domination déjà outrancière des grands acteurs internationaux de l'Internet, qui ne seront pas impactés à l'étranger. Jusqu'alors, seuls les fournisseurs français d'accès à l'Internet et hébergeurs étaient soumis à cette exigence et l'Etat, qui avait promis des compensations financières aux coûts induits par une surveillance des moindres faits et gestes de leurs clients, met tant de mauvaise grâce à s'acquitter des indemnités dues que certains d'entre eux ont renoncé à en réclamer le règlement, préférant envisager la délocalisation pure et simple de leurs activités...

Ces menaces proférées par quelques poids lourds de l'Internet en France font sourire Bercy, qui semble n'avoir pas encore compris qu'Internet est un réseau mondial dont de nombreux prestataires peuvent s'établir et payer leurs impôts presque où bon leur semble.

Il reste que la confusion des genres est totale. Toutes les données conservées seraient accessibles à la police administrative (RG, DST, etc.) comme à la police judiciaire, pendant un an. Les réquisitions administratives pour la "prévention du terrorisme" seraient également conservées un an dans des fichiers tenus par les ministères de l'intérieur et de la défense. Les réponses à ces mêmes réquisitions - nos traces, donc - seraient, pour leur part, conservées pendant trois ans supplémentaires et communicables à la police judiciaire.

Ainsi, des données récoltées sur la base de requêtes administratives initialement motivées par la prévention du terrorisme pourraient se retrouver dans le dossier d'un juge d'instruction en charge d'une affaire de droit à l'image, de diffamation ou de contrefaçon, par exemple, sans que les personnes mises en cause par des traces informatiques vieilles de 4 ans, puissent connaître - ni contester - l'origine ou la pertinence de ces données, ni le contexte dans lequel elles avaient été recueillies, en dehors de toute procédure judiciaire, sans magistrat ni contradictoire, quatre ans auparavant.

Ce projet de décret constitue donc une véritable menace de mort. Il est inquiétant pour trois raisons essentielles. D'abord, le coût. A vouloir faire conserver et restituer par les entreprises, sous peine d'investissements à perte, de prison et d'amendes, des traces qu'elles n'ont pas de raisons ou de possibilité d'avoir, la France créerait une distorsion de concurrence au détriment de sa propre économie numérique, pourtant motrice de notre croissance. Un internaute choisira plus aisément un site non surveillé qu'un site français pour s'informer, même s'il n'a rien à craindre de sa recherche.

Ensuite, la confusion entre le renseignement d'Etat et la justice, qui relègue la séparation des pouvoirs au rang de fiction juridique. Enfin, le risque qu'un tel dispositif ferait peser sur la régularité des procédures judiciaires au regard de notre procédure pénale. C'est-à-dire le risque de priver une politique de sécurité de toute efficacité.

Certes, le gouvernement consultera la CNIL, brandie en épouvantail par les ministères. Mais l'avis de celle-ci, même défavorable, sera dépourvu du moindre effet juridique depuis la refonte de la loi informatique et libertés intervenue en 2004. Certes, l'équilibre entre sécurité, croissance, libertés et efficacité est complexe. Au demeurant, aucune de ces valeurs ne s'illustre dans ce projet de décret, dont la rédaction est aujourd'hui laissée à un consensus entre technocrates et techniciens qui, quels que soient les résultats des échéances électorales, seront encore là demain.

Ce qui pourrait n'être qu'un décret illisible de plus est aujourd'hui une menace de mort pour le développement du numérique en France et pour tous les acteurs concernés de près ou de loin par celui-ci, de la presse aux blogueurs, en passant par la grande distribution, les opérateurs de téléphonie, les fournisseurs de logiciels, les fabricants d'ordinateurs, etc.

Sous prétexte de lutter contre la menace réelle du terrorisme, l'Etat français prend - comme aucun autre - le risque de tuer une part non négligeable de l'avenir du pays, sans aucun état d'âme et dans le silence assourdissant d'une campagne présidentielle omniprésente sur Internet, mais muette sur le développement de l'Internet.

Notes

[1] Philippe Jannet est président du Groupement des éditeurs de sites en ligne (Geste). Le Geste regroupe les principaux éditeurs de sites en ligne français, qu'il s'agisse de portails généralistes (Yahoo ! France, Google), d'organismes ou d'entreprises (INA, UFC Que choisir, Manpower, Comareg, France Télécom, Bouygues Télécom, etc.), ou encore de sites de chaînes de télévision (TF1, France télévision, M6, etc.), de radios (Radio France, Skyrock, RTL, RFI, etc.), d'agences (AFP), de journaux (Le Figaro, Les Echos, Libération, Le Monde, L'Equipe, Le Point, L'Express, Le Nouvel Observateur, Le Parisien et les journaux du groupe Hachette Filipacchi Multimedia, etc.).

Passeport électronique

Petaramesh — Wed, 13 Dec 2006 11:37:00 +0100

Bien que la raison pour laquelle il en a fait la demande semble depuis puissamment tombée à l'eau, Swâmi Petaramesh se trouve doté d'un tout nouveau tout beau passeport électronique...

Et voici donc quelques informations sur l'objet, que je suis allé récupérer en mairie quelque part en début de semaine.

Sachant que l'animal était censé être un bidule biométrique avec une puce électronique dedans, je m'attendais à un passeport équipé d'une puce bien visible genre "carte de crédit", et donc doté d'une couverture ou d'une page intérieure au moins partiellement en plastique rigide.

Aussi quelle ne fut pas ma surprise de me voir remettre par la guichetière un passeport en papier-carton d'apparence tout-à-fait traditionnelle, avec 32 pages dedans et puis c'est marre.
Je demandai donc à la guichetière : Mais heuuuu... C'est pas un passeport biométrique ? Et la demoiselle, qui avait du consacrer davantage de temps et d'efforts à l'étude de la princesse de Clèves plutôt qu'à l'approfondissement de ses connaissances à propos des documents qu'elle délivrait me répondit que Euh ben non c'est un passeport ordinaire quoi... tout en me donnant à signer un petit bordereau de remise par lequel je reconnaissais avoir pris bonne livraison d'un passeport électronique (ta mère^[1]).

Alors électronique ou pas électronique ? Electronique, certes. Puisque la partie "à conserver par devers moi" du petit bordereau de remise, dont le recto est reproduit ici, précise sans ambiguité que le passeport est doté d'une "puce sans contact", qu'on appelle également un tag RFID, objet de taille minuscule très certainement logé dans l'épaisseur de la couverture cartonnée du passeport, et franchement indécelable à première vue pour qui ne le sait pas, tant la couverture du passeport ne présente aucune anomalie d'aspect ni aucune surépaisseur visible. Elle est tout-à-fait aussi mince, sinon plus, que la couverture de mon précédent passeport pas-électronique. Un examen visuel poussé en "lumière rasante" me laisse voir de très légères irrégularités qui me donnent à penser que le bidule doit être dans la partie arrière de la couverture, encore ne puis-je en être certain.

Et il n'y a pas d'erreur, le bordereau de remise de "passeport électronique" correspond bien à la nature électronique du passeport, puisque la page 32 de celui-ci spécifie, au milieu de la liste des choses interdites : De même, il est interdit d'effectuer toute altération, modification ou intrusion dans son composant électronique.

Donc bon, la messe est dite, c'est bien un passeport "électronique", même si ça n'se voit pas. Et le fait qu'il fonctionne par radiofréquences pose l'amusante question de la possibilité éventuelle du contrôle d'identité furtif à distance, autrement dit qu'il soit possible de lire le contenu du passeport dans votre poche à l'insu de votre plein gré, en passant dans un portail fixe dans une entrée de bâtiment par exemple, ou avec des appareils discrètement transportables. Au présent ou au futur, ce n'est pas follement enthousiasmant...

