"Bientôt la figuration, ça n'existera plus" : des comédiens "scannés" sur des tournages de film craignent pour leur futur

Article rédigé par Marion Bothorel Publié le 25/10/2023 05:55

Un fond vert, une myriade de clichés... La duplication 3D se répand de plus en plus sur les plateaux de cinéma. Des comédiens s'inquiètent ainsi d'être "utilisés sans le savoir" et de participer au crépuscule de leur profession, déjà menacée par l'avènement de l'intelligence artificielle.

Il est près de 2 heures du matin en cette fin août. Accoutré en bourgeois du XIXe siècle, Lucien participe au tournage du Comte de Monte-Cristo*, la prochaine superproduction de Pathé, tirée de l'œuvre d'Alexandre Dumas. Après plus de quatre heures de tournage, le groupe de figurants dont fait il fait partie peut faire une pause. Le comédien, somnolent, est approché par un photographe. Habitué des séances en costume, Lucien se prête au jeu. Cette fois, il est tenu d'afficher une mine neutre, devant un écran vert.

"Des stickers avaient été collés, il me les indiquait en me disant : 'Regarde ce point-là'. Il m'a aussi demandé de lever les bras."

Lucien, figurant

Ces poses sont suffisamment inédites pour pousser Lucien à questionner le photographe : "Il me répond que c'est pour faire des doubles numériques, pour les effets spéciaux. Je demande si c'est bien pour ce film. Il m'assure que oui." Mais Lucien craint d'être "utilisé sans le savoir" et que sa "copie 3D" se retrouve dans d'autres films. Selon lui, une dizaine d'autres figurants se sont prêtés à l'exercice, sans avoir été informés de "l'utilisation véritable de ces images".

"Suivez-nous au scan !"

Astrid raconte avoir vécu la même scène sur le tournage d'un biopic du général de Gaulle, également produit par Pathé. Après une journée de travail de quatorze heures sous la pluie, les décors commencent à être démontés quand les figurants sont informés qu'il leur reste des "choses à faire". On leur désigne "une petite tente blanche avec un appareil photo, derrière lequel est tendu un écran vert", raconte l'actrice. D'après elle, les responsables sur place "faisaient très attention à ce que tout le monde y passe".*

La comédienne consent mais s'étonne d'être photographiée debout, les bras écartés à l'horizontale. "Au sol, il y avait une croix et on devait pivoter autour à 360°, le visage fixe, les pieds écartés", observe cette ex-graphiste en reconversion.

"Quand on demandait à quoi ça allait servir, les chargés de figuration nous répondaient que c'était pour créer une plus grosse foule. Mais il fallait aller les voir et leur demander."

Astrid, actrice

L'actrice a ensuite exigé que ces images soient effacées. "Je me disais : 'Maintenant qu'ils m'ont créée en 3D, ils vont pouvoir me mettre absolument partout'", explique-t-elle. Près de deux mois après le tournage, elle n'a toujours pas reçu de garantie de la production. Pathé confirme que des scans ont bien été réalisés lors des tournages de De Gaulle et du Comte de Monte-Cristo afin "de faire de la multiplication de foule", sans préciser combien de figurants ont ainsi été numérisés.

Sur une autre production, Olivier a lui aussi été "scanné" sans en avoir été informé au préalable. Pour les besoins d'une série diffusée par une plateforme américaine, il est convoqué, en septembre 2022, à un "essayage d'époque". Il doit être habillé, maquillé et coiffé dans les conditions requises pour le tournage. "Ils m'ont dit : 'Suivez-nous au scan'. Quatre ou cinq figurants attendaient déjà dans cette salle plongée dans le noir. Deux techniciens américains nous ont ensuite placés à tour de rôle sur une croix et 250 appareils photos nous ont flashé simultanément, bras baissés, puis levés pendant 30 secondes, avant qu'on soit remerciés", se souvient-il. Sur le moment, Olivier n'a rien dit, mais avec une année de recul, il juge l'absence de transparence *"pr*oblématique".

"Il n'y a aucune communication"

L'absence de "transparence", c'est également ce qui frappe Nathalie de Médrano, membre de l'Association des chargés de figuration et de distribution artistique (ACFDA). Cette professionnelle dont le travail consiste à recruter des figurants assure avoir été contactée dès le "mois de juin" par des "figurants qui avaient été scannés". En quatre mois, l'ACFDA a récolté une douzaine de témoignages similaires à ceux de Lucien, Astrid et Olivier. *"*Ce qui me frappe le plus dans cette histoire, c'est qu'il n'y a aucune communication de la part des productions. Elles présentent cela comme quelque chose d'acquis, de normal et de naturel", poursuit-elle.

La production du Comte de Monte-Christo a justement utilisé cet argument pour répondre à Lucien, qui demandait la suppression des images. "La prise de photographies devant un fond vert, tel que cela a été fait avec vous, est un procédé de VFX [effets spéciaux] très usuel dans la préparation et le tournage de films", lui expose l'un des producteurs dans un e-mail que franceinfo a pu consulter. "Ces photographies sont effectuées dans l'unique but de créer des effets visuels pour augmenter les effets de foules en arrière-plan des scènes du film (...)*, dans lesquelles aucun visage n'est utilisé ni reconnaissable à l'écran."*

"Cela fait des années que ce procédé est utilisé."

Un producteur

"*Il y a beaucoup de films où ça se fait"*, confirme Antoine Moulineau, superviseur des effets visuels, dont la société Light intervient notamment sur le prochain Napoléon de Ridley Scott. Lui-même utilise cette technique "au moins depuis 1999". En capturant les silhouettes de 300 figurants, la société d'Antoine Moulineau "peut en faire 50 000", assure-t-il. Ce spécialiste des effets spéciaux confirme, en revanche, qu'il est possible que ces doublures numériques puissent servir dans d'autres films, comme le redoutent les figurants interrogés par franceinfo. Dans ce cas, les acteurs auraient beaucoup de mal à se reconnaître à l'écran, selon lui, car les visages sont peu identifiables et les vêtements sont "échangés" d'une silhouette à l'autre afin "d'apporter de la variation" dans la foule.

Un membre de la production chez Pathé admet "qu'il faut [être] plus transparents sur la manière dont sont utilisées et stockées ces images et prouver qu'elles serviront uniquement dans la séquence à laquelle les figurants ont participé, qu'elles ne seront pas réutilisées autrement". Antoine Moulineau tient à rassurer les figurants : "Jamais, il n'a été question de faire une doublure d'un acteur à partir de ces photos-là [prises devant un fond vert] pour lui faire jouer n'importe quoi. On n'en est quasiment pas capables aujourd'hui."

"C'est une manière de faire des économies"

Le milieu du cinéma s'inquiète néanmoins de la généralisation de ces pratiques. Elles ont même été au cœur de la grève des scénaristes et acteurs américains à Hollywood. Le SAG-Aftra, le syndicat de ces derniers, s'est opposé mi-juillet à une proposition faite par les producteurs. D'après Duncan Crabtree-Ireland, son directeur exécutif, cité par le magazine People, ceux-ci voulaient que "les figurants puissent être scannés, qu'ils soient payés pour la journée, puis que leur image appartienne aux sociétés de production et qu'elles puissent l'utiliser pour toujours pour n'importe quel projet, sans consentement et sans compensation". De fait, Astrid a touché la même somme que pour une journée de tournage classique : 180 euros net. "C'est une manière pour [les producteurs] de faire des économies", abonde Olivier.

"Pour la scène où ils m'ont scanné, ils avaient besoin de 3 000 figurants. Alors soit ils en embauchent autant, soient ils me paient double ou triple."

Olivier, comédien

Sans intervention des syndicats, ces figurants restent silencieux, de peur de "se cramer". Mais au-delà de la rémunération, se pose également la question légale du traitement de l'image des figurants, qui entre dans la catégorie "des données sensibles", analyse Mathilde Croze. Cette avocate spécialisée dans les nouvelles technologies rappelle que les données à caractère personnel doivent être "traitées de façon proportionnelle" par les producteurs. "Pendant combien de temps ces images sont-elles stockées ? Pour quelles finalités, où et comment ?" s'interroge-t-elle. Et de critiquer "une méconnaissance totale du droit". Rien ne répond à ces questions dans les contrats de figurants consultés par franceinfo.

"Tout le monde navigue en eaux troubles. Personne ne sait vraiment à quoi vont servir [ces images]. Mais au cas où, les productions les ont en stock."

Mathilde Croze, avocate

Les figurants sont tenus de signer des autorisations d'exploitation de leur image, y compris pour "tous modes et procédés connus ou inconnus à ce jour", selon la formule consacrée. "Tout le monde reconnaît que c'est une question qui doit être traitée, réglementée", s'émeut Jimmy Shuman, conseiller national du Syndicat français des artistes interprètes, affilié à la CGT. Lui se mobilise pour que les figurants puissent "ajouter une ligne dans leur contrat afin d'éviter une utilisation de leur image au-delà de leur rôle dans tel ou tel film".

"On aura toujours besoin de figurants"

De son côté, Pathé assure réfléchir "à comment mieux formaliser les choses pour qu'il n'y ait plus de doutes" quant à la finalité des images et ce, dès l'embauche du figurant "en amont du tournage". Après avoir participé à plusieurs piquets de grève à Los Angeles, aux côtés de ses homologues du SAG-Aftra, Jimmy Shuman invoque une urgence à agir, en évoquant pêle-mêle les figurants virtuels et les "deepfakes" d'acteurs générés par l'intelligence artificielle.

"*Bientôt la figuration sur les sujets d'époque, ça n'existera plus", s'attriste Astrid. Nathalie de Médrano se dit elle aussi "très pessimiste sur l'avenir de la figuration". "Dans dix ans, il y aura peut-être 10% des cachets qu'on a aujourd'hui"*, envisage la chargée de figuration.

"A ce rythme-là, dans cinq ans, il y aura beaucoup moins de figurants, il n'y aura que des doubles numériques hyper réalistes."

Lucien, comédien

"Ce n'est pas du tout une évidence de réduire le nombre de figurants", martèle-t-on chez Pathé, en niant le côté "systématique" de cette pratique. "On aura toujours besoin des figurants", assure également Antoine Moulineau, ne serait-ce que pour avoir une bonne qualité d'image sur les visages placés au premier plan d'une foule. "Si on demande juste à un figurant de marcher en arrière-plan, là oui il peut être généré numériquement", nuance toutefois le superviseur des effets visuels.

Antoine Moulineau se montre en revanche bien plus préoccupé, comme les figurants interrogés, par l'arrivée de l'intelligence artificielle dans le cinéma. Déjà menaçante pour le monde du doublage, cette technologie fragilise davantage les figurants. Recréer numériquement un acteur est déjà possible mais pour l'instant, le recours à l'IA coûte "plus cher" que "faire jouer" un vrai comédien, selon le spécialiste des effets spéciaux. Deux échéances pourraient être décisives. Les négociations à Hollywood, où les acteurs restent mobilisés, pourraient déboucher sur un accord avec les producteurs, qui servirait de modèle en France. D'ici à la fin de l'année, le Parlement européen doit aussi réglementer l'usage de l'intelligence artificielle en Europe, notamment au cinéma.

* Les prénoms ont été modifiés.

“Menace contre l’État” : le Kenya s’attaque au scan de l’iris pratiqué par Worldcoin

Le projet lancé par Sam Altman, l’un des fondateurs d’OpenAI, veut promouvoir une nouvelle cryptomonnaie sécurisée par des données biométriques, à savoir le dessin de l’iris. Au Kenya, elle aurait scanné l’iris de 350 000 personnes en échange d’une somme d’argent en monnaie virtuelle.

Publié le 12 octobre 2023 à 16h32 Lecture 1 min.

Début août encore, le quotidien kényan The Standard publiait des photos des longues files d’attente qui se formaient à Nairobi. De nombreux habitants s’étaient rassemblés en différents endroits de la capitale pour faire scanner leur iris en échange d’une somme d’argent en cryptomonnaie. L’opération était l’œuvre de Worldcoin, fondé en 2019 par Sam Altman, cofondateur d’OpenAI. Son objectif est de lancer une nouvelle monnaie virtuelle associée à un système d’identification biométrique anonyme.

Mais ce projet semble peu apprécié des autorités locales. Après que le gouvernement a ordonné, le 2 août, la suspension provisoire des scans effectués par Worldcoin, des parlementaires kényans ont publié un rapport, fin septembre, réclamant l’arrêt définitif de ses activités, explique le journal britannique The Daily Telegraph. Ils invoquent une “menace contre l’État” et accusent Worldcoin d’“espionnage”.

Ces derniers émettent des doutes sur la manière dont ces données biométriques sont stockées et craignent de les voir échangées illégalement contre de l’argent. Le rapport parlementaire attire aussi l’attention sur le risque que représente l’émergence d’une monnaie décentralisée pour le système financier du pays.

“Nouvelle fièvre mondiale”

The Daily Telegraph précise que plusieurs millions de personnes à travers le monde ont déjà accepté de passer devant le scanner de Worldcoin.

“L’appareil, qui a la forme d’un ballon de football, scanne l’iris des individus pour confirmer leur identité et leur créer un compte.”

Au Kenya, les personnes ayant participé à l’opération ont reçu en récompense 25 jetons non fongibles de la nouvelle cryptomonnaie worldcoin, qu’ils pouvaient ensuite échanger en monnaie physique. La valeur de ces 25 jetons se situe aujourd’hui autour de 40 euros.

Worldcoin a été accusé de tirer profit des conditions de vie précaires de populations pauvres pour mettre en place son projet. “Confrontés qu’ils sont à un coût de la vie très élevé, à un chômage important et à des salaires qui ne bougent pas, les Kényans ont bondi sur cette occasion de gagner de l’argent sans rien faire, grâce au projet Worldcoin, qui a déclenché une nouvelle fièvre mondiale”, écrit The Standard.

Selon les informations du journal kényan Nation, qui cite les travaux du comité national chargé de la cybersécurité, plus de 350 000 Kényans auraient fait scanner leur iris.

23andMe says private user data is up for sale after being scraped

Records reportedly belong to millions of users who opted in to a relative-search feature.

Dan Goodin - 10/7/2023, 1:58 AM

Genetic profiling service 23andMe has commenced an investigation after private user data was scraped off its website

Friday’s confirmation comes five days after an unknown entity took to an online crime forum to advertise the sale of private information for millions of 23andMe users. The forum posts claimed that the stolen data included origin estimation, phenotype, health information, photos, and identification data. The posts claimed that 23andMe’s CEO was aware the company had been “hacked” two months earlier and never revealed the incident. In a statement emailed after this post went live, a 23andMe representative said that "nothing they have posted publicly indicates they actually have any 'health information.' These are all unsubstantiated claims at this point."