Le bordereau remis avec le passeport précise au verso le contenu (supposément) enregistré dans la puce, qui correspond parfaitement à tout ce qui est inscrit de manière humainement lisible dans le passeport physique proprement dit. On y trouve donc identité, nationalité, sexe, taille, couleur des yeux, date et lieu de naissance, domicile, date et autorité de délivrance, date limite de validité, ainsi que ma photographie numérisée de manière vectorielle, pour faire plaisir aux systèmes automatiques de reconnaissance faciale, présents ou à venir.
En fait, la partie humainement lisible du passeport n'est plus d'aucune utilité, sauf pour les flics et douaniers sous-développés qui ne disposent pas encore de l'équipement nécessaire à la lecture de la puce électronique... laquelle puce est tellement minuscule (je suppose, puisqu'elle est invisible...) que la prochaine étape logique sera sans doute l'implantation directement sous la peau, non ? Brrrr...
Le papelard va jusqu'à préciser que je peux exercer le droit d'accès et de rectification prévu par la loi de 78 auprès de l'autorité de délivrance.
Et le machin est valable dix ans contrairement aux anciens modèles qui ne l'étaient que cinq.

Côté "humainement visible" du passeport, une seule page est intéressante, du moins pour le non-spécialiste et non-faussaire que je suis : la page où est inscrite mon identité et où est reproduite ma photo.

La première chose que je remarque est que la page est très mince, et que la photo que j'ai remise n'y a pas été collée ni agrafée comme par le passé, mais au contraire, comme sur les cartes d'identité actuelles, scannée et réimprimée directement sur la page. Ma photo se trouve imprimée là en deux exemplaires : En grand, et en couleur, à gauche, et également en plus petit et en noir et blanc, sous le texte de mon identité, auquel elle sert en quelque sort de filigrane, pourrait-on dire.

Au bas de cette même page se trouve, également comme sur les cartes d'identité, un bandeau de lecture optique comportant mes nom, prénoms, et un numéro à rallonge.

Enfin, la page entière est recouverte d'un film plastifié "anti-falsification", lequel film est doté de plein de caractéristiques amusantes, comme des dessins en filigrane en encres fluorescentes de plusieurs couleurs, on y voit par transparence une planète stylisée, une grande "France" avec une "Mariane" à l'intérieur en couleurs changeantes différentes, à cheval sur la photo et sur l'identité ; plein d'autres petites "France" un peu partout, un hologramme par-dessus la photo principale (en bas à gauche) avec encore par-dessus des inscriptions "République Française" en tout petits caractères métallisés ; un autre hologramme "métallique" "RF" + "France" + "Soleil" superposés en haut à droite de la page. Bref, ils se sont bien fait chier pour compliquer la vie des faussaires.
Ajoutons que tout le passeport est micro-perforé en bas de son numéro de série qui traverse toutes les pages, mais que contrairement aux vieux passeports où cela était fait à la trouilloteuse, on dirait ici que le numéro est perforé au laser : le diamètre des trous est absolument minuscule, plus gros sur les premières pages que sur les suivantes, à peine visibles (sauf en regardant "à travers") sur la "4 de couverture", et les pourtours des trous ont l'air un peu jaunis/brûlés. Ca sent son trouillotage au laser, ça, oué.

Bref, quand j'ai dit à la guichetière, après un rapide coup d'oeil : Ben dites donc, ça doit être le cauchemar des faussaires, un truc pareil, elle m'a répondu : Oh, y'en a déjà des faux en circulation...

Comme quoi, c'était pas la peine de se donner tout ce mal...

Enfin me voilà électroniqué d'importance. Sniff. A quand le tatouage sur ~~l'avant-bras~~ l'oreille ?

Notes

[1] OK, je n'ai pas pu m'empêcher. Je suis déjà sorti.

BITE : Biometric Identification Technology Ethics

Petaramesh — Fri, 27 Oct 2006 13:50:03 +0000

A lire chez JMM : Policiers et... "sans papiers"

Deux des principaux responsables policiers en charge du déploiement, en France, des papiers d’identité électroniques “sécurisés“ et biométriques… n’ont pas de carte d’identité. Et ils le revendiquent. Mieux : ils avancent qu’elle n’a rien à voir, contrairement à ce que l’on aurait pu croire, avec la lutte anti-terroriste et le climat sécuritaire ambiant, mais qu’il s’agit d’abord et avant tout de favoriser le “commerce électronique“.

Un point fort bien documenté sur la question, comme toujours chez JMM. Allez-y donc lire le reste...

Navigo dans tes données personnelles...

Petaramesh — Fri, 01 Sep 2006 13:45:24 +0000

Via Embruns, un lien vers cet article de quechoisir.org : Données privées, la sécurité déraille, dont un petit extrait suffit à faire froid dans le dos :

Un problème de protection des données sur le site Internet de la RATP a permis tout cet été à n'importe qui d'accéder à des centaines de formulaires pré-remplis. La régie était au courant, mais n'a rien fait.

Des centaines de formulaires d'adhésion au service Navigo de la RATP avec, sur chacun d'entre eux, la photo du demandeur, ses nom, prénom, adresse postale, courriel et numéro de téléphone. Voilà ce à quoi pouvaient avoir accès les internautes il y a encore quelques jours sur le site Internet de la RATP (voir exemple ci-dessous). Pour cela, pas besoin d'être un petit génie de l'informatique. Un peu d'imagination et quelques clics suffisaient pour avoir accès à ces données privées.

Lire l'article entier de quechoisir.org...

On rappellera pour mémoire que le système "Navigo" de la RATP s'est vu attribuer un Prix Orwell 2002 lors des Big Brother Awards France. Voici les détails motivant la nomination de Navigo pour ce ''Prix Orwell'.

On rappellera aussi que les lyonnais ne sont pas mieux lotis, avec leur équivalent local, la carte Tecely, qui ne permet pas seulement de prendre le métro et louer des vélos, mais qui a elle aussi été nominée aux BBA pour des raisons similaires.

Ce qui est marrant, c'est que les râleurs "habituels" se font toujours, de prime abord, traiter de joyeux paranoïaques, et qu'ensuite après coup plus personne ne moufte quand on découvre des autobus, si j'ose dire...

Il se pourrait d'ailleurs que le site web de la RATP ne soit pas le seul dont l'application ait été testée avec les pieds, comme en témoignent ces deux copies d'écran de deux beaux crashes de l'applicatif web de Velo'v, dont un très bel "Overflow !".^[1]

Pour celui-ci, obtenu involontairement, trop facile, il suffisait, comme identifiant de compte, de taper son n° de carte TCL (12 chiffres) au lieu de son n° de carte Velo'v (6 chiffres). Et boum !

Pour celui-là, quand on consulte son compte, on a deux boîtes à liste permettant de choisir une date Mois / Année, dont les valeurs par défaut sont "--". Il suffit de valider sans choisir de date, en laissant bourrinement les tirets et badaboum, l'applicatif se gaufre.^[2]

Des plantages aussi grotesques prouvent que ça, c'est de l'applicatif qu'il a été testé avant d'être mis sur le vaste Internet à la disposition du public. Ca se voit ! (Mais la S.S.I.I. n'a pas du se priver pour facturer...)

Quant à moi, je n'ai même pas facturé le test et le rapport du problème au service technique. Je suis trop con, tout de même, hein?

(Ah, sinon, la saisie de l'identifiant / mot de passe se fait également sur une page ordinaire, non chiffrée SSL. Sécurité, quand tu nous tiens...)

Maintenant, petit test. La RATP ne corrige pas quand on leur dit. Velo'v fera-t-il mieux ?

Addendum 14:44 : En réponse au premier commentaire d'Yves, en effet, ça paraît nécessaire :

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(Journal Officiel du 7 janvier 1978 )

Article 29

Toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

Puis Code Pénal, article 226-17 :

Le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d'emprisonnement et de 2 000 000 F d'amende.

Je me demande si ces belles pétitions de principe ont jamais donné lieu à la moindre condamnation, en pratique... Quelqu'un sait ?

Notes

[1] Et que nul ne vienne me chercher noise en justice au motif scabreux que je publierais des vulnérabilités pour permettre un crackage ou quoi que ce soit. J'ai transmis ces deux copies d'écran au support technique de Velo'v le jour même où je les ai prises (août 2006), avec description précise de ce qui permettait de provoquer le plantage. Maintenant, à eux de corriger leurs bugs, hé oh, je ne suis pas Mère Thérésa, non plus ! D'ailleurs, je ne prétends en rien que ces plantages démontrent qu'il soit possible d'atteindre via le site web des données personnelles d'abonnés Velo'v. Mais une application que l'on plante aussi facilement n'inspire guère confiance en termes de sécurité, hmmmm...?