23andMe officials on Friday confirmed that private data for some of its users is, in fact, up for sale. The cause of the leak, the officials said, is data scraping, a technique that essentially reassembles large amounts of data by systematically extracting smaller amounts of information available to individual users of a service. Attackers gained unauthorized access to the individual 23andMe accounts, all of which had been configured by the user to opt in to a DNA relative feature that allows them to find potential relatives.

In a statement, the officials wrote:

We do not have any indication at this time that there has been a data security incident within our systems. Rather, the preliminary results of this investigation suggest that the login credentials used in these access attempts may have been gathered by a threat actor from data leaked during incidents involving other online platforms where users have recycled login credentials.

We believe that the threat actor may have then, in violation of our terms of service, accessed 23andme.com accounts without authorization and obtained information from those accounts. We are taking this issue seriously and will continue our investigation to confirm these preliminary results.

The DNA relative feature allows users who opt in to view basic profile information of others who also allow their profiles to be visible to DNA Relative participants, a spokesperson said. If the DNA of one opting-in user matches another, each gets to access the other’s ancestry information.

The crime forum post claimed the attackers obtained “13M pieces of data.” 23andMe officials have provided no details about the leaked information available online, the number of users it belongs to, or where it’s being made available. On Friday, The Record and Bleeping Computer reported that one leaked database contained information for 1 million users who were of Ashkenazi heritage, all of whom had opted in to the DNA relative service. The Record said a second database included 300,000 users who were of Chinese heritage who also had opted in.

The data included profile and account ID numbers, display names, gender, birth year, maternal and paternal haplogroups, ancestral heritage results, and data on whether or not each user has opted in to 23andme’s health data. Some of this data is included only when users choose to share it.

The Record also reported that the 23andMe website allows people who know the profile ID of a user to view that user’s profile photo, name, birth year, and location. The 23andMe representative said that "anyone with a 23andMe account who has opted into DNA Relatives can view basic profile information of any other account who has also explicitly opted into making their profile visible to other DNA Relative participants."

By now, it has become clear that storing genetic information online carries risks. In 2018, MyHeritage revealed that email addresses and hashed passwords for more than 92 million users had been stolen through a breach of its network that occurred seven months earlier.

That same year, law enforcement officials in California said they used a different genealogy site to track down a long-sought suspect in a string of grisly murders that occurred 40 years earlier. Investigators matched DNA left at a crime scene with the suspect’s DNA. The suspect had never submitted a sample to the service, which is known as GEDMatch. Instead, the match was made with a GEDMatch user related to the suspect.

While there are benefits to storing genetic information online so people can trace their heritage and track down relatives, there are clear privacy threats. Even if a user chooses a strong password and uses two-factor authentication as 23andMe has long urged, their data can still be swept up in scraping incidents like the one recently confirmed. The only sure way to protect it from online theft is to not store it there in the first place.

This post has been updated to include details 23andMe provided.

Supprimer les VPN, lever l’anonymat sur Internet… Pourquoi nos politiques proposent-ils des idées irréalistes ?

1 octobre 2023 à 08:21 par Stéphanie Bascou

Pourquoi des députés ont-ils proposé de supprimer les VPN ou de lever l’anonymat à l’occasion du projet de loi SREN ? Outre les méconnaissances technique et juridique déplorées par des spécialistes, ces deux idées seraient un savant mix de plusieurs éléments : l’absence d’auditions d’experts, une culture du compromis inexistante, la volonté de se faire un nom… le tout mettant en danger nos libertés fondamentales.

« C’était le concours Lépine de l’idée la plus clivante ». Ces dernières semaines, les propositions destinées à « mettre fin au Far West du numérique » se sont multipliées à l’occasion du projet de loi SREN (visant à sécuriser et à réguler l’espace numérique) en discussion à l’Assemblée nationale. Face à plusieurs cas tragiques de suicides d’adolescents victimes de cyberharcèlements, certains députés ont proposé, dans des amendements au projet de loi, des mesures chocs comme lever l’anonymat qui régnerait sur le Web ou supprimer les VPN… Ces mesures, irréalisables techniquement ou dangereuses du point de vue de nos droits fondamentaux, ont suscité la levée de boucliers de défenseurs des libertés fondamentales. Des informaticiens ont pris soin de déconstruire une à une ces propositions, déplorant des idées déconnectées des réalités, comme chez nos confrères de France 3.

« Quand on dit que ce qui est interdit dans le monde physique doit l’être dans le numérique. C’est trop simple, trop lapidaire et pas nuancé », a martelé en commission le député MoDem Philippe Latombe, mardi 19 septembre. Et si la majorité de ces idées a finalement été retirée des amendements du projet de loi, la question demeure : pourquoi les Parlementaires sont-ils allés vers le « trop simple » et techniquement irréalisable, voire peu souhaitable ?

Le monde de l’Internet libre contre le monde de l’Internet régulé

Premier constat : ce n’est pas la première fois que ce type de mesures — aux objectifs plus que louables, mais décorrélés de la façon dont fonctionne le Web — finissent sur la place publique. Oui, il faut tout faire pour mettre fin au cyberharcèlement, et oui, il faut protéger davantage les mineurs. Mais le problème est que « les députés (sont) toujours aussi nuls sur les lois numériques », regrette ce blogueur anonyme, le 19 septembre dernier.

Lors de la loi Avia (2020) ou la loi Hadopi (2009), des débats similaires ont eu lieu. « À chaque fois que vous avez une nouvelle loi sur Internet, il y a deux mondes qui s’affrontent : le monde d’un Internet libre et celui d’un Internet régulé », commente Eric Barbry, avocat associé du Cabinet Racine. « Entre les deux, il y a ceux qui essayent des voies pour réguler le tout dans des conditions satisfaisantes. Mais vous ne pouvez pas empêcher une frange de la classe politique de vouloir aller le plus loin possible et donc amener vers l’interdiction de l’anonymat » en ligne, ajoute l’avocat spécialisé en droit du numérique.

Le rapporteur du projet de loi et député Renaissance Paul Midy a ainsi défendu l’idée d’associer un compte d’un réseau social à une identité numérique, prônant « la fin de l’anonymat au profit du pseudonymat ». Le système fonctionnerait sur le même principe qu’une plaque d’immatriculation. Pourtant, l’anonymat n’existe pas sur le Web : les enquêteurs parviennent toujours à retrouver les auteurs de cyberharcèlement ou de menace de mort, même si cela prend souvent bien trop de temps.

Le député Renaissance Mounir Belhamiti a, de son côté, défendu l’idée de supprimer les VPN alors qu’ils sont très utilisés, par les policiers, les journalistes, les ingénieurs en cybersécurité ou les entreprises. Dans certains pays, les VPN sont un moyen de contourner la censure sur le Web. Face au tollé, ce parlementaire a finalement rétropédalé. D’autres mesures contenues dans le projet de loi, comme le bannissement des cyberharceleurs des réseaux sociaux, se heurtent aussi à la faisabilité technique, car cela reviendrait à obliger les plateformes à surveiller activement le fait que tel internaute ne se recrée pas de compte. Mais alors, pourquoi avoir émis de telles idées ?

« On se croit expert du numérique parce qu’on a un compte TikTok »

« La majorité des gens, nos politiciens sont dans ce cas-là, se croient plus ou moins experts de l’usage des outils numériques parce qu’ils s’en servent, ou parce qu’ils ont un compte TikTok », souligne Benjamin Bayart, militant pour les droits numériques et cofondateur de la Quadrature du Net. Mais « cela ne veut pas dire qu’ils ont compris comment ça marche, ni ses effets sur la société. Quand on change les outils avec lesquels les humains communiquent, on change la façon dont la société se fabrique », ajoute-t-il. « Sans parler du fait qu’en plus, techniquement, ils ne comprennent rien à la manière dont fonctionnent les ordinateurs. C’est ce qui fait qu’ils se disent “on va interdire les VPN” sans avoir la moindre idée de ce à quoi ça touche », poursuit-il.

« La plupart des experts de ces questions avec qui je me suis entretenu m’ont tous dit qu’ils n’avaient pas été auditionnés (par les députés, ndlr), ou qu’ils n’avaient jamais fait partie des débats. Donc je me demande en fait sur qui on s’est appuyé pour émettre ce genre de propositions », s’interroge Tariq Krim, ancien co-président du Conseil du numérique, entrepreneur et initiateur du mouvement Slow Web.

Les députés ne sont pas censés être spécialistes de tout. Mais lorsqu’ils doivent prendre des décisions, en particulier dans des domaines qu’ils ne maîtrisent pas, il est généralement attendu qu’ils s’appuient sur des experts du sujet en question. Mais même quand ces auditions ont lieu, le bât blesse. « Les parlementaires devraient s’adresser aux chercheurs qui travaillent sur ces sujets depuis des années. Ils devraient éviter tous ceux qui ont des choses à vendre, comme la première startup qui passe et qui dit “regardez j’ai la solution qui va super bien marcher dans le Web3, je crois qu’elle va permettre d’identifier tout le monde” », tacle Laurent Chemla, informaticien et cofondateur de Gandi. Même son de cloche pour l’avocat en droit du numérique Alexandre Archambault, qui décrit un législateur qui « n’auditionne que les proches ou les gens qui sont d’accord avec lui ».

« La France peut dicter des choses à Copains d’avant et Doctissimo, mais c’est tout »

Les juristes semblent aussi avoir manqué à l’appel, puisque les députés sont repartis d’une page blanche, alors qu’ils étaient censés, avec ce projet de loi, transposer un règlement européen, le DSA (« Digital Services Act » ou règlement européen sur les services numériques). Ils auraient dû se cantonner à des dispositions à la marge, comme nommer les autorités nationales de contrôle. Imposer davantage d’obligations aux réseaux sociaux ou aux plateformes du Web, « cela relève (désormais, depuis le DSA) soit exclusivement de la Commission européenne, soit du pays d’établissement (le pays dans lequel une entreprise a son siège européen, souvent l’Irlande pour les géants du numérique) – donc la France peut dicter des choses à Copains d’avant et Doctissimo, mais c’est tout », résume Maître Alexandre Archambault. Ces deux plateformes ont leur siège social en France.

Cela ne veut pas dire que le « DSA soit gravé dans le marbre. La Commission européenne dit simplement : si on veut améliorer la protection des mineurs ou mieux lutter contre les contenus haineux ou la désinformation, mettons-nous autour d’une table et voyons comment améliorer les choses – mais au niveau européen. Mais si chaque pays le fait en ordre dispersé, chacun dans son coin – comme le fait la France – c’est intenable », ajoute-t-il. C’est le sens « *d*es observations très sévères de la Commission européenne du 2 août dernier, qui visent directement le projet de loi SREN ». L’auteur de ces observations, Thierry Breton, le commissaire européen au Marché intérieur , dit en substance : « vous ne pouvez pas contraindre les entreprises du Web à davantage d’obligations que ce que le droit européen prévoit. Ce n’est ni fait ni à faire, ça participe à la fragmentation du droit de l’Union, on s’y opposera. Et là, vous avez nos parlementaires qui n’en tiennent pas compte et qui sont dans une fuite en avant », poursuit Maître Archambault, déplorant « une nouvelle loi de circonstances, dictée par l’émotion ».

« La seule façon qu’ils ont d’exister, c’est de faire le pitre »

Mais alors, pourquoi avoir prôné ces mesures de suppression des VPN ou d’anonymat ? Chez la majorité des experts que nous avons interrogée, la même explication est donnée. Les Parlementaires se livreraient à « un concours Lépine des mesures les plus clivantes » parce que ce serait, pour eux, une façon de se faire un nom, regrette Maître Archambault. « La seule manière qu’ils ont d’exister, c’est de faire le pitre. En France, le pouvoir législatif est extrêmement faible, on l’a vu avec la réforme des retraites. Et donc les députés font n’importe quoi pour exister », abonde Benjamin Bayart. « D’autant qu’à l’Assemblée nationale, on ne cherche pas à trouver des compromis, comme c’est le cas au Parlement européen, où pour qu’un texte passe, il faut qu’on trouve un consensus entre plusieurs groupes. Ce qui veut dire que toutes les solutions un peu trop aberrantes vont être écartées, ce qui n’est pas le cas en France », ajoute-t-il.

Résultat, le rapporteur de la loi, Paul Midy, était peu connu jusqu’alors. Mais avec sa sortie médiatique sur la levée d’anonymat, il est passé dans tous les médias. Et cela a eu une conséquence : l’idée d’avoir à s’identifier avec une pièce d’identité pour utiliser les réseaux sociaux, comme celle de supprimer les VPN, ont été largement partagées. Et elles pourraient finir par infuser dans la société, s’alarme Laurent Chemla.

Pour le militant des libertés numériques, « on essaie de pousser des idées qu’on sait irréalisables pour amener petit à petit dans l’esprit du public l’idée qu’il faut effectivement réguler la parole publique, réguler les réseaux sociaux, empêcher les gens d’avoir une liberté d’expression totale. À force de répéter, depuis plus de 27 ans, qu’Internet est une zone de non-droit, on arrive à faire passer dans l’esprit du public que oui, c’est vrai, il y a un problème avec Internet, que ce n’est pas normal que n’importe qui puisse dire n’importe quoi. Donc il y a cette volonté de faire évoluer l’opinion publique vers plus de contrôle de la parole des citoyens, et pour ça, on va proposer des choses qu’on sait irréalistes, qui petit à petit amènent à ce type de propositions », analyse-t-il.

Car avec la technologie, il y a désormais une possibilité de traçage qui n’existait pas jusqu’alors, reconnaît Pierre Beyssac, porte-parole du Parti Pirate et cofondateur de Gandi. « Lorsqu’on établit une connexion réseau ou mobile, il faut savoir où est l’utilisateur. Il est donc tentant pour la police, qui connaît ce fonctionnement technique, d’exploiter cette technologie pour lutter contre le crime et la délinquance ». Mais ce n’est pas parce que cette possibilité existe qu’il faut l’utiliser.

Car « si on y réfléchit, cela reviendrait à vouloir rendre impossible tout ce qui pourrait être illégal sur internet », abonde Laurent Chemla. Or, « dans la vie réelle, ça n’est pas impossible de commettre des délits, ou des crimes, c’est puni a posteriori, mais ça n’est pas rendu impossible a priori, sinon on aurait une caméra derrière la tête de tous les citoyens en permanence », souligne l’informaticien. « Sur Internet, on a l’impression que toutes ces mesures (contrôle d’identité des internautes, suppression des VPN) ont un objectif : rendre tous les crimes, tous les délits, toutes les dérives impossibles a priori, et ça, c’est délirant, on ne peut pas faire ça », estime-t-il.