[2] Si jamais je chope un programmeur que j'ai formé moi-même à livrer un programme dans cet état, je lui coupe les c... et je les lui fait bouffer. Juste pour prévenir certains, au cas où, bien qu'un tel cas de figure soit purement théorique... ;-)

Vous reprendrez bien un petit prélèvement A.D.N. ?

Petaramesh — Thu, 22 Jun 2006 11:35:36 +0000

Cela fait deux soirs successifs que les journaux télévisés nous vantent la merveilleuse histoire d'un violeur et meurtrier (présumé, n'oublions pas le "présumé") qui vient d'être arrêté près de vingt ans après les faits, confondu par un prélèvement A.D.N. à retardement...

La belle et édifiante histoire que nous prêchent les ~~curés~~ journalistes télévisuels en chaire est la suivante :

Il y a près de vingt ans, une jeune fille a été violée et assassinée. Des échantillons de l'A.D.N. présumé du criminel furent récoltés sur la scène du crime. Le criminel ne fut pas retrouvé à l'époque, mais la famille de la victime ne renonça pas, et "relança" régulièrement l'instruction (pour éviter la prescription).^[1]
Un homme fut récemment arrêté et placé en garde à vue à la suite de faits banals et de peu d'importance (une rixe), et un prélèvement d'A.D.N. lui fut policièrement imposé à cette occasion.^[2]
Le fichier informatisé FNAEG fit le reste et mit en rapport le nouveau prélèvement A.D.N. avec l'ancienne affaire. Le nom du criminel présumé sortit du chapeau informatique, et il fut arrêté.

Certes, on peut se féliciter avec la famille de la victime que le violeur et meurtrier présumé de leur fille ait enfin été arrêté après tant d'années, et que cette famille puisse espérer voir un jour la fin judiciaire de cette affaire, et ne reste pas dans une incertitude et dans une interrogation éternelles. C'est certainement une bonne chose pour cette famille, et c'est certainement un beau succès policier.

Si l'on croit et adhère aux principes et au fonctionnement même de notre système judiciaire et pénitenciaire^[3], alors on pourra même se féliciter à l'idée que le criminel présumé sera prochainement jugé et, le cas échéant, condamné, et incarcéré.

Toutefois, la manière dont ce fait divers nous est aujourd'hui présenté dans les journaux télévisés sonne comme une véritable propagande, une véritable campagne de publicité : Le fichage A.D.N., ça permet d'arrêter les criminels, c'est beau, c'est bon, mangez-en !

Cela m'inspire une première réflexion : Encore heureux que cela permette d'arrêter des criminels ! Sinon à quoi cela servirait-il donc ? Il n'est donc pas étonnant que l'on puisse trouver, et l'on en trouvera d'autres à l'avenir, un certain nombre d'exemples de cas pour lesquels cela aura admirablement fonctionné, et permis l'arrestation d'un criminel. Bien.

Mais à quel coût pour la société ? A quel coût, non pas en termes financiers, mais en termes de libertés ?

Quand le fichier A.D.N. FNAEG fut initialement créé, il ne devait contenir que des prélèvements effectués sur des personnes condamnées pour des crimes sexuels envers les enfants.^[4]
On voit que désormais, vous pouvez être inscrit au fichier A.D.N. à la suite d'une arrestation pour une rixe ou un tapage nocturne.^[5]
Sachez par ailleurs que le refus de vous soumettre à un prélèvement génétique constitue désormais un délit puni d'un an d'emprisonnement et 15.000 Euros d'amende^[6].

Hier soir à Soir 3, Marie Drucker interrogeait le dirigeant du labo de police scientifique de la Gendarmerie Nationale. Ce monsieur, d'une part, affirmait que les comparaisons A.D.N. offraient un taux de certitude de 99,9%, et se réjouissait ensuite de voir croître sans cesse le nombre de prélèvements A.D.N. présents dans notre fichier national FNAEG, citant en exemple l'équivalent britannique de ce fichier, dans lequel figureraient plus de 2 millions d'échantillons d'A.D.N. de citoyens britanniques, montrant cela comme l'exemple, la voie à suivre pour notre pays.
Pour des raisons d'efficacité sans doute.

Commençons par considérer que si notre fichier FNAEG comportait 2 millions d'entrées, cela voudrait dire qu'un citoyen français sur 30 serait fiché, et en quelque sorte considéré comme "suspect favori permanent" du fait de ce fichage. Est-ce acceptable ? Dans le cas du Royaume-Uni, doit on considérer qu'un anglais sur 30 est un criminel potentiel ?^[7] On devrait dans ce cas vite reboucher le tunnel sous la Manche... Si l'on ne doit pas considérer qu'un anglais sur 30 est un criminel potentiel, doit-on alors considérer qu'il est normal, souhaitable, de fichier les empreintes génétiques d'innocents ?
Considérons que si notre fichier comportait 2 millions d'entrées, les mêmes raisons d'efficacité policière conduiraient à souhaiter qu'il en contînt 10 millions, et que le crime antisocial de non-paiement de stationnement à l'horodateur devrait bientôt suffire à un fichage en règle.

Fichage que l'on généralisera ensuite à l'ensemble de la société, dès la maternité, cela sera plus simple. Voilà tout simplement le chemin que l'on prend, la voie sur laquelle nous sommes bien engagés, dans ce domaine comme dans d'autres : biométrie, caméras de surveillance, systèmes de localisation, écoutes informatiques (Echelon, "Frenchelon"), fichier STIC, notre bel et ubiquitaire ami Big Brother.

Alors, oui, le fichier FNAEG permettra certainement l'arrestation d'un certain nombre de criminels. Combien au fait ? Combien qui n'auraient pas pu être confondus par d'autres moyens d'enquête, par d'autres indices ou d'autres preuves ? Cela, nul ne le sait, le nombre ne doit pas être énorme. Mais cela n'empêche que l'on vous montera en épingle au journal télévisé le cas typique, le cas d'école où l'empreinte génétique aura joué un rôle crucial.

Mais à quel prix ? Le jeu en vaut-il la chandelle ? L'arrestation d'un ou deux criminels de plus vaut-elle le fichage A.D.N. de centaines de milliers d'habitants de ce pays, de millions demain^[8] ^[9] ^[10], de tous, peut-être, un jour ?
Sommes-nous réellement, selon l'expression de Benjamin Franklin, prêts à échanger nos libertés fondamentales contre un peu plus de sécurité, fût cette dernière illusoire ?

Ces questions, on pourrait penser qu'il incomberait aux journalistes de se les poser, de les poser pour nous. Mais non, dans les grands médias, radios et télévision, ils ne font que dérouler la propagande gouvernementale, ils se contentent de nous vendre le bel outil, le beau fichier du Miniam^[11], ces aimables lecteurs de communiqués de presse du Miniver^[12]

Une fois donc que des centaines de milliers, des millions de nos concitoyens seront fichés au FNAEG, quelles seront les conséquences ? Quel est le risque ?

Même ceux que la seule idée d'un fichage A.D.N. aussi large de la population ne choquerait pas en soi (Eh oui, on s'habitue à tout...) devraient bien réfléchir aux éléments suivants:

Suspects privilégiés permanents

Le fichage au FNAEG d'une partie notable de la population constituera celle-ci en corps de suspects privilégiés permanents.

Ces personnes, non condamnées, innocentes aux yeux de la justice dans leur immense majorité, verront cependant leur profil génétique automatiquement comparé (par ordinateur) avec les prélévements A.D.N. opérés sur les scènes de tous crimes et délits, rendant ces personnes infiniment plus susceptibles que d'autres d'être victimes d'une éventuelle erreur du système, car nul système n'est infaillible.

La scission de notre société en deux groupes, celui des innocents-innocents et celui des innocents-suspects est-elle tolérable dans une démocratie ? Dans le pays qui prétend être "celui des Droits de l'Homme'' ?