« On se dit, puisqu’on peut surveiller tout le monde, on surveille tout le monde »

Et si beaucoup comprennent l’argumentaire des policiers qui disent : « “si on ne nous laisse pas surveiller la population et accéder à toutes les données numériques auxquelles on peut accéder en surveillant les gens, ça rend les enquêtes plus compliquées”, il faut rappeler que dans la vie réelle aussi, les enquêtes sont compliquées », insiste Laurent Chemla. « J’avais regardé les chiffres sur les vols de bagnoles, il y a 6 % de résolution et 94 % de vols qui restent impunis. Et pourtant, on ne cherche pas à empêcher complètement les vols de bagnole en mettant des caméras dans tous les garages. Mais évidemment, vu que c’est numérique, on se dit, puisqu’on peut surveiller tout le monde, on surveille tout le monde », souligne-t-il.

On serait passé de « tout le monde est innocent jusqu’à preuve du contraire » à « tout le monde est coupable jusqu’à preuve du contraire », regrette Benjamin Bayart, au sujet par exemple de l’accès des mineurs aux sites pornographiques. « Au “il ne faut pas que les mineurs accèdent à du porno”, la seule réponse qu’on a, c’est : “il va falloir que la totalité des adultes prouvent qu’ils sont adultes à chaque clic qu’ils font” », note-t-il.

« Par défaut, vous êtes suspect »

Comme nous vous l’expliquions en mars dernier, une autre proposition de loi (instaurant une majorité numérique et visant à lutter contre la haine en ligne), promulguée en juillet dernier, évoque, pour les sites pornographiques, la mise en place, pour s’assurer de la majorité d’un utilisateur, d’une solution technique – qui n’existe pas encore. Il s’agirait de passer par un tiers de confiance qui délivrerait un jeton et qui confirmerait la majorité de l’utilisateur au site en question, vraisemblablement à chaque connexion.

Problème : cela fait des mois que cette solution serait expérimentée, sans qu’aucun retour ne fuite. Seule nouvelle récente de cette « expérimentation » : Jean-Noël Barrot, le ministre délégué chargé du Numérique, a concédé à demi-mot que cela ne fonctionnait pas pour l’instant à 100 %. « Je ne dis pas que ça marche à plein tube », déclarait-il le 20 septembre dernier, chez nos confrères de Tech&Co. Pour beaucoup, la solution évoquée dans la loi et expérimentée connaîtra la même trajectoire que celle observée au Royaume-Uni et en Australie. Ces deux pays avaient aussi voulu mettre en place un contrôle d’âge similaire, avant d’y renoncer, faute d’avoir trouvé une solution qui fonctionne.

Or, avec un tel système, « il y a cette idée qui s’instille dans la tête des gens que c’est à vous de prouver que vous êtes innocent parce que par défaut, vous êtes suspect. Et il vous faut le prouver en permanence, pas le prouver une et une seule fois, mais le prouver tout le temps, tout le temps, tout le temps », répète Benjamin Bayart.

Alors comment faire pour éviter ce changement de paradigme et voir à nouveau ces propositions trop rapides et parfois dangereuses finir dans le débat public ? Comment préserver nos libertés, tout en luttant contre le cyberharcèlement et en protégeant mieux les mineurs ?

Pourquoi il y a 120 magistrats dédiés aux problématiques numériques à Berlin, alors qu’à Paris, ils ne sont que six ?

Côté Parlement, il faudrait redonner du pouvoir aux députés, avance Benjamin Bayart. Et que ces derniers fassent davantage de contrôle de l’action publique, comme d’autres pays le font, estime Maître Archambault. « Plutôt que de passer par des nouvelles lois, on fait des commissions d’enquête, en demandant par exemple pourquoi il y a 120 magistrats dédiés aux problématiques numériques à Berlin, alors qu’à Paris, ils ne sont que… six. Pourquoi il faut trois ans – soit une éternité – pour que les harceleurs de Mila ou de Hoschi soient condamnés, alors qu’elles ont la chance d’être entourées de bons conseils ? »

Que les politiques écoutent davantage les experts, que les médias couvrent plus les cas de condamnation de cyberharceleurs, et qu’il y ait bien plus de moyens alloués à la justice et à la prévention du cyberharcèlement font partie des pistes d’amélioration citées. Mettre en place de grandes campagnes nationales, comme on l’a fait avec l’alcool dans les années 80, où on est passé « de la répression à la prévention », est également mentionné.

Dans ce débat, il ne faut surtout pas perdre de vue nos droits fondamentaux

Il faudrait aussi pouvoir lever plus facilement l’anonymat en cas de harcèlement en ligne ou de propos injurieux ou diffamatoires, explique Maître Barbry. Il s’agit d’un point de procédure qui a son importance. « Pour la suppression des contenus, on a de plus en plus recours aux moyens proposés les plateformes en ligne, mais c’est très aléatoire et nettement insuffisant. Et avoir la possibilité d’identifier les personnes est devenu très compliqué. Or, le seul moyen de réparer un préjudice, c’est d’avoir quelqu’un en face de vous qui répond de ses actes », relève-t-il. La raison ? Un changement des règles qui impose désormais, quand on cherche à savoir qui est derrière un compte de cyberharceleur, de passer par une procédure accélérée au fond et non plus en référé. « La procédure est plus juste d’un point de vue procédural, mais bien plus longue et complexe pour les victimes », résume-t-il.

Pour Pierre Beyssac, il faut désormais accepter que « le monde d’aujourd’hui avec les réseaux n’est plus celui d’autrefois. Il faut essayer de trouver des solutions adaptées, en évitant de céder à la tentation d’utiliser la technologie pour réduire nos libertés », souligne l’informaticien à la tête d’Eriomem. « Notre vie de tous les jours étant de plus en plus appuyée sur ces réseaux, nos droits fondamentaux vont en dépendre de plus en plus », estime-t-il. « *I*l est donc essentiel de les défendre bec et ongle, et de *t*out faire pour ne pas se tirer une balle dans le pied, sur la société que l’on veut construire ».

Et maintenant, l’interdiction de certains VPN en France sur smartphone ?

Julien Lausson : L'amendement qui assume son inefficacité

Certains VPN pourraient être exclus de l’App Store et de Google Play en France. Un amendement souhaite conditionner leur visibilité sur les boutiques d’applications pour smartphone au bon respect de la loi.

Nouvel assaut contre les VPN à l’Assemblée nationale, alors que le projet de loi sur la sécurisation et la régulation de l’espace numérique (dite loi SREN) entre en débat en séance publique à partir du 4 octobre. En effet, des députés du groupe Horizon et apparentés (centre droit) soutiennent un nouvel amendement qui entend exclure certains VPN de l’App Store (iOS) et de Google Play (Android).

L’objectif affiché de l’amendement est d’empêcher les internautes d’accéder à des applications de VPN qui permettraient « l’accès à un réseau Internet non soumis à la législation et règlementation française ou européenne ». Mais, considérant que les fournisseurs de ces VPN pourraient ne pas jouer le jeu, les députés misent donc sur Google et Apple pour faire le tri.

En effet, la proposition de mise à jour législative entend confier aux deux sociétés américaines la mission de faire la police sur chaque store. Ainsi, Google Play et l’App Store doivent s’assurer de ne garder que les applications en conformité avec la législation. Sinon, la boutique fautive s’exposera à une amende pouvant atteindre 1 % de son chiffre d’affaires mondial.

Ce n’est pas la première fois que la question des VPN est abordée dans le cadre du projet de loi SREN. En commission, un autre amendement — retiré depuis — avait été déposé pour interdire l’utilisation d’un VPN pour interagir activement sur un réseau social. En clair, l’utiliser pour consulter le site communautaire, oui. S’en servir pour publier ou commenter, non.

L’amendement, qui figure parmi le bon millier déposé en séance publique, et qui suit les 952 examinés en commission, doit encore être débattu, à supposer qu’il ne soit pas déclaré irrecevable par les services de l’Assemblée nationale. Les VPN font par ailleurs l’objet de deux autres amendements, mais qui demandent la production de rapports (amendements 662 et 916).

Des faiblesses techniques déjà relevées

Signalé sur X par le journaliste Marc Rees, l’amendement fait face à des limites techniques notables. D’abord, il n’adresse en aucune façon la possibilité de se servir d’un VPN sur son ordinateur. Or, les solutions du marché fournissent tout le nécessaire pour se connecter à un réseau privé virtuel depuis un PC sous Windows, Mac ou Linux.

Autre enjeu : il est possible d’installer une application en zappant la boutique officielle. Cela demande un peu d’huile de coude, et tout le monde ne saura pas (ou n’osera pas) installer un APK sur son smartphone, mais cela reste une manipulation accessible. Sur un strict plan de sécurité informatique, ce n’est toutefois pas le plus conseillé, si l’on ignore ce que l’on fait.

On peut installer une application mobile sans passer par une boutique officielle

Toujours est-il que c’est cette méthode qui est utilisée pour récupérer des applis avant l’heure (Threads, ChatGPT, Mario Kart), par exemple pour ne pas être soumis à un quelconque blocage géographique… C’est aussi d’ailleurs comme cela que l’on peut installer une vieille version d’une application mobile, pour assurer une compatibilité ou retrouver une fonctionnalité.

Les limites techniques apparaissent d’ailleurs admises par les parlementaires eux-mêmes, qui se disent « conscients de l’impossibilité technique d’encadrer le recours à des VPN, notamment dans un but de contournement de la loi ». Il s’agirait moins de proposer un amendement applicable que de soulever le sujet « afin, à terme, de trouver une solution technique pertinente et efficace. »

Pornhub, YouPorn, Xvideos… Comment les « tubes » ont bouleversé le porno

Par Pauline Croquet , Damien Leloup et Florian Reynaud

Publié hier à 20h00, modifié à 01h36 sur Le Monde

En quelques années, ces sites ont imposé comme modèle l’accès facile et gratuit à une masse de contenus pour adultes, souvent peu contrôlés. Ils sont aujourd’hui au cœur d’un rapport du Haut Conseil à l’égalité, mais aussi des débats sur les outils de vérification de l’âge des internautes, discutés mercredi à l’Assemblée nationale.

​ Août 2006. Alors que YouTube est encore un « petit » site peu connu (il ne sera racheté par Google que trois mois plus tard), un site pornographique d’un genre nouveau est discrètement mis en ligne : nom similaire, page d’accueil avec des vignettes imagées, possibilité de mettre en ligne ses propres contenus… YouPorn reprend les codes de ce qui deviendra le géant mondial de la vidéo.

​ Et le succès est immédiat. A la fin du mois de novembre, les administrateurs anonymes du site remplacent la page d’accueil par un message d’erreur : « Nous sommes à court de bande passante ! Nous avons utilisé 31 téraoctets en deux jours, sur 2 300 000 téléchargements [visionnages]. Nous cherchons des fournisseurs de serveurs illimités en Europe. »

​ Ces audiences, stratosphériques pour l’époque, ne passent pas inaperçues. L’année suivante, des dizaines de clones apparaissent en ligne, dont certains sont toujours présents aujourd’hui dans le top mondial des sites les plus visités. Pornhub, RedTube, Xvideos et Xhamster se lancent ainsi à quelques mois d’intervalle, marquant le début d’une guerre des « tubes » – le nom qui désignera les sites de ce type – qui durera des années.

​ Monter un site de ce type n’est pas particulièrement compliqué. Les outils techniques, et notamment les algorithmes de compression vidéo indispensables pour limiter les frais de bande passante, se démocratisent très vite. Trouver du contenu est également très simple : outre une poignée de vidéos amateur tournées et mises en ligne par les utilisateurs, l’écrasante majorité est pillée sur les sites payants ou d’autres « tubes ». Aucune modération, aucun contrôle de l’âge des internautes, aucun scrupule, mais des audiences gigantesques : le modèle des « tubes » bouscule en quelques années le monde de la pornographie en ligne.

Une oligarchie du porno

​ Dans le chaos de ces premières années, un homme va jouer un rôle déterminant : Fabian Thylmann. Ce jeune Allemand s’est spécialisé dans la publicité des sites pour adultes et investit dans plusieurs « tubes », dont il finit par prendre le contrôle, notamment Pornhub et YouPorn. Ses différentes plates-formes font à l’époque l’objet de dizaines de plaintes pour infraction au droit d’auteur, déposées par les sociétés de production et les studios du X.

​ Grâce à l’argent accumulé par ses sites, Fabian Thylmann résout en partie le problème… en s’offrant les entreprises qui l’attaquent. Brazzers, qui avait des accords avec certains « tubes », est rachetée en 2009 ; trois ans plus tard, le mastodonte Digital Playground et Reality Kings passeront également sous son contrôle.

​ L’ascension éclair de Fabian Thylmann est brutalement stoppée en 2012 lorsqu’il est interpellé et mis en examen pour fraude fiscale. Il revend l’année suivante son empire du porno – considéré comme le plus grand au monde – à deux autres entrepreneurs du secteur, les Canadiens Feras Antoon (cofondateur de Brazzers) et David Tassilo. C’est la naissance de MindGeek, aujourd’hui rebaptisé Aylo. Son principal concurrent, WGCZ Holding (Xvideos, Xnxx…), fondé par les Français Stéphane et Malorie Pacaud, rachète ou lance lui aussi en parallèle des studios en plus de ses sites de « tubes », comme Bang Bros et Legal Porno. Avec Wisebits Group (Xhamster, Stripchat), ces trois holdings contrôlent l’écrasante majorité des sites gratuits pour adultes les plus populaires au monde.

​ En quelques années, une poignée de plates-formes a ainsi révolutionné la manière dont les internautes accèdent aux vidéos pornographiques. « Quand les premiers “tubes” sont apparus, personne n’avait conscience d’à quel point ils allaient complètement modifier les habitudes de consommation de vidéos, se souvient Carmina, actrice et réalisatrice indépendante de films pour adultes et également rédactrice en chef du site spécialisé Le Tag parfait. Mais ça n’est pas propre au porno : c’était exactement la même chose pour YouTube ! »

Changement d’échelle et « prescription »

​ Des sites pour adultes existaient bien sûr avant l’arrivée de Xvideos ou Pornhub, mais les « tubes » ont solidifié l’idée que la pornographie était, au moins en partie, accessible gratuitement en ligne, donnant lieu à un changement d’échelle. « La montée des “tubes”, avec leur offre infinie de vidéos gratuites, a coïncidé avec le déclin global de l’économie de 2008 (…), et la très forte demande a entériné le fait que de nombreux utilisateurs ne seraient plus prêts à payer pour leur porno », expliquait en 2019 la chercheuse Margaret MacDonald (aujourd’hui au conseil consultatif de la maison mère de Pornhub) dans sa thèse sur l’industrie du porno.