Boulevard de l'Erreur Judiciaire

Quand on voit le responsable du laboratoire scientifique de la Gendarmerie affirmer fièrement à Soir 3 que la comparaison d'empreintes génétiques est fiable à 99,9%, on imagine aisément un tel expert, ou l'un de ses avatars, plastronner avec le même argument devant un jury de cour d'assises : Fiable à 99,9%, mesdames et messieurs les jurés !
On imagine aisément l'impact de tels propos sur des jurés, les effets de manches du procureur. l'A.D.N. ! La Reine des Preuves ! Le coupable est certain ! Raccourcissez-le, Monsieur Deibler ! Ah non, c'est vrai, en France, on ne guillotine plus. Enfin, pour le moment.

On imaginera sans peine que la présence d'une telle "Reine des Preuves" dans un dossier contribuera fortement à la fermeture de celui-ci, à l'arrêt des investigations "puisqu'on tient le coupable", avec l'aide de la tendance humaine naturelle à la facilité, et de la surcharge de travail des juges d'instruction^[13].

Mais voilà, il suffira peut-être d'être passé deux heures avant un crime, par le plus grand hasard, sur le lieu où se déroulera celui-ci, et d'y avoir laissé un mégot imprégné de notre salive, pour que celui-ci ne devienne "le mégot de l'assassin", et nous, ah ben merde... l'assassin, tiens. Avec la Reine des Preuves, puisqu'il y a notre ADN dessus.
Si nous sommes dans le fichier, ce n'est vraiment pas notre jour.

Ce qui ressemble de prime abord à une certitude scientifique ou technologique peut n'être que du vent du fait d'erreurs humaines dans une procédure, du fait de déductions hâtives, certitudes mal étayées et autres "Omar m'a tuer"...
Du vent... Mais revêtu du poids de la certitude scientifique.
La naissance de la "preuve ADN" ouvre la voie à la "falsification de preuve ADN", voire au dépôt volontaire d'un cheveu, d'un mégot... sur la scène d'un crime pour brouiller les pistes ou faire incriminer tel ou tel.

La justice aura-t-elle toujours la sagesse d'en tenir compte, ou sera-t-elle parfois tentée par la simplicité et la rapidité ? Se laissera-t-elle convaincre par la "Reine des Preuves" pour peu que le suspect soit indigent ou défendu par un avocat débutant de l'assistance juridictionnelle ?
Ceux qui se poseraient la question pourront lire avec fruit l'ouvrage de Me Jacques Vergès "Malheur aux pauvres", ou pourront tout simplement relire La Fontaine: selon que vous serez puissant ou misérable, les jugements de Cour vous rendront blanc ou noir^[14]...

L'arrivée massive de la surveillance technologique, de la preuve technologique, c'est aussi l'arrivée à prévoir de quantité d'erreurs judiciaires imputables sinon à la technologie elle-même, du moins à l'excès de confiance en cette technologie, ou à sa mauvaise utilisation. Votre téléphone GSM aura cafté que vous étiez près du mauvais endroit, au mauvais moment ? Une caméra de surveillance, votre badge informatisé de transports en commun, ou l'un de vos cheveux aura dit la même chose ? Pas de chance mon ami, ce n'était pas votre jour.

Mais cet aspect de ces questions n'intéresse guère le peuple, bien sûr, et encore moins les journalistes. C'est sans doute pour cela qu'on ne vous en parle pas.

Pour qui sont ces fichiers qui sifflent sur nos têtes ?

Addendum 18:45 :

1/ Je recopie ci-dessous une partie de ce commentaire d'Yves pour lui donner davantage de visibilité, car il point sur des articles de grand intérêt :

De tels problèmes de faux positifs et d'analyse ADN trompeuses sont déjà apparus, comme le relate Jean-Marc Manach dans ses trois articles sur la question: dans Le Monde, sur InternetActu et sur son blog.

2/ A la suite de la rédaction de ce billet, je découvre la page fichiers et fichage du site de la LDH Toulon, page qui regroupe de nombreux articles connexes fort intéressants, dont cet article récent que je vous conseille tout particulièrement :

prenez l’avion : Big Brother veille sur vous

...A méditer avant de jeter n'importe où des talons de billets d'avions, cartes d'accès à bord, etc... Ou de manière plus générale, et de plus en plus, n'importe quel papelard vous concernant avec des numéros de ceci-cela et des code-barres de machinchoses...

On en finirait bien par croire que seuls les paranoïaques survivent...

Notes

[1] Le mécanisme de la prescription est très bizarre et surprenant pour les non-juristes : elle ne dépend pas de l'ancienneté des faits, mais de l'ancienneté du dernier acte d'instruction concernant les faits. Etonnant, non ? (© Desproges).

[2] Notez donc au passage que désormais, dans notre pays, un prélèvement et un fichage A.D.N. peuvent donc vous être imposés si vous avez affaire avec la police pour les faits les plus insignifiants, et sans que vous ne soyiez a priori soupçonné d'un quelconque crime, ni entendu dans le cadre d'une affaire criminelle...

[3] Ce qui est un tout autre débat...

[4] Projet de loi initial d'Alain Marsaud, député RPR, en 1997, relatif "à la constitution d'un fichier national des empreintes génétiques destiné à l'identification des auteurs de crimes et délits sexuels commis sur des enfants mineurs de 15 ans". Le fichier fut ensuite effectivement créé par la "loi sur la prévention et la répression des infractions sexuelles" de 1998 (loi n° 98-468), et sa mise en place, prévue pour 1999, ne fut effective qu'en 2001.

[5] Les possibilités d'enregistrement dans le FNAEG étaient à l'origine limitées : seules les empreintes génétiques des personnes condamnées pour une infraction à caractère sexuel ou pour certaines atteintes aux mineurs pouvaient être conservées. Elles ont été élargies à plusieurs reprises : par la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne, par la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure et par la loi n° 2004-204 du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité. Ces textes ont également facilité les modalités d'alimentation et de consultation du FNAEG. - Sénat - Étude de législation comparée n° 157 - janvier 2006 - L'utilisation des empreintes génétiques dans la procédure pénale

[6] Loi "LSI" dite "sur la sécurité intérieure" n° 2003-239 du 18 mars 2003. Le refus de prélèvement de la part d'un condamné est quant à lui puni du double.

[7] Ca fait combien de criminels dans chaque immeuble ?

[8] Au 1er octobre 2003, le FNAEG, géré par la sous-direction de la police technique et scientifique à Ecully, près de Lyon, comprenait environ 8 000 profils génétiques de personnes condamnées et 3 200 de personnes mises en cause. A terme, il devrait pouvoir comporter entre 600 000 et 700 000 profils. Ils peuvent être effacés sur instruction du procureur de la République agissant soit d'office, soit à la demande de l'intéressé, lorsque leur conservation n'apparaîtra plus nécessaire au regard de la finalité du fichier. - (Source) - On peut supposer que les procureurs de la République n'auront que ça à foutre, bien sûr, de veiller à l'effacement des profils de personnes lorsque leur conservation n'apparaîtra plus nécessaire au regard de la finalité du fichier, surtout quand le fichier comportera des millions de profils. Sûr qu'ils n'auront que ça à foutre, les procureurs, de juger un par un de l'opportunité de leur effacement. Ce qui voudra donc dire, en pratique, conservation sinon à perpète, du moins pour la durée maximum fixée par la loi (40 ans pour un condamné, 25 ans pour un présumé innocent...).

[9] La liste des infractions justifiant un enregistrement au FNAEG a été allongée par les réformes successives, de sorte qu'elle inclut désormais la plupart des infractions punies d'une peine d'emprisonnement [...]. Au 1er juin 2005, les empreintes génétiques de quelque 80 000 personnes étaient enregistrées. - (Source Sénat)

[10] Quant à la durée de conservation des informations enregistrées dans le FNAEG, elle ne peut en principe excéder quarante ans lorsque les données se rapportent à des condamnés et vingt-cinq ans dans les autres cas. - (Source Sénat)

[11] Miniam : Ministère de l'Amour, George Orwell, 1984.

[12] Miniver : Ministère de la Vérité, Orwell, encore et toujours... Au fait, j'ai toujours trouvé intéressant que le Ministère des Phynances soit internettiquement accessible en minefi.gouv.fr. Trop belle coïncidence...

[13] Et mieux vaut ne pas habiter du côté d'Outreau... Mais ce n'est pas bien grave. Avez-vous lu Maître Eolas ?