​ L’avènement de ces plates-formes coïncide par ailleurs avec l’apparition des smartphones. Ensemble, ces deux éléments ont fait entrer le porno dans la sphère domestique, selon le chercheur Florian Vörös. « On peut le visionner en déplacement, dans les toilettes au travail, ça va changer les pratiques pour aller dans le sens d’une consommation qui s’insère dans les routines de la vie quotidienne », explique le sociologue à l’université de Lille.

​ Jusqu’à créer des addictions ? Répondant à un appel à témoignages du Monde, plusieurs internautes ont confié leur malaise devant leur propre consommation, mettant souvent en avant la facilité d’accès à la pornographie comme un facteur déterminant. Et sur le forum américain Reddit, certaines communautés rassemblent depuis des années des centaines de milliers de personnes exprimant une souffrance générée par une consommation massive de contenus pour adultes. Même si, d’un point de vue scientifique, l’addiction à la pornographie fait encore l’objet de nombreux débats.

​ Reste que les « tubes », en rendant tous les types de sexualité accessibles, les ont aussi rendus plus visibles. Côté pile, cela permet d’explorer librement sa sexualité, y compris lorsqu’elle va à rebours de tabous sociétaux : aux Etats-Unis, plusieurs études ont montré que la consommation de vidéos mettant en scène des personnes homosexuelles ou transgenres était proportionnellement plus forte dans les Etats les plus conservateurs. Côté face, ces plates-formes rendent aussi plus accessibles des contenus violents ou extrêmes, a fortiori lorsqu’elles sont mal, voire pas du tout, modérées.

​ Car, depuis leur apparition, une vive controverse existe sur leur caractère « prescripteur », faisant écho à un débat similaire plus large concernant l’impact de la pornographie sur la sexualité de ses consommateurs. Pornhub et ses concurrents sont ainsi régulièrement accusés de promouvoir, sur leur page d’accueil ou dans les suggestions de vidéos, une image violente, caricaturale ou malsaine de la sexualité, notamment avec le système des « tags ». Ces mots-clés peuvent aussi bien renvoyer à des descriptions physiques des actrices et acteurs qu’aux actes sexuels présentés ou au décor des vidéos. Nombre d’entre eux sont régulièrement dénoncés pour leur teneur raciste et misogyne, ou encore lorsqu’ils font la promotion de l’inceste.

​ « Certes, quand on a un intérêt spécifique, un “kink”, c’est hyperpratique pour trouver des vidéos correspondantes, reconnaît Carmina. Le problème, c’est qu’ils ont tendance à être fortement sexistes, racistes, classistes, hétéronormés… Catégoriser les corps avec des tags, ça peut être un problème ; mais les problèmes sur la vision du corps de la femme, ça n’est pas un débat inhérent au porno, c’est dans toutes les industries, dont le cinéma. »

La bataille du contrôle de l’âge

​ Devenus incontournables, la plupart des gros « tubes » ont tenté ces dernières années d’asseoir une forme de légitimité et d’engager un processus de « normalisation ». Certains ont mis fin au piratage à grande échelle de contenus, ont lancé des services pour rémunérer les « modèles », et tous ceux appartenant à de grands groupes ont conclu des accords avec des plates-formes payantes. En début d’année, MindGeek a même été racheté par Ethical Capital Partners, un fonds d’investissement canadien.

​ Mais tous sont encore aujourd’hui visés par des plaintes en justice et des enquêtes dans divers pays. De nombreux articles de presse récents ont montré que ces sites continuaient d’héberger des vidéos illégales, de violences sexuelles notamment, et ne répondaient pas, ou trop tardivement, aux demandes de suppression de contenus relevant du revenge porn (« pornodivulgation »), qui consiste à diffuser sans le consentement de quelqu’un des images censées rester privées. Le studio Legal Porno est notamment accusé d’imposer des conditions de travail et des scènes extrêmement violentes aux actrices : une enquête a été ouverte en République tchèque. En France, le scandale French Bukkake a révélé des pratiques violentes et un système de « prédation » organisé pour les tournages de ce site, en accès payant mais dont les vidéos se retrouvent aussi sur certains « tubes ».

​ De son côté, Pornhub a joué un rôle central dans le scandale Girls Do Porn, un studio accusé d’avoir monté un vaste système d’intimidation et de coercition pour imposer à des femmes de tourner des scènes en leur promettant une distribution confidentielle, alors même que les vidéos étaient diffusées sur des sites à forte audience. La plate-forme a également été impliquée en 2020 dans un autre scandale après la publication d’une enquête du New York Times sur la présence sur le site de vidéos pornocriminelles et de viols. A l’époque, Visa et Mastercard avaient coupé leurs services auprès de Pornhub, et l’entreprise avait supprimé en catastrophe une grande partie des contenus mis en ligne par ses utilisateurs.

​ Quatre plates-formes de « tubes » (Pornhub, Xvideos, Xnxx et Xhamster) sont directement visées par le récent – et controversé – rapport sur la pornographie du Haut Conseil à l’égalité entre les femmes et les hommes, publié en France le 27 septembre.

​ Plus menaçant encore pour ces sites, une bonne dizaine d’Etats américains et plusieurs pays, dont la France, ont cherché ces trois dernières années à leur imposer un contrôle strict de l’âge de leurs visiteurs. En Louisiane, où un mécanisme de vérification a été mis en place, Pornhub a « instantanément vu son trafic chuter de 80 % », expliquait à la mi-juillet au Monde Solomon Friedman, l’un des dirigeants de Aylo, propriétaire de la plate-forme. Dans l’Hexagone, le projet de loi visant à sécuriser et réguler l’espace numérique, débattu mercredi 4 octobre à l’Assemblée nationale, veut permettre le blocage des sites qui ne se plient pas aux règles, sans avoir à passer par une décision de justice.

​ Partout où elles sont proposées, ces lois imposant la vérification d’âge sont férocement contestées par les « tubes ». Système en double anonymat, empreinte de carte bleue, analyse faciale… si les modalités techniques d’un tel contrôle sont débattues, ce qui se joue en réalité est surtout leur modèle économique. Pour des sites qui ont bâti leur empire sur des revenus publicitaires et un océan de contenus accessible en deux clics, tout système de vérification constituera une entrave. Et donc une menace existentielle.

La Chine confrontée au trafic des “visages volés” de l’intelligence artificielle

Chantage à la fausse sextape, manipulations bancaires… En Chine, le développement de l’intelligence artificielle (IA) fait passer l’escroquerie en ligne à un niveau inédit. Dans une société où tout est enregistré, des caméras de surveillance à la reconnaissance faciale sur smartphone, les données relatives aux visages ou à la voix des individus se monnaient à vil prix sur Internet. Les victimes en “perdent la face” – littéralement.

Xinjing Bao par Wang Chang Traduit du chinois Publié aujourd’hui à 05h00 Lecture 9 min.

L’appel vidéo n’a duré que sept secondes. Assez, cependant, pour que Fang Yangyu soit persuadé que ce visage et cette voix étaient bien ceux d’un de ses proches. Et pour qu’il vire 300 000 yuans [près de 39 000 euros] sur un compte bancaire.

“En fait, tout était faux !” tranche le commissaire Zhang Zhenhua, du bureau de la sécurité publique de Shanghe [un district de la province du Shandong, dans l’est de la Chine]. “C’était une escroquerie par IA, comme on en voit beaucoup ces derniers temps.”

L’affaire s’est produite le 29 mai dernier : Fang Yangyu, qui réside à Jinan [la capitale du Shandong], regarde de courtes vidéos chez lui, quand il reçoit un message d’un inconnu qui se présente comme un membre de sa famille, et qui lui envoie son identifiant QQ [“Kioukiou”, du nom d’un des principaux réseaux de messagerie en Chine]. À peine Fang Yangyu a-t-il ajouté le contact qu’il reçoit un appel vidéo de celui qui a tout l’air d’être un de ses “cousins”.

Sous prétexte de la mauvaise qualité du réseau, son interlocuteur raccroche au bout de quelques phrases échangées. Leur conversation se poursuit dans le chat : le “cousin” explique qu’il doit de toute urgence transférer une somme d’argent, mais qu’il n’arrive pas à le faire directement. Il voudrait donc d’abord virer les fonds sur le compte de Fang Yangyu pour que celui-ci les transfère ensuite sur une carte bancaire donnée.

À l’autre bout de la Chine

Il lui envoie deux captures d’écran attestant du bon virement des sommes sur le compte de Fang Yangyu, qui s’étonne tout de même de n’avoir pas reçu de notification de sa banque. “Ça devrait arriver dans les vingt-quatre heures. De toute façon, les justificatifs bancaires font foi”, lui assure son “cousin”, qui fait doucement monter la pression. Face à ses demandes répétées, Fang finit par virer les 300 000 yuans sur le compte indiqué.

Peu après, son interlocuteur lui demande de transférer 350 000 yuans de plus. Fang Yangyu se méfie, se souvenant d’un message de sensibilisation aux arnaques ; il téléphone à un autre membre de sa famille [pour vérifier l’identité de ce “cousin”] et finit par découvrir le pot aux roses.

Le soir même, il prévient la police, qui constate que sa carte bancaire a été utilisée dans une bijouterie de la province du Guangdong [à l’autre bout de la Chine, dans le sud-est]. Le lendemain, la police locale interpelle six suspects dans la ville de Dongguan.

Elle découvre que le cerveau de cette escroquerie par IA se trouve dans le nord de la Birmanie. Les six individus arrêtés en Chine, eux, s’étaient organisés pour blanchir de l’argent au profit d’escrocs situés à l’étranger en se répartissant les tâches (achats d’or, versement de liquide à la banque, prises de contact en ligne, etc.).

La fuite de données, à la base du problème

Ces affaires d’escroqueries par IA interposée touchent tout le territoire chinois. Wang Jie, chercheur associé en droit à l’Académie des sciences sociales de Pékin, raconte avoir entendu parler pour la première fois de ce genre d’arnaque en 2019, lorsqu’un étudiant étranger avait cru échanger avec ses parents en visio alors que c’était un hypertrucage (aussi connu sous le nom anglais de deepfake) réalisé par des malfaiteurs. Avant cela, des affaires similaires de substitution de visages par IA à des fins frauduleuses avaient été traitées par les polices de Harbin (nord-est de la Chine) et de Fuzhou (sud-est) .

“Derrière les arnaques par intelligence artificielle, il y a toujours un problème de fuite de données”, souligne Wang Jie. Car, à l’ère de l’IA, la voix et le visage humains sont devenus des données qui peuvent se marchander et devenir source de profits.

De fait, nombreux sont ceux qui “perdent la face” sans s’en apercevoir. Il suffit pour cela de quelques secondes, comme en a fait l’amère expérience Pan Ziping, un habitant de la province de l’Anhui, dans l’est de la Chine.

Le 24 mars au soir, plongé dans la lecture d’un roman de fantasy sur son téléphone portable, il clique par inadvertance sur une publicité en voulant faire défiler le texte. L’action déclenche le téléchargement d’un jeu. Par curiosité, Pan Ziping essaie d’y jouer, puis désinstalle le programme, qu’il juge inintéressant.

Dix secondes fatales

Dans la foulée, il reçoit un appel téléphonique de l’étranger. Son interlocuteur affirme avoir accès à toutes les informations contenues dans son smartphone, en particulier sa galerie de photos et son répertoire. Il lui propose d’en parler sur QQ. Sans trop réfléchir, Pan Ziping l’ajoute donc à ses contacts. Dans la foulée, il reçoit un appel en visio. L’homme, qui n’a pas branché sa caméra, lui cite alors plusieurs noms de personnes figurant dans son carnet d’adresses, puis met fin à l’appel vidéo.

Quelques minutes plus tard, Pan Ziping reçoit par QQ une vidéo pornographique d’une dizaine de secondes : on y voit un homme nu en pleine action ; mais le visage de cet homme, c’est le sien. Pan Ziping est abasourdi : “C’est donc ça, la technologie d’aujourd’hui !” Alors qu’il est toujours interloqué, il reçoit un nouveau coup de téléphone, menaçant :

“Si tu ne me verses pas 38 000 yuans [près de 5 000 euros], j’envoie ta ‘petite vidéo’ à tout ton répertoire !”

À l’appui, l’homme joint une copie d’écran montrant que la vidéo est bien prête à partir ; un simple clic, et tous les amis, tous les contacts de Pan Ziping la reçoivent…

Pan Ziping partage alors son écran pour montrer à son interlocuteur qu’il n’a pas assez d’argent sur ses comptes Alipay et WeChat [nécessaires aux transferts d’argent]. L’homme diminue alors son prix, n’exigeant plus que 28 000 yuans, puis 18 000 et finalement 8 000 yuans [un peu plus de 1 000 euros]. Mais Pan Ziping est formel, c’est au-dessus de ses moyens. Son interlocuteur le pousse donc à emprunter les sommes nécessaires sur des plateformes de prêt en ligne.

Un jeu d’enfant

Pan hésite, prépare le transfert… Puis il finit par quitter l’appel et téléphone au 110 [le numéro d’urgence de la police]. Mais au bout du fil, l’agent refuse de recevoir sa plainte, au motif qu’il n’y a pas de préjudice avéré. Pan Ziping demande ce qu’il doit faire pour régler cette histoire de vidéo porno truquée par IA. On lui répond que la police n’a pas les moyens de la détruire. Et que la seule solution, pour lui, c’est d’envoyer un message collectif expliquant cette affaire à tout son carnet d’adresses.

Au fil de ses recherches, le chercheur Wang Jie a documenté de nombreux cas de pertes de données personnelles par des individus qui, après avoir consulté des sites web douteux, ont été victimes d’arnaques. Il estime que, avec les techniques actuelles, “capturer des données faciales est devenu un jeu d’enfant”. Elles sont collectées à notre insu par les caméras de surveillance omniprésentes, par les systèmes de détection faciale de nos smartphones ou encore par les applications qui demandent l’accès à nos galeries de photos.