[14] Les Animaux malades de la peste, VII, 1

Biométrie de Nains

Petaramesh — Wed, 07 Jun 2006 16:27:58 +0000

Acceptation par la population :

La sécurité est très souvent vécue dans nos sociétés démocratiques comme une atteinte aux libertés individuelles. Il faut donc faire accepter par la population les technologies utilisées et parmi celles-ci la biométrie, la vidéosurveillance et les contrôles.
Plusieurs méthodes devront être développées par les pouvoirs publics et les industriels pour faire accepter la biométrie. Elles devront être accompagnées d'un effort de convivialité par une reconnaissance de la personne et par l'apport de fonctionnalités attrayantes :

- Éducation dès l'école maternelle, les enfants utilisent cette technologie pour rentrer dans l'école, en sortir, déjeuner à la cantine, et les parents ou leurs représentants s'identifieront pour aller chercher les enfants.
- Introduction dans des biens de consommation, de confort ou des jeux : téléphone portable, ordinateur, voiture, domotique, jeux vidéo

- Développer les services « cardless » à la banque, au supermarché, dans les transports, pour l'accès Internet...

La même approche ne peut pas être prise pour faire accepter les technologies de surveillance et de contrôle, il faudra probablement recourir à la persuasion et à la réglementation en démontrant l'apport de ces technologies à la sérénité des populations et en minimisant la gène occasionnée. Là encore, l'électronique et l'informatique peuvent contribuer largement à cette tâche.

Livre bleu du GIXEL (version initiale avant son autocensure, mise de parties en gras par moi-même.)

"Faire accepter" l'usage généralisé de la biométrie ? Y familiariser nos Nains dès le berceau, enfin presque ?

Ils en rêvaient ? Lexibook l'a fait !

Nous nous promenions en début d'après-midi dans l'un de ces temples de la consommation de Nains qu'est un magasin Toys R'Us, cherchant une idée de cadeau pour l'anniversaire à venir (4 ans) de notre Srî Minîshiva.

La geekitude du papa, fatalement, poussa celui-ci à jeter un coup d'oeil du côté des pseudo-petits-zordinateurs-jouets pour Nains, qui sont en fait des jeux éducatifs (alphabet, lire, écrire, compter, puzzles, etc.)^[1].

J'en regarde un, deux, trois, quatre modèles, et me voilà à regarder le "Magic Computer Oui-Oui" de Lexibook^[2], réplique de petit "ordinateur portable" pour enfants, objet dont on s'attend à une parfaite innocence, vous pensez bien, "Oui-oui", "Bourriquet", etc. quand je remarque, en dessous du coin inférieur gauche de son clavier, une imitation de lecteur d'empreintes digitales, comportant un auto-collant rouge représentant en jaune le dessin d'une empreinte digitale, donc.

Je montre aussitôt l'objet à Mâ Anandaramesh : T'as vu, maintenant, ils vont y habituer nos Nains dès le berceau, à la prise d'empreintes et à la biométrie ! Même sur les jouets ils en mettent ! C'est du faux, mais tout de même, sont gonflés !!!

Je regarde donc sur la boîte en carton de l'ordinateur-jouet en question, et je remarque aussitôt le texte suivant : Pose ton doigt sur l'empreinte pour que l'ordinateur se mette en marche^[3]

- Non, c'est pas vrai ! Me fais-je in petto, ce faux lecteur n'a quand même pas une vraie fonction ?

Je reprends l'appareil, pose mon doigt sur le bidule... Rien. Oui, l'appareil est éteint.
Je repère en haut un truc qui ressemble davantage à un bouton "Power", j'appuie dessus, le bidule se met en route et commence à faire de la musique.

J'appuie alors mon doigt sur le pseudo-lecteur d'empreinte^[4]. L'appareil répond :
BIIP ! BIIP ! EMPREINTE VÉRIFIÉE. MERCI. Tape les deux premières lettres de ton nom...

Ah ben logique, vérification d'empreinte, puis login maintenant. Ah ouais que c'est réaliste...

Avait-ce besoin d'être réaliste à ce point ?

Etait-il vraiment nécessaire qu'un jouet apprenne à nos enfants, dès l'âge de trois ans, à se faire prendre machinalement l'empreinte digitale pour jouer ?
Est-il souhaitable qu'un jeu éducatif réprésentant un ordinateur, enseigne donc à nos enfants que, dans la suite de leur existence, il sera courant et normal qu'on leur demande leur empreinte digitale pour l'utilisation de tout ordinateur ou appareil similaire ?

A quoi pensent les fabricants de jouets quand ils conçoivent et commercialisent un jouet pareil ? Uniquement à son aspect réaliste, moderne, ludique ? Pensent-ils, puisqu'ils conçoivent des jouets prétendument éducatifs que tout ce qu'ils mettent dans ceux-ci participe de l'éducation et de l'habituation de nos enfants à des procédures et à des mesures que ceux-ci trouveront ensuite naturellement naturelles, les ayant "toujours connues" dès la petite enfance, dès le jouet qui leur apprend ce que sera le monde des adultes qu'ils sont appelés à devenir ?

Je suis sorti du magasin sans ordinateur Oui-Oui tellement rigolo, est-il besoin de le préciser ?
Tellement rigolo qu'il ne m'a pas fait rire.

A lire ailleurs :

"Les papiers biométriques sont falsifiables (à quand la puce dans le cou ?)" par Jean-Marc Manach, chez rewriting.net
"Biométrie : la CNIL finit d'enterrer les principes de la loi Informatique et Liberté" par Yves, chez TICEblog

A lire ici : "Tronche numérisable standard"

Notes

[1] Je n'ai jamais trouvé ce genre de trucs bien géniaux, mais là n'est pas le débat.

[2] Lexibook "Magic-Computer Oui-Oui", numéro de modèle JC40FRBX 04/05, code-barre GENCOD : 3-380740-030688.

[3] Notons qu'étrangement, la page web de ce produit sur le site de Lexibook ne mentionne nullement cette "fonctionnalité amusante" dans le descriptif du produit... Elle indique par contre L'enfant apprend à écrire l'heure numérologique.. L'heure "numérologique" ? Là, pour le coup, ils auront réussi à me faire (un peu) rire.

[4] Qui s'avère donc être une véritable touche "à membrane", à défaut d'un lecteur d'empreintes.

Gratt'moi la puce que j'ai dans l'dos

Petaramesh — Thu, 01 Jun 2006 16:06:59 +0000

On savait déjà la sécurité des systèmes biométriques plutôt sujette à caution, on savait déjà à quel point réaliser des papiers "sécurisés" nouvelles normes pouvait être franchement casse-couilles, on savait déjà depuis belle lurette à quel point tout cela sentait fort mauvais, et voilà que Jean-Marc Manach nous apprend charitablement, il y a quelque jours, que "Les papiers biométriques sont falsifiables" et suggère^[1] "A quand la puce dans le cou ?"

Eh bien rassurez-vous braves gens, on y viendra, on y viendra ! Ces papiers si honteusement falsifiables ne sont, heureusement, que provisoires ! De nouvelles solutions vachement plus mieux sont à l'étude !

Voir cet article chez Futura-Sciences : Des puces RFID bientôt obligatoires pour nos animaux de compagnie ? dont voici un bref extrait :

En France, la moitié des chats et chiens nés ces dernières années sont identifiés au moyen de puces RFID sous-cutanées. Les législations internationales tendent d'ailleurs de plus en plus à rendre obligatoire une telle identification électronique des animaux.
Le developpement des RFID animaliers va d'ailleurs bien au-delà de ces impératifs sanitaires, et sécuritaires : il est en effet question de s'en servir pour réduire la charge de travail des éleveurs en automatisant le suivi individuel des animaux pour le tri, l'alimentation ou encore la sélection des femelles en chaleur.
En attendant un hypothétique développement du marché humain des puces RFID sous-cutanées, la société Digital Angel a surtout “pucé“, ces vingt dernières années, quelques 30 millions d'animaux.

On sera heureux de constater que des tests vachement plus sérieux et à vachement plus large échelle que pour l'amiante ou les téléphones cellulaires auront été faits, tout de même, pour en prouver l'acceptabilité d'un point de vue biologique : Notre petit Nicolas a déjà 30 millions d'amis !

Pour l'acceptation d'un l'usage humain, c'est-à-dire le franchissement de la barrière psychologique, nos contemporains ont déjà prouvé qu'il était de plus en plus facile de leur faire accepter n'importe quoi sans qu'ils ne lèvent un cil (Bèèèèèeeeèè !!), et il suffira certainement d'un ou deux attentats bien sanglants et bien opportuns pour leur faire avaler que de telles puces dans le culou sont ab-so-lu-ment indispendables à la sé-cu-ri-té et à la lutte contre le terrorisme. Si, si. Et puis, ça fera un chouette marché, toutes ces implantations à effectuer, toutes ces puces à programmer et à vendre, tous ces appareils de contrôle d'identité en-douce de-dos-à-5-mètres, miam ! C'est le GIXEL qui sera content, ce jour-là...

Par la suite, ça pourra même être fait ~~avec les premières vaccinations obligatoires~~ avant même la sortie de la ~~maternité~~ salle d'accouchement. Ca sera plus simple et plus sûr. Et ça évitera même les vols d'enfants à la maternité. Super.

...Pour qu'on puisse tous faire la ronde en chantant Sarko-ho ! J't'ai dans la peau-ho !

Mais non hein, c'est pour rire, c'est juste de la science-fiction qui n'arrivera jamais, hein... Hmmm ? Vous dites ?

...N'oubliez pas de venir relire cet article dans dix ans.

Notes

[1] Ironiquement, bien sûr, et avec l'Umour qui le caractérise ;-)

Tronche numérisable standard

Petaramesh — Wed, 17 May 2006 12:52:28 +0000

Avez-vous eu récemment la joie de vous faire refaire des papiers d'identité ?

Saloperie d'enculé de bâtard de merde de technocrate sadique de mes couilles !

Bon, notre Nain, Srî Minîshiva, n'avait point encore de carte d'identité, alors on s'est dit comme ça qu'on allait lui en faire faire une, des fois qu'on serait tentés cet été de franchir une quelconque frontière européenne...

Alors Mâ Anandaramesh appelle la mairie de notre arrondissement^[1] pour demander quoi n'y faut comme pièces.
Alors y faut...

Copie d'acte de naissance du Nain à aller chercher à la mairie du lieu de naissance
Livret de famille avec sa photocopie intégrale
Justificatif de domicile avec sa photocopie (comment font les sans-domicile ?)
Pièce d'identité du parent demandeur avec sa photocopie
Photo d'identité du Nain. Et on nous précise bien Allez la faire chez le photographe à côté de la mairie, passke maintenant y'a un gabarit à respecter et y connaîssent la musique y z'ont l'habitude sinon ça passera pas...

Je me dis Ouais tu parleuh, le photographe à côté de la mairie qu'a le gabarit, c'est comme le guide touristique qui t'emmène direct à la boutique qu'a les plus beaux souvenirs du souk, si tu vois c'que j'veux dire...
Mais bon, veux pas être emmerdé, on ira chez le meilleur photographe du souk, donc. Pour une fois je ne jouerai pas avec mon APN, The Gimp et mon imprimante.

Entre-temps, Mâ Anandaramesh a fait toutes les photocopies requises.

Hier je vais à la mairie d'arrondissement ayant enregistré la naissance de mon Nain. Vingt minutes de bouchons, parking souterrain, 6ème sous-sol, mairie Lyon 3e...

- Mais Monsieur, pourquoi vous être déplacé ici ? Ils pouvaient vous la sortir directement à la Mairie de Lyon 7, la copie d'acte de naissance ! On est tous en réseau informatique maintenant, c'était pas la peine de venir...
- Bon ben maintenant chuis là, hein... Donnez toujours la copie...

1 Euro 50 de parking du Palais de Justice, bouchons pour rentrer, 1 heure de perdue. A l'aise.

Ce matin, j'emmène mon Nain chez le-photographe-le-meilleur-du-souk-juste-à-côté-de-la-mairie Lyon 7, donc.

Petite boutique. Pas mal de monde.
La photographe est en train de s'arracher les cheveux avec un Nain Black genre deux ans 1/2 qui ne tient pas en place sur le tabouret, agité de la danse de Saint-Guy qu'il est... La photographe n'arrive à rien, y bouge tout le temp, il a des vers. Sa mère n'arrive pas à le faire tenir en place.

Pendant ce temps-là, je lie conversation avec la jolie blonde à côté de moi qui vient refaire d'autres photos parce qu'on lui a refusé ses photos (venant de chez la photographe) au motif que le menton n'était pas exactement à la bonne distance du cadre prévue dans le gabarit et que il fallait que ça soit exactement comme sur le gabarit.
Je regarde les photos que me montre la belle. Elles sont nickel ces photos. Y sont fous ou quoi ?

Au bout de 20 minutes bon chrono, la photographe devenue dingue à ne pas arriver à fixer comme y faut l'autre Nain finit par donner 3 planches de photos à la mère en lui disant qu'aucune n'ira, qu'elles seront toutes refusées, mais qu'elle en a marre et qu'elle jette l'éponge et que l'autre aille voir ailleurs mais ne revienne surtout jamais avec son Nain gigoteur.

Au tour de la jolie blonde. Vite expédiée, elle sait rester immobile.

Au tour de mon Minîshiva. Le Nain est super gentil ce matin, super calme. C'est miraculeux. Il fait tout ce qu'il peut pour ne pas bouger et se mettre comme lui demande la photographe. Vraiment, il fait de gros efforts, mais... Il a 3 ans 1/2.
La photographe fait la prise, imprime, regarde avec le gabarit pour vérifier si ta tronche-standard est bien pile-poil au milieu du rectangle-standard à la distance-standard des bords et avec l'orientation bien standard, que ça va sûrement aider à la numérisation de ta face dans un système biométrique de merde-qui-te-fiche, ça.
Bon alors c'est presque bon, mais le visage de Minîshiva est à une fraction de millimètre plus à gauche qu'à droite, et incliné peut-être de 3 degrés sur un côté. Rien quoi. Rien mais pas tout-à-fait standard.
La photographe me donne les clichés en disant essayez comme ça, mais ils vont peut-être vous les refuser.

On va à la mairie.

Un rasta plutôt sympa s'occupe de nous. Il met son ch'tit gabarit à lui sur la photo, et me dit que non, ça le fait pas, mon nain n'est pas à la distance réglementaire des deux côtés du cadre et il est incliné un petit peu aussi...
Je commence à râler en demandant au gars si lui, il a déjà pris une photo d'un gosse de 3 ans, hmmm ?
Une autre bonne-femme de la mairie se joint à la conversation, et m'indique que de toute façon, s'il accepte la photo, le dossier sera refusé en préfecture et qu'il faudra tout recommencer.
La bonne femme me précise que la préfecture leur a renvoyé plus de 60 dossiers dans leur face le mois dernier, et que pas mal de gens ont du annuler leurs vacances parce qu'ils n'avaient plus le temps de tout recommencer pour avoir leurs papiers...

Je commence à râler haut et fort (en précisant bien que je ne vise aucun des présents) contre le putain d'enculé de sa race maudite de technocrate de merde qui a dessiné ce putain de gabarit à la con et qui n'a jamais vu et encore moins photographié un enfant de sa chienne de vie de putain de connard de couloirs de ministère. Ca soulage, mais ce n'est pas très utile.

Le rasta me demande, au passage, de lui montrer les pièces que j'ai apportées.
Je les lui montre, en lui disant que j'ai apporté ce qu'on m'a demandé d'apporter.

Ah oui mais... :

Mon livret de famille, il n'en veut pas. Ca sert à rien le livret de famille. Même si on m'a demandé au téléphone de l'apporter avec sa photocopie intégrale ? Ah ben on m'a mal renseigné. Ben tiens.
Par contre, il faut une copie d'acte de naissance du parent demandeur ! Et je ne l'ai pas. Mais pourquoi foutre ? Parce que c'est comme ça. On ne me l'a pas dit au téléphone ? On m'a mal renseigné. Et faut que je la demande à la mairie de ma naissance. Ben tiens. Pas la peine que je revienne aujourd'hui, donc, le dossier n'est pas complet, je peux me l'arrondir.

Je retourne chez la photographe avec mon Nain.