En 2021, à Hefei [la capitale de l’Anhui], la police a débusqué un groupe de malfaiteurs qui se servaient de techniques d’intelligence artificielle pour trafiquer les visages de personnes sur des FMV [pour full motion videos, des scènes reconstituées à partir de fichiers vidéo préenregistrés]. Sur les ordinateurs des suspects, on a découvert une dizaine de gigaoctets de données faciales, qui ont changé de mains à de nombreuses reprises sur Internet – à l’insu, bien sûr, des personnes concernées.

Règlements inapplicables

Entre autres paliers franchis par les technologies de l’intelligence artificielle, les outils d’échange de visages par IA (aussi connus sous le nom face swap) sont désormais à la portée de tous.

Dès 2019, une application de ce genre appelée ZAO faisait fureur [en Chine], avant d’être retirée pour violation des droits d’auteur et atteinte à la vie privée, entre autres. Ses utilisateurs n’avaient qu’à fournir une photo de leur visage pour se retrouver, dans des vidéos, à la place de leur personnage de film ou de série préféré.

Spécialiste de droit pénal, Liu Xianquan met en garde contre les graves dangers qui peuvent résulter du détournement le plus anodin :

“En fait, ce n’est pas tant la technologie d’échange de visages par IA qui pose problème que la façon dont elle est utilisée.”

La Chine a mis en place, le 10 janvier dernier, un règlement limitant les services d’hypertrucage proposés sur Internet en Chine. Il stipule que les fournisseurs de ces services de deepfake ont pour obligation d’ajouter une fonction permettant d’identifier clairement le contenu comme étant issu d’un trucage numérique.

Par ailleurs, lorsqu’ils proposent des montages à partir de données biométriques comme la voix ou le visage d’un individu, ils sont tenus de prévenir leurs clients de l’obligation d’obtenir le consentement de cet individu. Problème : les techniques d’échange de visages par IA se monnayent bien souvent en catimini sur Internet, ce qui rend l’application de ce règlement particulièrement difficile.

Recréer les parties invisibles

On trouve des services en ligne proposant de changer les visages sur des photos pour 35, 50 ou 100 yuans [de 4,5 à 13 euros]. Pour les échanges de visages sur des vidéos, la tarification est à la minute, de 70 à 400 yuans [de 9 à 50 euros].

“Il est possible de changer n’importe quel visage”, indique l’un de ces marchands, qui se fait appeler “Zhang l’ingénieur”. Si un client lui fournit la photo ou la vidéo d’un visage, il est capable de l’intervertir avec celui d’une vedette, par exemple, mais aussi de “ressusciter” en vidéo des personnes mortes.

Zhang l’ingénieur ne propose pas seulement des prestations clé en main, mais aussi d’enseigner les techniques d’échange de visages. “Chez nous, on peut acheter un tutoriel et apprendre à tout faire soi-même”, indique-t-il. Il a lui-même développé un algorithme, qu’il vend 368 yuans sous forme d’extension sur la plateforme [de commerce en ligne] Taobao pour une utilisation illimitée pendant… cinquante ans !

Pour un rendu plus naturel, certains de ces marchands conseillent de fournir une photo de départ prise sous le même angle que celle de destination. Mais un autre vendeur affirme parvenir à un résultat criant de vérité avec juste une photo de face :

“Grâce au processus de ‘machine learning automatisé’, on peut reconstituer un visage dans ses moindres détails – y compris les parties invisibles.”

Le patron du studio de design vidéo Jielun, une boutique en ligne sur la plateforme WeChat, se présente comme un expert dans l’échange de visages par IA. Il montre avec fierté une vidéo de dix-neuf secondes qu’il a diffusée en mai dernier auprès de son cercle d’amis. Une femme vêtue d’un bustier, d’une minijupe et de bas noirs, s’y déhanche face à la caméra. Son visage ressemble en tout point à celui de la star [du cinéma et de la chanson] Yang Mi ; seul un léger décalage est décelable lorsqu’elle regarde vers le bas ou se tourne sur le côté.

Vingt euros la vidéo porno

Au studio Jielun, il faut compter 70 yuans la minute pour faire réaliser des vidéos ordinaires et 150 yuans [20 euros] pour des vidéos obscènes. Notre enquête confirme qu’il faut à peine deux heures de travail pour créer sur mesure une minute de vidéo porno truquée avec échange de visages.

Au cours de nos échanges, le patron du studio a demandé à plusieurs reprises à retirer des informations qu’il considérait comme “sensibles”. En revanche, il n’a jamais indiqué vouloir informer les “individus édités” de l’utilisation de leurs données faciales. Et, sur la vidéo truquée, il n’est nulle part fait mention d’un échange de visages par IA.

Mais le “commerçant” se retranche derrière ce qu’il appelle la “clause exonératoire de responsabilité” jointe à la vidéo. Elle stipule que “toute diffusion de matériel graphique ou vidéo est interdite, et le producteur n’en assume aucune conséquence. La vidéo est réalisée à des fins de divertissement uniquement, et nous ne pourrons en aucun cas être tenus responsables de l’utilisation des images et des vidéos, ni de tout autre dommage.”

Au Studio Jielun, on trouve également des applications ou des logiciels gratuits d’échange de visages par IA. Une rapide recherche sur TikTok suffit à découvrir de nombreuses offres publicitaires assorties de liens de téléchargement.

Le droit des victimes oublié

Ensuite, il suffit d’un clic : un clip publicitaire de vingt-cinq secondes se lance, après quoi, on peut utiliser gratuitement l’appli pour réaliser une vidéo truquée d’une dizaine de secondes, à partir de toute une série de courtes vidéos matricielles de célébrités ou de gens ordinaires, toutes disponibles sur la page d’accueil.

“C’est comme quand quelqu’un achète un couteau et commet un meurtre avec. Aurait-on l’idée d’en rejeter la faute sur le couteau ou sur celui qui l’a vendu ?”

Pour Gan Shirong, du cabinet d’avocats Huacheng de Pékin, ce n’est pas la technologie qui pose problème, mais l’utilisateur qui commet un acte illégal avec. Le juriste insiste, du reste, sur le fait que la vente “non encadrée” de ce genre de technologie augmente naturellement le risque de violation de la loi et rend son contrôle plus difficile.

Surtout, il est encore très compliqué de défendre les droits des victimes d’une violation d’identité par IA interposée. Comme le fait observer Liu Xianquan, d’un point de vue juridique, aucune réglementation pertinente n’existe actuellement sur l’utilisation et le développement des technologies d’intelligence artificielle.

Quant à Pan Ziping, il n’a finalement pas pu porter plainte après le vol de son visage et son utilisation dans une vidéo pornographique. L’affaire n’a pas eu de conséquence financière pour lui [puisqu’il a refusé le chantage], mais il n’a pu ni retrouver l’auteur du vol de son visage, ni empêcher la diffusion de la vidéo. Son seul recours a été d’envoyer un message collectif à tous les contacts de son répertoire pour leur demander de ne pas relayer la vidéo. Et, malgré les images, de ne pas croire à son contenu.

Le profilage de nos données personnelles a de réelles conséquences sur nos vies

Pourquoi cette offre d’emploi n’est-elle jamais arrivée jusqu’à vous ? Pourquoi n’obtenez-vous pas ce crédit ? La faute à vos données personnelles. Au-delà du profilage publicitaire, elles sont désormais utilisées pour déterminer votre façon de travailler, votre profil psychologique ou si vous êtes trop dépensier. Il est temps de reprendre le contrôle, affirme cette journaliste dans “New Scientist”.

En 2021, un vendredi, je suis entrée dans un hôtel d’Exeter, en Angleterre, à 17 heures, 57 minutes et 35 secondes. Le lendemain matin, j’ai conduit pendant neuf minutes pour me rendre à l’hôpital voisin. J’y suis restée trois jours. Le trajet de retour, qui dure normalement une heure quinze, m’a pris une heure quarante. Pourquoi cette vitesse ralentie ? Parce que je transportais mon nouveau-né à l’arrière.

Il ne s’agit pas d’un extrait de mon journal intime. C’est ce que Google sait du jour de la naissance de ma fille, rien qu’avec mon historique de géolocalisation.

Et les données personnelles amassées par d’autres entreprises ce week-end-là leur permettent d’en savoir beaucoup plus encore. Netflix se souvient que j’ai regardé plusieurs comédies légères, dont Gilmore Girls et Comment se faire larguer en 10 leçons. Instagram a noté que j’avais liké un post sur l’accouchement déclenché et que je ne me suis pas reconnectée pendant une semaine.

Et alors ? Nous savons tous aujourd’hui que la moindre de nos activités en ligne est suivie et que les données collectées sont extrêmement détaillées et s’accumulent en continu. D’ailleurs, peut-être appréciez-vous que Netflix et Instagram connaissent si bien vos goûts et préférences.

“Il y a de quoi être horrifié”

Pourtant, les enquêtes et procès se multiplient et dressent un tableau où la collecte de nos données a une incidence nettement plus insidieuse que ce que la plupart d’entre nous imaginent. En me penchant sur le sujet, j’ai découvert que la collecte de mes données personnelles pouvait avoir des conséquences sur mes perspectives professionnelles, mes demandes de crédit et mon accès aux soins.

Autrement dit, cette pratique a potentiellement des répercussions sur ma vie dont je n’ai même pas idée. “C’est un immense problème, et chaque jour il y a de quoi être horrifié”, résume Reuben Binns de l’université d’Oxford.

On pourrait croire qu’avec la mise en place en 2018 du RGPD (Règlement général sur la protection des données) – la loi européenne qui permet aux internautes de mieux contrôler la collecte et l’utilisation de leurs données personnelles –, les questions de vie privée ont été essentiellement résolues. Après tout, il suffit de ne pas accepter les cookies pour ne pas être pisté, non ? Alors que je tiens ce raisonnement devant Pam Dixon, représentante du World Privacy Forum, elle part dans un grand éclat de rire incrédule. “Vous croyez vraiment ça ? me lance-t-elle.

95 % des sites en infraction

Des centaines d’amendes ont déjà été infligées pour manquement au RGPD, notamment contre Google, British Airways et Amazon. Mais pour les spécialistes, ce n’est que la partie émergée de l’iceberg. Selon une étude menée l’an dernier par David Basin, de l’école polytechnique de Zurich, près de 95 % des sites Internet pourraient être en situation d’infraction.

Alors que la loi devait aider les citoyens à mieux comprendre de quelles données ils autorisent la collecte, plusieurs études montrent que les politiques de confidentialité des marques sont devenues de plus en plus complexes, et non l’inverse. Et si vous vous croyez protégé par les bloqueurs de publicité et les VPN qui masquent votre adresse IP, détrompez-vous. Bon nombre de ces services vendent également vos données.

Nous commençons à peine à mesurer l’ampleur et la complexité du problème. Une poignée de grandes entreprises – Google, Meta, Amazon et Microsoft – pèsent lourd dans l’équation, reconnaît Isabel Wagner, chercheuse en cybersécurité à l’université de Bâle, en Suisse. Mais derrière eux se cache une myriade d’acteurs, des centaines, voire des millions d’entreprises, qui achètent, vendent, hébergent, pistent et analysent nos données personnelles.

Qu’est-ce que cela signifie pour une personne ordinaire comme moi ? Pour le savoir, je me suis rendue à Lausanne, à HestiaLabs, une start-up fondée par Paul-Olivier Dehaye, mathématicien et principal lanceur d’alerte dans le scandale de Cambridge Analytica. Ce cabinet de conseil politique avait illégalement utilisé des données d’utilisateurs Facebook pour faire pencher l’élection présidentielle de 2016 en faveur de Donald Trump. L’enquête de Paul-Olivier Dehaye sur Cambridge Analytica a révélé jusqu’où s’étendait le pouvoir d’influence des vendeurs et acheteurs de données. C’est pour changer cela qu’il a créé HestiaLabs.

Avant notre rendez-vous, je demande à plusieurs entreprises de me fournir les données personnelles qu’elles ont enregistrées sur moi – une démarche plus laborieuse qu’on ne serait en droit de le croire depuis le RGPD. Puis, je retrouve Charles Foucault-Dumas, responsable de projet à HestiaLabs, dans les bureaux de la société, un modeste espace de coworking en face de la gare de Lausanne. Installés face à son ordinateur, nous chargeons mes données sur son portail.

Mes données s’affichent devant moi sous la forme d’une carte indiquant tous les endroits où je suis allée, tous les “j’aime” que j’ai distribués et toutes les applications ayant contacté une régie publicitaire. Sur les lieux que je fréquente régulièrement, comme la crèche de ma fille, des centaines de points de données forment de grosses taches colorées. Mon adresse personnelle est marquée par un énorme point, impossible à manquer. C’est édifiant. Et un peu terrifiant.

Fan de rugby, de chats et du festival Burning Man ?

Le plus surprenant est de découvrir quelles applications contactent des services tiers en mon nom. La semaine dernière, le comportement le plus coupable – 29 entreprises contactées – est venu d’un navigateur Internet qui se vante précisément de respecter votre vie privée. Mais, finalement, qu’il s’agisse d’un simple outil de prise de notes ou d’une appli de courses en ligne, à peu près toutes les applications de mon téléphone sollicitent en permanence des entreprises pendant que je vis ma vie.

En règle générale, une entreprise qui vend un produit ou un service s’adresse à une agence de communication faisant le lien avec des plateformes de vente, d’achat et d’échanges d’espaces publicitaires, elles-mêmes connectées à des régies publicitaires chargées de placer les annonces sur un média. Chaque fois que vous allez sur un site Internet ou que vous survolez un message sur un réseau social, toute cette machinerie se met en route – et produit plus de 175 milliards d’euros par an.

Quelles données personnelles ces entreprises s’échangent-elles ? Pour le savoir, il faudrait que je pose la question à chacune d’entre elles. Et même dans le cas de celles que j’ai pu contacter avec l’aide d’HestiaLabs, la réponse n’est pas toujours évidente.

Prenons l’exemple d’Instagram. Le réseau social liste 333 “centres d’intérêt” associés à mon profil. Certains sont pour le moins surprenants : le rugby, le festival Burning Man, le marché immobilier et même “femme à chats”. Ami lecteur, sache que je n’ai jamais eu de chat.

D’autres sont plus justes, et sans surprise : un certain nombre d’entre eux sont liés à la parentalité, qu’il s’agisse de marques comme Huggies ou Peppa Pig, de discussions sur les lits de bébé ou le sevrage. J’en viens à me demander de quelle manière ces données n’ont pas seulement influencé mes achats mais aussi la vie de ma fille. Sa fascination pour les aventures d’une famille de petits cochons roses est-elle entièrement naturelle ou nous a-t-on “servi” ces vidéos en raison de certaines de mes données personnelles transmises par Instagram ? Tous ces messages sur le sevrage sont-ils apparus spontanément sur mes réseaux sociaux – influant sur la façon dont j’ai initié ma fille à la nourriture solide – ou ai-je été ciblée ? Impossible de reconstruire les liens de cause à effet. J’ignore complètement si mes “centres d’intérêt” m’ont désignée pour d’éventuels démarchages.