On attend encore un moment, parce qu'elle est encore en train de refaire d'autres gueules pas assez symétriques ou pas assez verticales avec des mentons trop hauts ou des nez trop bas pour le gabarit de standardisation humaine obligatoire.

Ca finit par être le tour de mon Minîshiva. Après un quart d'heure d'efforts, elle finit par me tirer deux nouvelles planches de photos. Il a encore un peu la tête de travers.
Bah, on verra ça le jour où le putain de dossier sera complet, n'est-ce pas...

La photographe me dit que de toute manière, elle va arrêter de faire les enfants. Et que pas mal de ses collègues n'en veulent déjà plus. Ils y passent leurs journées, à tenter de standardiser des Nains bougeurs, ils y perdent leur temps et ça leur rapporte que tchi.

Et moi je suis là à me demander pendant combien de temps le troupeau de veaux bêlants que nous sommes va accepter de se laisser standardiser, numériser, gabariter jusqu'au fin fond du trou du cul et de la biométrisation totale.
Gravez-nous tout de suite notre code-barre sur l'avant-bras, et implantez-nous cette puce sous la peau, qu'on en finisse !

Putains d'enculés de salauds de trous du cul de technocrates vichystes, suppôts bien présents du totalitarisme futur qui nous bouffera tous un jour pas si lointain !

Le technocrate dessine son gabarit de malade de la normalisation bloqué au stade anal.

Ensuite, l'administration se charge du reste, chaque maillon de la chaîne, de la mairie à la préfecture, pour vérifier bien docilement et bien soigneusement que ta p'tite gueule d'ange est bien droite et bien centrée dans son gabarit.
Pour que ça rentre tout bien dans le nordinateur.

Tas de machines sans âmes.

On va tolérer ça combien de temps bordel ?

Notes

[1] La mère rit de son arrondissement, pas vrai Anne-Chiboum ? ;-)

Peine maximale pour la vie privée (IRIS)

Petaramesh — Mon, 27 Mar 2006 00:18:36 +0000

A lire chez IRIS : Décret LSQ - Peine maximale pour la vie privée

Bref extrait :

Le décret d'application de la loi sur la sécurité quotidienne (LSQ), relatif à la conservation des données de communication, vient de paraître au J.O. du 26 mars 2006. Le gouvernement a choisi la durée maximale de rétention des données permise par la loi.
[...]
Ce décret représente l'aboutissement d'une stratégie de contrôle toujours plus large de la population, dont la lutte contre le terrorisme ne constitue qu'un alibi, comme en témoigne la publication de ce décret d'application 4 ans et 4 mois après la promulgation d'une loi qui visait à lutter contre le terrorisme. La rétention des données de communication révèle l'intimité des personnes, cartographie leurs activités, et identifie les réseaux de relations tissés entre elles. Avec l'utilisation de la biométrie, de la vidéosurveillance et du fichage généralisé, elle devient partie intégrante des politiques de sécurité en France et en Europe.

Lire l'article chez Iris...

Souriez, vous êtes Googlé...

Petaramesh — Tue, 07 Mar 2006 18:36:25 +0000

...Ou aurais-je du intituler ce billet Cravatiquement correct ?

Une expérience intéressante aujourd'hui : Tout juste deux heures après avoir envoyé par e-mail une candidature à une importante société, je jette accidentellement un coup d'oeil à mes logs Apache, et je vois, hasard ô grand hasard, à ce moment précis, le proxy-http de l'importante société en question en train d'éplucher les pages de mon site web personnel (pas le blog de Swâmi Petaramesh, mais le site existant sous le nom que je porte vis-à-vis de l'Etat Civil en héritage de mon pôpa et de ma môman).

Je n'ai rien contre les coïncidences, mais elles ont parfois une forte odeur de relation de cause à effet...

Dois-je préciser que ni ma lettre de candidature, ni mon CV, ne précisaient l'existence ou l'URL de mon site web personnel ? Bon, certes, cette dernière n'est pas bien difficile à deviner...

Un bon rappel, faisons un noeud à notre cerveau, que, par les temps qui courent, si vous cherchez du boulot et possédez également un site web personnel facile à mettre en rapport avec votre identité, il y a de bonnes chances qu'il soit consulté par votre futur (ou pas) employeur avant même que vous n'ayiez un premier entretien avec lui.
Et le contenu de votre site web jouera nécessairement en votre faveur ou défaveur dans le cadre du processus de recrutement. Même si son contenu est purement personnel. Même si les éléments qui entrent alors en ligne de compte relèvent de votre vie privée ou des opinions politiques ou philosophiques que vous y affichez. Si cela joue en votre défaveur, vous ne serez probablement d'ailleurs jamais informé que cette consultation a eu lieu. Mais vous risquez d'attendre longtemps votre convocation à un entretien...

Tout peut entrer en compte, y compris une orthographe de chiottes et une grammaire à faire peur sur votre site perso, alors que par ailleurs vous avez relu douze fois votre lettre de motivation dictionnaire à la main, vous savez, celle ou vous aviez écrit que vous possédez une grande aisance dans l'expression écrite ;-)

Bon, enfin, je ne suis tout compte fait pas mécontent que certaines de mes opinions les plus politiquement et médèfiquement incorrectement polémiques soient désormais ici plutôt que là-bas...

Biobidouilles toujours

Petaramesh — Tue, 07 Mar 2006 13:02:43 +0000

A la suite du commentaire d'Yves sur les moyens éventuels de leurrer les systèmes biométriques, je me suis livré moi-même à quelques petites expériences amusantes sur ma clé BioFlash...

Cet article fait donc suite à celui-ci, qui lui-même était la suite de celui-là.

J'avais commencé par faire de cet article une simple adjonction à mon article d'hier, mais, comme j'ai poursuivi un peu avant mes expériences, je finis par me décider à en faire un article à part entière...

Le commentaire d'Yves à propos des possibilités de falsification d'empreintes en utilisant de "faux doigts" en latex ou en gélatine m'a donné envie de tenter une petite expérience. Sans me lancer dans le jeu du petit chimiste (je n'ai d'ailleurs pas sous la main les ingrédients nécessaires), j'ai par contre eu l'idée du test que voici :

Doigts de la Sainte Farce

J'ai enfilé un gant de ménage en latex relativement fin (mais tout de même assez éloigné de la finesse d'un gant de chirurgien), et dont les bouts des doigts sont recouverts de reliefs antidérapants qui n'ont pas à proprement parler la forme d'empreintes digitales humaines, mais je me suis demandé si je pouvais faire enregistrer l'empreinte digitale d'un tel gant par la clé BioFlash, et, après avoir enregistré cette empreinte, m'en servir pour déverrouiller la clé. Je me demandais à la fois si le capteur enregistrerait l'empreinte, et si l'algorithme serait capable d'en retirer quelque chose ou pas.

J'ai donc mis le bidule en mode "apprentissage d'empreinte", ai enfilé le gant et ai posé le doigt sur le capteur. Je n'ai obtenu absolument aucune image sur le capteur, exactement comme s'il n'y avait rien dessus, et le système continuait d'attendre tranquillement que je pose un doigt.
Donc, le capteur fait clairement la différence au moins entre un "vrai doigt" et un doigt de gant en latex portant un relief, puisque dans le second cas, il ne génère pas la moindre image même s'il y a un vrai doigt dans le gant.
Bien sûr, ça ne donne pas une indication ayant valeur absolue, peut-être le résultat serait-il différent avec un gant beaucoup plus fin, ou une matière différente possédant une conductivité électrique, etc, puisque je ne sais pas précisément comment le capteur fonctionne (je sais toutefois que, selon le manuel, c'est un capteur capacitif/pression). Mais en tout cas, avec un gant de cuisine, niet. Ca ne le fait pas.