Les échanges de données personnelles forment un écheveau quasiment impossible à démêler. Il n’est pas rare que des données soient copiées, segmentées et ingurgitées par des algorithmes et des systèmes d’apprentissage automatique. Résultat, explique Pam Dixon, même avec une législation comme le RGPD, nous n’avons pas accès à la totalité de nos données personnelles. “Il y a un double niveau à ce problème. Il existe une première strate, constituée par les données que nous pouvons retrouver, poursuit-elle. Et une seconde que l’on ne voit pas, que nous n’avons légalement pas le droit de voir, personne.”

Au-delà du ciblage publicitaire

De récents rapports offrent toutefois quelques aperçus. En juin, une enquête du journal américain The Markup a révélé que ce type de données cachées permettait aux publicitaires de nous catégoriser en fonction de nos affinités politiques, de notre état de santé et de notre profil psychologique. Suis-je une “maman accro à son portable”, une “bonne vivante”, “une facilement découragée” ou une “woke” ? Je n’en sais rien. Ce que je sais, c’est que toutes ces étiquettes sont effectivement utilisées par les régies publicitaires en ligne.

Il est perturbant d’apprendre que je suis ainsi étiquetée sans savoir pourquoi ni comment. Une part de moi se demande si c’est vraiment grave. Car je comprends l’intérêt d’avoir des publicités qui tiennent compte de mes préférences, ou d’ouvrir mon application de navigation et de voir apparaître les musées et les restaurants où je suis déjà allée ou qui sont susceptibles de me plaire. Mais, croyez-moi, la désinvolture avec laquelle nous acceptons ce marché est l’un des moyens les plus sûrs de faire grincer des dents un spécialiste de la vie privée.

D’une part, commence Pam Dixon, les utilisations de ces données vont bien au-delà du ciblage publicitaire. Il suffit d’un détail aussi insignifiant que l’enseigne où vous faites vos courses (être client d’une chaîne discount est un indicateur de faible revenu) ou l’achat d’un produit de sport (signe que vous faites de l’exercice) pour modifier votre profil de candidat à l’entrée d’une université ou le montant de votre prime d’assurance médicale. “On ne parle pas que de publicité ici, insiste-t-elle. C’est la vie réelle.”

Aux États-Unis, de récentes lois ont levé le voile sur les pratiques de certaines entreprises. Adopté en 2018 dans le Vermont, le Data Broker Act a ainsi révélé que les courtiers en données enregistrés dans cet État – mais également présents dans d’autres – vendaient des données personnelles à de potentiels employeurs ou bailleurs, souvent via des intermédiaires. En juillet, le bureau américain de protection financière du consommateur a découvert que des données cachées servaient à “noter” les consommateurs, un peu de la même manière que les banques vous attribuent une note financière globale lorsque vous faites une demande de prêt. Reuben Binns explique :

“Il y a les choses que vous faites, les sites que vous visitez, les applications que vous utilisez, tous ces services peuvent alimenter des plateformes qui vérifient si vous êtes un bon candidat à la location et quelles conditions de crédit vous proposer.”

À HestiaLabs, je comprends que j’ai peut-être moi aussi été affectée par ces pratiques dans mon quotidien, pas seulement à travers le ciblage publicitaire mais également par la façon dont mes données sont traitées par les algorithmes. En effet, sur LinkedIn, un des présupposés liés à mon profil indique que je ne suis ni “une personnalité de leader” ni “un manager senior”. Alors que j’ai dirigé une équipe de 20 personnes à la BBC et qu’avant cela j’ai été rédactrice en chef de plusieurs sites web de la chaîne – autant d’informations que j’ai spécifiquement compilées sur mon profil LinkedIn. Cela a-t-il une incidence sur mon évolution professionnelle ? Lorsque je pose la question à un représentant de la plateforme, on m’assure que ces “présupposés” ne sont aucunement utilisés “pour sélectionner les offres d’emploi qui [me] sont proposées sur ce réseau”.

Une protection de la vie privée qui laisse à désirer

Pourtant, plusieurs actions en justice ont révélé que, sur Facebook, des données étaient utilisées afin de cacher aux femmes certaines offres d’emploi dans le secteur des technologies. En 2019, la maison mère du réseau, Meta, a supprimé cette possibilité pour les annonceurs. Sauf qu’il est très facile de trouver d’autres moyens d’exclure les femmes, soulignent les spécialistes, par exemple en ciblant les profils comportant des intérêts associés à des stéréotypes masculins. “Ces préjudices ne sont pas visibles sur le moment pour l’utilisateur. Ils sont souvent très abstraits et peuvent intervenir très tard dans le processus de filtrage”, explique Isabel Wagner.

Plus le volume de données collectées augmente, plus la liste des problèmes signalés dans les médias s’allonge. Des applications de suivi d’ovulation – ainsi que des SMS, des courriels et des recherches sur Internet – ont été utilisées pour lancer des poursuites contre des femmes s’étant fait avorter aux États-Unis depuis la suppression de l’[arrêt Roe vs Wade](https://www.courrierinternational.com/article/carte-le-nombre-d-avortements-augmente-aux-etats-unis-malgre-l-arret-de-la-cour-supreme#:~:text=La décision de la Cour,avortements pratiqués dans le pays.) l’an dernier.

Des prêtres ont vu leur homosexualité dévoilée après qu’ils ont utilisé l’application de rencontre Grindr. Un officier russe a été tué lors de son jogging matinal après avoir été suivi, présume-t-on, par l’intermédiaire des données publiques de son compte Strava. La protection des données vise à empêcher ce genre de problèmes. “Mais de toute évidence la mise en œuvre laisse fortement à désirer”, soupire Reuben Binns.

Le problème tient en partie au manque de transparence des entreprises. Nombre d’entre elles optent pour des systèmes “protégeant la vie privée” où les données d’une personne sont segmentées en plusieurs points de données qui sont disséminés dans différents serveurs ou localement chiffrés. Paradoxalement, cela complique surtout la tâche pour l’utilisateur qui souhaite accéder à ses propres données et comprendre comment elles sont utilisées.

Du point de vue de Paul-Olivier Dehaye, le fondateur d’HestiaLabs, il ne fait aucun doute que les entreprises peuvent et doivent nous rendre le pouvoir sur nos données. “Si vous allez sur un site maintenant, une multitude d’entités en seront informées dans la seconde et sauront qui vous êtes et sur quel site vous avez commandé une paire de baskets il y a deux semaines. Dès lors que l’objectif est de vous inonder de mauvaises pubs, les entreprises sont capables de résoudre tous les problèmes. Mais demandez-leur vos données, et elles ne savent plus rien faire. Mais il existe un moyen de mettre cette force du capitalisme à votre service plutôt qu’au leur.”

J’espère qu’il a raison. Alors que je marche dans les rues de Lausanne après avoir quitté les bureaux d’HestiaLabs, je vois un homme devant la vitrine d’un magasin de couteaux, son téléphone portable dépassant de sa poche, puis une femme tirée à quatre épingles, un sac Zara dans une main et son portable dans l’autre. Un peu plus loin, un homme parle avec animation dans son téléphone devant le commissariat de police.

Pour eux comme pour moi, tous ces instants sont aussi brefs qu’insignifiants. Mais pour les entreprises qui collectent nos données, ce sont autant d’occasions à saisir. Des opportunités monnayables. Et tous ces points de données ne disparaîtront peut-être jamais.

Reprendre le contrôle

Suivant les conseils de Paul-Olivier Dehaye et des autres spécialistes que j’ai interrogés, je décide en rentrant chez moi de faire le tri dans mon téléphone et de supprimer les applications dont je ne me sers pas. Je me débarrasse également de celles que j’utilise peu et qui contactent un peu trop d’entreprises ; je les utiliserai depuis mon ordinateur portable à la place. (J’utilise un service appelé “TC Slim” qui m’indique quelles entreprises sont en lien avec mes applications.) J’installe également un nouveau navigateur qui respecte réellement – semble-t-il – ma vie privée. Les applications et navigateurs open source et non commerciaux sont généralement de bonnes solutions, explique Isabel Wagner, car leurs développeurs ont moins d’intérêt à collecter vos données.

J’ai également commencé à éteindre mon téléphone lorsque je ne m’en sers pas. Car la plupart des téléphones continuent à transmettre vos données de géolocalisation même lorsque vous coupez la connexion wifi et les données mobiles ou activez le mode avion. Sur mon compte Google, j’ai décoché l’option de sauvegarde des lieux, même si pour le moment une sorte de nostalgie m’empêche de demander la suppression de tous mes historiques.

On peut également modifier notre façon de payer. Pam Dixon qui préconise d’avoir plusieurs cartes bancaires et de choisir “minutieusement” lesquelles utiliser sur Internet. Pour les achats susceptibles d’envoyer un signal “négatif”, dans un magasin discount par exemple, préférez les paiements en liquide. Elle recommande également d’éviter les sites et applications liés à la santé. “C’est un terrain miné en général”, résume-t-elle. Malgré toutes les mesures que vous prendrez, les entreprises trouveront toujours des moyens de contourner vos garde-fous. “C’est un jeu où on ne peut que perdre”, conclut Paul-Olivier Dehaye. Raison pour laquelle la solution ne relève pas des seuls individus. “Nous avons besoin d’un véritable changement sociétal”, confirme Reuben Binns.

Si suffisamment de gens parviennent individuellement à faire entendre leur voix, nous pourrons faire évoluer le système, espère Paul-Olivier Dehaye. La première étape consiste à faire une demande d’accès à vos données personnelles. “Faites comprendre aux entreprises que si elles font un pas de travers vous ne leur ferez plus confiance, résume-t-il. À l’ère des données, si vous perdez la confiance des gens, votre entreprise est condamnée.”

NFT : encore plus stupide

Par Pablo le jeudi 20 janvier 2022, 13h12

L’objectif d’un NFT est d’établir un titre de propriété. L’idée est de certifier une association entre une identité numérique (le propriétaire) et un objet (la propriété, le plus souvent numérique également), et d’utiliser la technologie de la blockchain pour stocker et distribuer ce certificat de propriété.

Ça commence mal : les personnes qui prétendent utiliser une blockchain pour établir des titres de propriétés mentent ou ne savent absolument pas de quoi elles parlent. Cela a été établi dans un précédent billet (dont je vous conseille la lecture avant celui-ci) où j’expliquais qu’une blockchain ne peut pas servir de source de vérité pour quoi que ce soit qui ne soit pas intrinsèquement “dans” ladite blockchain. Cette technologie n’a donc aucun avantage par rapport au papier[1], mais a par contre beaucoup d’inconvénients que le papier n’a pas (consommation énergétique, transactions acentrées impossibles, etc.).

Ce que prétendent apporter les NFT, c’est la décentralisation et l’absence de la nécessité de tiers de confiance. Cela suffit en soi à discréditer complètement l’idée des NFT, puisqu’il s’agit de titre de propriété sur une blockchain et que justement, l’utilisation d’une blockchain ne permet en réalité aucune décentralisation ni aucune suppression du besoin de confiance comme cela est démontré dans le billet cité précédemment. Mais comme l’indique le titre de ce billet : les NFT sont encore plus stupides.

NFT signifie “non-fungible token”, c’est à dire “jeton non-fongible” : il s’agit d’un morceau d’information non interchangeable, par opposition aux unités de cryptomonnaies par exemple. Quand on a 1 bitcoin, on a 1 bitcoin n’importe lequel, ils sont tous équivalents, au sens strict d’avoir la même valeur. Chaque NFT est unique et identifiable. Un billet de 10€ vaut la même chose que n’importe quel autre billet de 10€ (ou que n’importe quel ensemble de pièces et billets qui valent 10€) : les euros sont fongibles. En revanche si on décide que les billets de 10€ n’ont plus cours mais qu’on les garde et qu’on ouvre un marché des billets de 10€ où chacun est unique et identifié par son numéro de série, alors je peux espérer vendre plus cher mon billet numéroté 198357 que celui numéroté 840414 par exemple en disant que c’est un nombre premier et qu’il y a un nombre limité de tels billets (ce qui est faux puis stupide, mais je peux le dire quand même…).

Cette idée illustre ce qu’on entend par “non-fongibilité”. C’est ça qui fait que numéroter des objets en quantité limité augmente leur valeur[2] : non seulement ils sont rares mais en plus ils sont maintenant uniques puisque chacun a un numéro différent. Mais dans le cas des NFT, c’est encore plus stupide : des NFT, absolument rien n’empêche d’en créer plusieurs (et même autant qu’on veut) pour exactement le même objet (donc il peut y avoir plusieurs certificats de propriété pour une même œuvre), et n’importe qui peut en créer pour n’importe quoi (donc aucune garantie que la personne qui crée ou vend un NFT ait des droits sur la propriété de l’objet associé). Tout se passe comme si un même billet de 10€ (au sens de l’objet physique, nécessairement unique) pouvait avoir une infinité de numéros de série, et que c’est à ces numéros de série qu’on attribuait de la valeur, et potentiellement des valeurs différentes à chacun. Oui oui, ça n’a absolument aucun sens.

En fait c’est même encore plus stupide : l’objet associé à un NFT est généralement un objet numérique, dont la rareté n’existe donc pas[3] puisqu’il est transmissible par copie (par opposition à mon billet de 10€ que je n’aurais forcément plus en ma possession quand je l’aurais transmis à quelqu’un·e d’autre). Cela signifie que l’objet associé au NFT (et qui manifestement contribue à sa valeur sur le marché alors qu’on a déjà vu au paragraphe précédent que ça ne fait pas sens) peut lui même être répliqué infiniment. Cela peut sembler évident mais on a vu vraiment beaucoup de cas de personnes ayant acheté une image en NFT pour l’utiliser comme photo de profil sur des réseaux sociaux et traitant de voleurs les personnes qui récupéreraient cette image par un simple clic droit puis “enregistrer l’image sous…”, par exemple.

Toutes ces critiques sont déjà valides en admettant encore l’idée qu’un NFT serait effectivement un titre de propriété, mais en réalité c’est encore plus stupide. En principe, du moins du point de vue des défenseurs de cette technologie, posséder un NFT associé à l’objet (numérique ou non) X permet de dire « Je suis le propriétaire officiel de X, j’ai un certificat qui le prouve. ». Sauf que la notion propriété n’a absolument rien de naturelle, elle n’existe pas autrement que comme une construction sociale. La propriété peut résulter d’un rapport de force “brute”[4] ou d’un accord commun, mais dans tous les cas, il s’agit d’une forme de violence. Dans le premier cas le rapport de force doit être renouvelé sans arrêt. Dans le second cas il est nécessaire qu’une forme d’autorité extérieure fasse respecter l’accord aux différentes parties (avec un pouvoir de sanction en cas de non respect, ou un pouvoir absolu de contrainte). Et dans les deux cas, la notion de propriété n’existe et n’a de sens que pour la communauté concernée[5]. Bref, un titre de propriété n’a aucune valeur dans l’absolu si il n’y a pas une autorité tierce qui le fait appliquer, et lui donne par là même sa valeur. C’est vrai quand le titre de propriété prend la forme d’un bout de papier, mais c’est vrai aussi quand il prend la forme d’un NFT. En écrivant dans une blockchain que tel personne est propriétaire de tel objet, on a absolument rien fait de plus que si on avait écrit cette même affirmation sur du papier : ça n’a absolument aucune valeur tant qu’il n’y a pas une autorité tierce qui fait appliquer, qui rend vrai, ce qui est écrit[6]. Exit donc une fois de plus l’idée de décentralisation ou de désintermédiation…

Mais accrochez-vous car ce n’est pas fini : l’association d’un objet à un NFT ne se fait généralement pas directement sur la blockchain pour des raisons techniques (pour les objets physiques — montres de luxe, œuvres d’art, etc. — c’est évident ; et les objets numériques sont trop volumineux pour ça). Notez bien que même dans les très rares cas où l’objet est enregistré sur la blockchain, tout ce qu’on a dit jusque là s’applique parfaitement. Ce qui est stocké sur la blockchain est en fait le plus souvent un lien vers une page web[7] qui pointe à son tour vers l’objet associé au NFT. Ce qui signifie qu’on perd toute idée de décentralisation (qui est la raison d’être de cette technologie — même si cette croyance n’est que le fruit d’une énorme incompréhension comme on l’a déjà vu) puisqu’une plateforme centralisée est nécessaire pour faire le lien entre le NFT et l’objet associé. C’est déjà assez affligeant mais en fait c’est encore plus stupide : du fait de la centralité de ce tiers de confiance imposé, le NFT lui même est sujet au risque de pointer vers un lien mort dans le meilleur des cas (par exemple si le site de la plateforme disparaît ou change d’adresse). Mais cela peut être pire : le site pourrait se faire pirater ou simplement être remplacé plus tard par un autre qui ferait des associations fantaisistes, afficherait de la pub, tenterait d’infecter ses visiteurs avec des virus, ou se contenterait tout simplement de troller.

Il est donc assez clair que la technologie des NFT est purement et entièrement du vent et n’a aucune application sérieuse possible (en dehors d’enrichir les plus hauts étages d’une pyramide de Ponzi tout en accélérant le réchauffement climatique). Regardons tout de même de plus près le cas d’usage non purement spéculatif qui semble être le plus souvent mis en avant par les défenseurs de cette technologie : son utilisation dans un metavers ou le domaine du jeu vidéo (je vais parler de “monde virtuel” de façon général) pour des marchés d’accessoires “in game”.

Ce qui fait que cette idée semble fonctionner, c’est que dans le cas d’un monde virtuel dont on contrôle tout, on peut effectivement décider que la blockchain sur laquelle on enregistre les NFT est une source de vérité. Techniquement, ça fonctionne. Le monde virtuel peut complètement empêcher les participant·es qui ne sont pas identifié·es comme propriétaires d’un NFT de bénéficier de l’objet associé à celui-ci. L’entreprise qui édite le jeu, au travers de l’implémentation du monde virtuel, c’est à dire des règles écrites dans son code source, a ici le rôle de l’autorité tierce et centralisée qui a le pouvoir absolu de rendre vrai ce qu’elle veut, et donc entre autre ce qui serait écrit sur une blockchain. Si l’entreprise change d’avis, la vérité dans le monde virtuel change avec… Et c’est même encore plus stupide. Contrairement à ce qu’on peut régulièrement lire sur le sujet, cela ne permettrait absolument pas de transférer des objets d’un monde virtuel à l’autre si ce n’est pas prévu dans le code des mondes virtuels en question : si un jeu n’a pas prévu de code pour afficher un chapeau rouge sur votre avatar, vous ne pourrez pas y afficher un chapeau rouge sur votre avatar, même si vous être le “propriétaire” d’un NFT associé à l’idée d’un chapeau rouge et que le jeu prend en compte la blockchain sur laquelle c’est le cas par ailleurs. Les NFT ne permettent pas non plus un marché de revente d’objets entre joueur·ses au sein d’un même monde virtuel si celui-ci ne prévoit pas la possibilité de transfert de propriété (ce qu’il pourrait décider de ne faire qu’avec une taxe par exemple…). Bref, tout ce qui relèverait d’autre chose que du marché spéculatif de (re)vente de faux titres de propriété à des acheteurs crédules dépend entièrement de la volonté de l’entité qui contrôle le monde virtuel. On est donc bien dans un système entièrement centralisé, et il n’y a aucun avantage à utiliser des NFT et donc une blockchain pour ça. Techniquement il y a même de nombreux désavantages : ce sera plus coûteux en ressources et moins efficace qu’une simple base de données pour arriver au même résultat.

Mise à jour (22/01/2022) : il a été porté à mon attention que le terme “débile” est problématique car il semble être encore beaucoup attaché aux handicaps cognitifs, j’ai donc pris la décision de le remplacer par “stupide” qui a la même signification sans être validiste.

Notes

1. ^ Je parle de papier un peu pour forcer le trait, mais la critique reste la même dans le monde numérique, avec les technologies qu’on utiliserait à la place d’une blockchain, qu’elles soient distribuées (dépôt Git, DHT, etc.) ou centralisées (comme une base de données tout à fait classique).
2. ^ On ne parle ici que de valeur d’échange sur un marché de la rareté et en supposant une demande forte. La valeur intrinsèque, la valeur d’usage de ces objets, n’a évidemment aucune raison de changer parce qu’ils sont numérotés…
3. ^ Il est possible d’essayer de créer de la rareté artificiellement sur des objets numériques, mais les NFT sont incapables de ça. La seule chose qui le permet sont les DRM (“digital rights maganement” ou MTP en français pour “mesures techniques de protection”), qui sont historiquement un échec cuisant au niveau technique, et qui ne peuvent absolument pas fonctionner sans tiers de confiance par ailleurs, ce qui annihile encore une fois l’intérêt potentiel des NFT.
4. ^ Guerre de territoire dans les sociétés humaines, combat (ou juste pipi qui sent plus fort ^^) dans certaines communautés animales, par exemple.
5. ^ Chez les animaux qui marquent leur territoire par exemple, la plupart des autres espèces (en tout cas celles avec qui il n’y a pas de rapport de prédation ou de coopération quelconque) n’ont probablement rien à faire des marqueurs de territoire, si tant est qu’elles soient capables de les interpréter. Il en va de même pour nos barrières et nos frontières (sinon on ferait des OQTF aux moustiques).
6. ^ L’idée développée dans ce paragraphe est détaillée dans le billet évoqué plus haut : la vérité sur la blockchain.
7. ^ Et seulement un lien, même pas de condensat cryptographique de l’objet permettant de s’assurer de son intégrité… Sauf dans quelques rares cas où le lien est un identifiant IPFS, mais ça ne change rien aux autres problèmes.

​ « La nécessité de la preuve de travail (ou d'enjeu)

How Mastercard sells its ‘gold mine’ of transaction data

Mastercard knows where people shop, how much they spend, and on what days - and it sells that information online.

R.J. Cross - Director, Don't Sell My Data Campaign, U.S. PIRG Education Fund; Policy Analyst, Frontier Group

Today, many of the companies we interact with on a daily basis have found a new revenue stream: selling their customers’ data. There are huge markets for personal data, bought by companies ranging from advertisers and tech companies, to hedge funds and data brokers.

Credit card data in particular is extremely valuable. Knowing how much people spend, where and on what day says a lot about consumers’ financial situations, their personal lives and the decisions they might make in the future.

In the last decade, Mastercard has increasingly capitalized on the transaction data it has access to in the course of being a payment network. Mastercard sells cardholder transaction data through third party online data marketplaces and through its in-house Data & Services division, giving many entities access to data and insights about consumers at an immense scale.

Mastercard is far from the only company engaged in data sales, nor is it necessarily the worst actor. But in its position as a global payments technology company, Mastercard has access to enormous amounts of information derived from the financial lives of millions, and its monetization strategies tell a broader story of the data economy that’s gone too far.

Mastercard sells data on third party data marketplaces

Mastercard sells bundles of cardholder transaction data to third party companies on large online data marketplaces. Here, third parties can access and use information about people’s spending to target advertisements to individuals, build models that predict consumers’ behavior, or prospect for new high-spending customers.

For example, Mastercard’s listing on Amazon Web Services Data Exchange states that companies can access data like the amount and frequency of transactions, the location, and the date and time. Mastercard creates categories of consumers based on this transaction history, like identifying “high spenders” on fast fashion or “frequent buyers” of big ticket items online, and sells these groupings, called “audiences”, to other entities. These groups can be targeted at the micro-geographic level, and even be based on AI-driven scores Mastercard assigns to consumers predicting how likely they are to spend money in certain ways within the next 3 months.

The data Mastercard monetizes on these marketplaces is in aggregated and anonymized bundles. Aggregating and anonymizing consumer data helps cut down on some of the risks associated with data monetization, but it does not stop reaching people on an individual level based on data. High-tech tools connected to these third party data marketplaces allow companies to target and reach selected individuals based on traits like past spending patterns or geographic location.

Mastercard is a listed data provider on many of the major online data marketplaces. In addition to Amazon Web Services Data Exchange, Mastercard has listings on Adobe’s Audience Marketplace, Microsoft’s Xandr, LiveRamp, and Oracle’s BlueKai, among others. Selling data on even one of these makes consumer transaction behavior available to a significant number of entities.

Mastercard has established its own data sales division

In addition to data sales on third party marketplaces, Mastercard also has its own Data & Services division. Here, Mastercard advertises access to its databases of more than 125 billion purchase transactions through its more than 25 data services products. Some products give companies the chance to pay for cybersecurity and fraud detection tools. Others are focused on the monetization of consumer information for AI-driven consumer modeling and highly-targeted advertising.

For example, Intelligent Targeting enables companies to use “Mastercard 360° data insights” for identifying and building targeted advertising campaigns aimed at reaching “high-value” potential customers. Companies can target ads to selected consumers with profiles similar to Mastercard’s models – people it predicts are most likely to spend the most money possible.

Another data services product, Dynamic Yield, offers dashboard tools allowing companies to “capture person-level data” of website or app users, do A/B consumer testing, and “algorithmically predict customers’ next purchase with advanced deep learning and AI algorithms”. One of Dynamic Yield’s data products, Element, advertises that companies can “[l]everage Mastercard’s proprietary prediction models and aggregated consumer spend insights to deliver differentiating personalization that caters to each users’ unique habits and expectations like never before.” While the transaction data Mastercard offers may be aggregated, it’s clearly used to identify targets and reach them at the individual level.

Another example is SessionM, Mastercard’s customer data management platform product, allowing companies to combine their first-party data with data from other sources to create “360 degree” profiles of consumers that can be updated in real time based on purchases.

“That gold mine of data”: Mastercard has been building its data monetization capabilities for over a decade

In the last 15 years, Mastercard’s data monetization strategies have been a growing part of its revenue stream. In 2008, Mastercard’s then head of Global Technology and Operations said in an interview that a big question for Mastercard was how to “leverage that gold mine of data that occurs when you have 18.7 billion transactions that you’re processing.” By 2013 the company had established an in-house data monetization division – then called Information Services – and was approaching online advertising and media desks about opportunities to leverage its then reportedly 80 billion consumer purchases data. In 2018, Bloomberg reported that Mastercard and Google made a deal to provide credit card data for Google’s ad measurement business.

Recently, corporate acquisitions have helped drive Mastercard’s data revenue growth. In 2019, MasterCard acquired the AdTech platform SessionM, and in 2021 bought the AI company Dynamic Yield from McDonald’s. We briefly outline both platforms in the section above.

Selling data can harm consumers

Almost every company we interact with collects some amount of data on us. Often it’s more information than they really need – and it’s often used for secondary purposes that have nothing to do with delivering the service we’re expecting to get. This way of doing business unnecessarily increases the risks for regular people whose data has become a commodity, often without their knowledge.

Security and scams

When companies engage in data harvesting and sales to third parties, it increases the personal security risks for consumers. The more companies that hold a person’s data, the more likely it is that information will end up exposed in a breach or a hack. Once exposed, consumers are much more likely to become the victim of identity theft or financial fraud, and experience serious damage to their credit score.

Data sales also increase the odds scammers will gain access to personal data, allowing for the construction of targeted predatory schemes. Data brokers that often rely on other companies’ collection of consumer data have furnished scammers looking to find ideal victims with data, like identifying patients with dementia for targeting with fake lottery scams.

Annoying and invasive targeted advertising

Data sales often flow into the advertising industry, fueling the inundation of people’s screens with ads they didn’t ask to see that range from annoying to creepily invasive. In the 1970s, the average American saw between 500-1,600 ads a day; today, powered by data-driven online advertising, it’s now estimated at 5,000 ads daily, spanning across traditional ads on TV, radio and billboards, and targeted digital ads on websites, social media, podcasts and emails.

Advertising often encourages consumers to spend more money on purchases unlikely to shore up their financial health in the long-term. Americans currently owe more than $1 trillion in credit card debt – a record high. In today’s market with rising interest rates, endless data-driven appeals to spend more money play an increasingly unhelpful and potentially dangerous role in people’s lives.

While consumers have official government channels for opting out of junk calls and junk mail, there’s little consumers can do to protect their screens from unnecessary annoying, distracting and invasive ads they didn’t ask to see and didn’t give permission to have their data fuel.

Even aggregated and anonymized data can cause harm

Some tools companies use to protect privacy are not as secure as they sound, like aggregation and anonymization. A 2015 MIT study found this was the case with anonymized credit card data. Using an anonymized data set of more than 1 million people’s credit card transactions made over 3 months, MIT researchers could identify an individual 90% of the time using the transaction information of just 4 purchases. Data that’s provided in batches also has its limitations. For instance, providing data by micro-geography, like zip+4, can in some cases end up being so specific as to point to a specific address.