Je poursuis encore mes petites expériences, dans le but de déterminer ce que le capteur "voit" ou ne "voit pas", et étudier ses réactions.
Pour cela, j'utilise un de mes doigts (normalement enregistré sur la clé) en le recouvrant de quelque chose pour voir si le capteur générera une image ou pas :

Mon doigt à travers un sac en plastique fin : Aucune image
Mon doigt à travers une cellophane de paquet de cigarettes : Aucune image
Mon doigt à travers un kleenex "dédoublé" de manière à n'en garder qu'une épaisseur extrêmement fine : Aucune image
Mon doigt à travers la même simple épaisseur de kleenex, après l'avoir légèrement humecté : Formation d'une image extrêmement pâle et floue qui met vaguement en évidence la trame de papier du kleenex, mais pas du tout les sillons du doigt qui est derrière.
Mon doigt après l'avoir enduit d'une couche excessivement fine de colle néoprène et laissé sécher un moment à l'air libre : Apparition d'une image sombre beaucoup plus "grasse" de l'empreinte de mon doigt, avec de gros "défauts" dus à la colle dans les sillons. Toutefois, le bidule ne valide pas encore l'empreinte. Zut ! Je sens que ça colle sur le capteur ! La colle n'est pas assez sèche ! Je retire immédiatement le doigt avant de vraiment coller le capteur et risquer de l'endommager.
Je ne tenterai pas le doigt enduit de colle cyanoacrylate, je n'ai pas envie de mettre trois jours pour m'en débarrasser ensuite ;-)

Au passage, j'ai vérifié que la clé BioFlash est capable d'apprendre les empreintes de 5 doigts différents (tous les doigts d'une main), ce n'est pas nécessaire mais c'est possible, et, si l'on enregistre tous les doigts d'une main, on est ensuite capable de déverrouiller la clé avec n'importe lequel des doigts qui ont été enregistrés. Encore une fois, le manuel était à ce propos clair comme du jus de boudin.
Je suppose qu'on pourrait si besoin détourner l'usage de ce système pour faire apprendre à la clé les index de plusieurs personnes différentes, afin de permettre à plusieurs personnes de partager l'utilisation de la même clé...

Articles intéressants

Je lis ensuite quelques articles relatis aux différentes vilenies que l'on peut faire subir aux capteurs biométriques pour les leurrer :

Biometric sensors beaten senseless in tests - The Register
Howstuffworks - "How Fingerprint Scanners Work"
Common Biometric Systems Defeated
The Biometric Dilemma (Présentation MS PowerPoint)

...Ceci me met sur la piste de la...

Réactivation d'images rémanentes

Ca paraît tellement simple, mais il faut y penser ! L'endroit du monde où l'on a le plus de chance de trouver une bonne empreinte digitale du légitime propriétaire de la clé biométrique, c'est sur le capteur lui-même !

Après avoir posé mon doigt dessus, je l'oriente dans la lumière, et, sur le capteur très lisse à l'aspect métallique rosé, mon empreinte digitale est parfaitement visible à l'oeil nu, parfaitement nette. (Elle l'est d'autant plus si on avait le doigt légèrement gras).

Selon les articles cités plus haut, il peut y avoir diverses méthodes pour "réactiver" cette empreinte latente de manière à obtenir l'accès.

Essayons voir.

Première méthode : Soufflons

La première méthode paraît tellement bête et simple qu'on se dit que ça ne peut pas marcher. Et pourtant, c'est celle qui, chez moi, donnera le meilleur résultat.

Lançons l'authentification, la fenêtre demandant de poser le doigt apparaît à l'écran, et, à ce stade, soufflons simplement doucement sur le capteur placé juste devant la bouche, de manière à y former de la buée de condensation. Miracle ! Une image d'empreinte digitale apparaît aussitôt à l'écran !

Cette image toutefois est moins nette et moins contrastée que celle obtenue en utilisant véritablement le doigt. Le système semble pourtant considérer que j'ai bien mis un doigt, mais il me dit au bout de quelques instants : "Echec de l'authentification" et me demande de recommencer. Comme je poursuis ma soufflette, il me dit toutes les 2 secondes "Echec, recommencer", puis finit par se lasser et m'indique dans un français plus qu'approximatif (traduit du chinois par un guatémaltèque ?) que je dois ''utiliser le même doigt que celui utilisé pour entraîner l'appareil". Et il abandonne.

Je fais plusieurs tentatives, avec un doigt un peu plus gras (l'image obtenue est meilleure), et après avoir placé la clé USB au frigo quelques minutes (pour accentuer le phénomène de condensation). J'obtiens des images encore meilleures, pourtant, la bestiole refuse toujours de me laisser entrer.

Il paraît que certains dispositifs ont une protection logicielle contre ce genre d'attaque de type "replay" par réactivation de l'image latente : Ils vérifient simplement que l'image qu'ils captent est placée légèrement différemment de celle obtenue lors de la dernière authentification, et refusent d'utiliser une image strictement identique. Peut-être est-ce le cas ici ? Je ne sais pas.

Je note toutefois avec intérêt le point suivant : Bien que l'image que je parviens à obtenir soit de qualité moindre que celle obtenue avec "le vrai doigt", elle donne quand même à l'oeil une copie très utilisable de mon empreinte digitale. Si je fais à cet instant une simple copie d'écran, je récupère sans difficulté un scan fort utilisable de mon empreinte digitale agrandie, scan qui pourrait sans doute être facilement amélioré avec un logiciel de manipulation d'images, et qui pourrait certainement servir de base pour des méchancetés ultérieures (comme la tentative de fabriquer de "faux doigts", etc.).

Donc, le coup de la buée, pour entrer, ça ne le fait pas, mais pour obtenir une image de l'empreinte qui est sur la clé, ça le fait bien !

Deuxième méthode : le sac de flotte

Certains articles indiquent qu'il suffit, avec certain capteurs, d'utiliser un fin sac en plastique rempli d'eau, et de l'appliquer sur le capteur, pour obtenir la réactivation de l'image rémanente. J'essaie donc. Avec la clé BioFlash, ceci ne donne aucun résultat. Aucune image. Peut-être que je m'y prends mal ?

Troisième méthode : Police scientifique façon Castors Juniors

Une troisième méthode possible, selon les articles précédents, est de faire un relevé d'empreinte façon police scientifique, avec de la poudre de graphite. Essayons.

Fabriquons d'abord un peu de poudre de graphite très fine, propre à relever les empreintes. Il suffit de frotter doucement une mine de crayon noir sur un petit bout de papier de verre, et voilà un peu de la poudre de perlimpimpin nécessaire.

Faisons tomber cette poudre noire sur le capteur (vache, elle est conductrice, j'ai vérifié à l'ohmmètre, et tellement fine que j'espère qu'elle ne va pas se faufiler à l'intérieur, sinon ça va me faire un court-jus dans la clé...). Répartissons bien la poudre à la surface.

Enlevons très doucement le surplus avec un pinceau doux, ou, encore mieux, un pinceau-soufflette de netoyage d'appareil photo. Soufflons l'excédent, regardons à la lumière. J'obtiens une très belle empreinte noire sur mon joli capteur. Jusque là, ça marche comme à l'instruction ;-)

Il paraît qu'il suffit maintenant de brancher la clé et d'appliquer un bout de scotch sur la poudre en appuyant doucement, pour que cela suffise à réactiver l'image rémanente, et "Sésame, ouvre-toi", avec certains systèmes. J'essaie. Merde, aucune image. Le capteur de la clé BioFlash n'est pas sensible à cette forme de persuasion. Ou je m'y prends comme un pied, c'est là encore possible.

Je décolle mon bout de scotch, la belle empreinte noire a été transférée dessus. Plus qu'à la coller sur une feuille de papier, j'ai fait un chouette relevé d'empreinte. Je n'ai plus qu'à me recycler dans la police scientifique !^[1]

Conclusion

Le piège de l'empreinte rémanente est réel. Bien que je ne sois pas parvenu à obtenir l'accès à ma clé BioFlash par ces méthodes, j'ai réussi à réactiver une empreinte rémanente très utilisable avec la première méthode, qui est la plus facile, et j'ai pu obtenir directement un scan de bonne qualité de cette empreinte, sans devoir utiliser aucun matériel ni accessoire autre que la clé elle-même et ma respiration. C'est quand même emmerdant, non ?

Je n'ai pas obtenu de résultat sur la clé avec les deux autres méthodes, mais j'ai au final un beau relevé d'empreintes qui ferait la fierté des "Brigades du Tigre". Aha.

Ca montre z'au minimum, me semble-t-il, que tout utilisateur de ce genre de gadget devrait prendre grand soin d'essuyer soigneusement le capteur pour en effacer son empreinte, à chaque utilisation.

Notes

[1] Non, je déconne...