Additionally, just because data is aggregated and anonymized does not mean consumers aren’t being singled out for their purchasing habits. Using high-tech automated tools, anonymized and aggregated data can be used to reach specific consumers with tailored messages or help predict a given individual’s behavior.

Mastercard should commit to a limited use data policy

Companies have taken data harvesting and sales too far. The collection and sale of people’s data is almost entirely unregulated, and virtually every major company has begun monetizing customer data in ways people are not expecting.

Mastercard should commit to a policy of limited data use by implementing the principles of data minimization and purpose specification. This would mean collecting only the data necessary for providing the services cardholders are expecting to get – access to a safe and reliable credit card – and using the data only for that purpose.

PIRG has launched a coalition with Accountable Tech, American Civil Liberties Union, Center for Digital Democracy, Electronic Freedom Foundation, the Electronic Privacy Information Center, Oakland Privacy and Privacy Rights Clearinghouse asking Mastercard to commit to a limited data use policy.

Mastercard has served as people’s credit card long before it was able to use and sell transaction data in all of the ways that modern technology enables. Growing its profit margin is not a compelling reason for Mastercard to contribute to the massive marketplaces for data.

Passing new consumer data laws and having strong enforcement will be key to curtailing today’s invisible economy for people’s data. This is an urgent task. In the meantime, companies should voluntarily implement limited use data policies, and bring their business models back in line with consumer expectations.

Inside the AI Porn Marketplace Where Everything and Everyone Is for Sale

Emanuel Maiberg Aug 22, 2023

Generative AI tools have empowered amateurs and entrepreneurs to build mind-boggling amounts of non-consensual porn.

On CivitAI, a site for sharing image generating AI models, users can browse thousands of models that can produce any kind of pornographic scenario they can dream of, trained on real images of real people scraped without consent from every corner of the internet.

The “Erect Horse Penis - Concept LoRA,” an image generating AI model that instantly produces images of women with erect horse penises as their genitalia, has been downloaded 16,000 times, and has an average score of five out of five stars, despite criticism from users.

“For some reason adding ‘hands on hips’ to the prompt completely breaks this [model]. Generates just the balls with no penis 100% of the time. What a shame,” one user commented on the model. The creator of the model apologized for the error in a reply and said they hoped the problem will be solved in a future update.

The “Cock on head (the dickhead pose LoRA),” which has been downloaded 8,854 times, generates what its title describes: images of women with penises resting on their heads. The “Rest on stomach, feet up (pose)” has been downloaded 19,250 times. “these images are trained from public images from Reddit (ex. r/innie). Does not violate any [terms of service]. Pls do not remove <3,” wrote the creator of the “Realistic Vaginas - Innie Pussy 1” model, which has been downloaded more than 75,000 times. The creator of the “Instant Cumshot” model, which has been downloaded 64,502 times, said it was “Trained entirely on images of professional adult actresses, as freeze frames from 1080p+ video.”

While the practice is technically not allowed on CivitAI, the site hosts image generating AI models of specific real people, which can be combined with any of the pornographic AI models to generate non-consensual sexual images. 404 Media has seen the non-consensual sexual images these models enable on CivitAI, its Discord, and off its platform.

A 404 Media investigation shows that recent developments in AI image generators have created an explosion of communities where people share knowledge to advance this practice, for fun or profit. Foundational to the community are previously unreported but popular websites that allow anyone to generate millions of these images a month, limited only by how fast they can click their mouse, and how quickly the cloud computing solutions powering these tools can fill requests. The sheer number of people using these platforms and non-consensual sexual images they create show that the AI porn problem is far worse than has been previously reported.

Our investigation shows the current state of the non-consensual AI porn supply chain: specific Reddit communities that are being scraped for images, the platforms that monetize these AI models and images, and the open source technology that makes it possible to easily generate non-consensual sexual images of celebrities, influencers, YouTubers, and athletes. We also spoke to sex workers whose images are powering these AI generated porn without their consent who said they are terrified of how this will impact their lives.

Hany Farid, an image forensics expert and professor at University of California, Berkeley told 404 Media that it’s the same problem we’ve seen since deepfakes first appeared six years ago, only the tools for creating these images are easier to access and use.

“This means that the threat has moved from anyone with a large digital footprint, to anyone with even a modest digital footprint,” Farid Said. “And, of course, now that these tools and content are being monetized, there is even more incentive to create and distribute them.”

The Product

On Product Hunt, a site where users vote for the most exciting startups and tech products of the day, Mage, which on April 20 cracked the site’s top three products, is described as “an incredibly simple and fun platform that provides 50+ top, custom Text-to-Image AI models as well as Text-to-GIF for consumers to create personalized content.”

“Create anything,” Mage.Space’s landing page invites users with a text box underneath. Type in the name of a major celebrity, and Mage will generate their image using Stable Diffusion, an open source, text-to-image machine learning model. Type in the name of the same celebrity plus the word “nude” or a specific sex act, and Mage will generate a blurred image and prompt you to upgrade to a “Basic” account for $4 a month, or a “Pro Plan” for $15 a month. “NSFW content is only available to premium members.” the prompt says.

To get an idea of what kind of explicit images you can generate with a premium Mage subscription, click over to the “Explore” tab at the top of the page and type in the same names and terms to search for similar images previously created by other users. On first impression, the Explore page makes Mage seem like a boring AI image generating site, presenting visitors with a wall of futuristic cityscapes, cyborgs, and aliens. But search for porn with “NSFW” content enabled and Mage will reply with a wall of relevant images. Clicking on any one of them will show when they were created, with what modified Stable Diffusion model, the text prompt that generated the image, and the user who created it.

Since Mage by default saves every image generated on the site, clicking on a username will reveal their entire image generation history, another wall of images that often includes hundreds or thousands of AI-generated sexual images of various celebrities made by just one of Mage’s many users. A user’s image generation history is presented in reverse chronological order, revealing how their experimentation with the technology evolves over time.

Scrolling through a user’s image generation history feels like an unvarnished peek into their id. In one user’s feed, I saw eight images of the cartoon character from the children's’ show Ben 10, Gwen Tennyson, in a revealing maid’s uniform. Then, nine images of her making the “ahegao” face in front of an erect penis. Then more than a dozen images of her in bed, in pajamas, with very large breasts. Earlier the same day, that user generated dozens of innocuous images of various female celebrities in the style of red carpet or fashion magazine photos. Scrolling down further, I can see the user fixate on specific celebrities and fictional characters, Disney princesses, anime characters, and actresses, each rotated through a series of images posing them in lingerie, schoolgirl uniforms, and hardcore pornography. Each image represents a fraction of a penny in profit to the person who created the custom Stable Diffusion model that generated it.

Mage displays the prompt the user wrote in order to generate the image to allow other users to iterate and improve upon images they like. Each of these reads like an extremely horny and angry man yelling their basest desires at Pornhub’s search function. One such prompt reads:

"[[[narrow close-up of a dick rubbed by middle age VERY LUSTFUL woman using her MOUTH TO PLEASURE A MAN, SPERM SPLASH]]] (((licking the glans of BIG DICK))) (((BLOWjob, ORAL SEX))) petting happy ending cumshot (((massive jizz cum))))(((frame with a girl and a man)))) breeding ((hot bodies)) dribble down his hard pumping in thick strokes, straight sex, massage, romantic, erotic, orgasm porn (((perfect ball scrotum and penis with visible shaft and glans))) [FULL BODY MAN WITH (((woman face mix of Lisa Ann+meghan markle+brandi love moaning face, sweaty, FREKLESS, VERY LONG BRAID AND FRINGE, brunette HAIR)), (man Mick Blue face)"

This user, who shares AI-generated porn almost exclusively, has created more than 16,000 images since January 13. Another user whose image history is mostly pornographic generated more than 6,500 images since they started using Mage on January 15, 2023.

On the official Mage Discord, which has more than 3,000 members, and where the platform’s founders post regularly, users can choose from dozens of chat rooms organized by categories like “gif-nsfw,” “furry-nsfw,” “soft-women-nsfw,” and share tricks on how to create better images.

“To discover new things I often like to find pictures from other users I like and click remix. I run it once and add it to a list on my profile called ‘others prompts’ then I'll use that prompt as a jumping off point,” one user wrote on July 12. “It's a good way to try different styles as you hone your own style.”

“anyone have any luck getting an [sic] good result for a titty-fuck?” another user asked July 17, prompting a couple of other users to share images of their attempts.

Generating pornographic images of real people is against the Mage Discord community’s rules, which the community strictly enforces because it’s also against Discord’s platform-wide community guidelines. A previous Mage Discord was suspended in March for this reason. While 404 Media has seen multiple instances of non-consensual images of real people and methods for creating them, the Discord community self-polices: users flag such content, and it’s removed quickly. As one Mage user chided another after they shared an AI-generated nude image of Jennifer Lawrence: “posting celeb-related content is forbidden by discord and our discord was shut down a few weeks ago because of celeb content, check [the rules.] you can create it on mage, but not share it here.”

Gregory Hunkins and Roi Lee, Mage’s founders, told me that Mage has over 500,000 accounts, a million unique creators active on it every month, and that the site generates a “seven-figure” annual revenue. More than 500 million images have been generated on the site so far, they said.

“To be clear, while we support freedom of expression, NSFW content constitutes a minority of content created on our platform,” Lee and Hunkins said in a written statement. “NSFW content is behind a paywall to guard against those who abuse the Mage Space platform and create content that does not abide by our Terms & Conditions. One of the most effective guards against anonymity, repeat offenders, and enforcing a social contract is our financial institutions.”

When asked about the site’s moderation policies, Lee and Hunkins explained that Mage uses an automated moderation system called “GIGACOP” that warns users and rejects prompts that are likely to be abused. 404 Media did not encounter any such warning in its testing, and Lee and Hunkins did not respond to a question about how exactly GIGACOP works. They also said that there are “automated scans of the platform to determine if patterns of abuse are evading our active moderation tools. Potential patterns of abuse are then elevated for review by our moderation team.”

However, 404 Media found that on Mage’s site AI-generated non-consensual sexual images are easy to find and are functionally infinite.

“The scale of Mage Space and the volume of content generated antiquates previous moderation strategies, and we are continuously working to improve this system to provide a safe platform for all,” Lee and Hunkins said. “The philosophy of Mage Space is to enable and empower creative freedom of expression within broadly accepted societal boundaries. This tension and balance is a very active conversation right now, one we are excited and proud to be a part of. As the conversation progresses, so will we, and we welcome all feedback.”

Laura Mesa, Product Hunt’s vice president of marketing and community, told me that Mage violates Product Hunt’s policy, and Mage was removed shortly after I reached out for comment.

The images Mage generates are defined by the technology it’s allowing users to access. Like many of the smaller image generating AI tools online, at its core it’s powered by Stable Diffusion, which surged in popularity when it was released last year under the Creative ML OpenRAIL-M license, allowing users to modify it for commercial and non-commercial purposes.

Mage users can choose what kind of “base model” they want to use to generate their images. These base models are modified versions of Stable Diffusion that have been trained to produce a particular type of image. The “Anime Pastel Dream” model, for example, is great at producing images that look like stills from big budget anime, while “Analog Diffusion” is good at giving images a vintage film photo aesthetic.

One of the most popular base models on Mage is called “URPM,” an acronym for “Uber Realistic Porn Merge.” That Stable Diffusion model, as well as others designed to produce pornography, are created upstream in the AI porn supply chain, where people train AI to recreate the likeness of anyone, doing anything.

The People Who Become Datasets

Generative AI tools like Stable Diffusion use a deep learning neural network that was trained on a massive dataset of images. This dataset then generates new images by predicting how pixels should be arranged based on patterns in the dataset and what kind of image the prompt is asking for. For example, LAION-5B, an open source dataset made up of over 5 billion images scraped from the internet, helps power Stable Diffusion.

This makes Stable Diffusion good at generating images of broad concepts, but not specific people or esoteric concepts (like women with erect horse penises). But because Stable Diffusion code is public, over the last year researchers and anonymous users have come up with several ingenious ways to train Stable Diffusion to generate such images with startling accuracy.

In August of 2022, researchers from Tel Aviv University introduced the concept of “textual inversion.” This method trains Stable Diffusion on a new “concept,” which can be an object, person, texture, style, or composition, with as few as 3-5 images, and be represented by a specific word or letter. Users can train Stable Diffusion on these new concepts without retraining the entire Stable Diffusion model, which would be “prohibitively expensive,” as the researchers explain in their paper.

In their paper, the researchers demonstrated their method by training the image generator on a few images of a Furby, represented by the letter S. They can then give the image generator the prompt “A mosaic depicting S,” or “An artist drawing S,” and get the following results:

By September 2022, AUTOMATIC1111, a Github user who maintains a popular web interface for Stable Diffusion, explained how to implement textual inversion. In November, a web developer named Justin Maier launched CivitAI, a platform where people could easily share the specific models they’ve trained using textual inversion and similar methods, so other users could download them, generate similar images, iterate on the models by following countless YouTube tutorials, and combine them with other models trained on other specific concepts.

There are many non-explicit models on CivitAI. Some replicate the style of anime, popular role-playing games, or Chinese comic books. But if you sort CivitAI’s platform by the most popular models, they are dominated by models that expertly produce pornography.

LazyMix+ (Real Amateur Nudes), for example, produces very convincing nudes that look like they were shot by an amateur OnlyFans creator or an image from one of the many subreddits where people share amateur porn. Many Stable Diffusion models on CivitAI don’t say what data they were trained on, and others are just tweaking and combining other, already existing models. But with LazyMix+ (Real Amateur Nudes), which has been downloaded more than 71,000 times, we can follow the trail to the source.

According to the model’s description, it’s a merge between the original LazyMix model and a model called Subreddit V3, the latter of which states it was trained on images from a variety of adult-themed subreddit communities like r/gonewild, famously where average Reddit users post nudes, r/nsfw, r/cumsluts and 38 other subreddits.

“There's nothing that's been done in the past to protect us so I don't see why this would inspire anyone to make protections against it.”

A Reddit user who goes by Pissmittens and moderates r/gonewild, r/milf, and several other big adult communities said he suspects that most people who post nudes to these subreddits probably don’t know their images are being used to power AI models.

“The issue many of them run into is that usually places misusing their content aren’t hosted in the United States, so DMCA is useless,” Pissmittens said, referring to copyright law. “The problem, obviously, is that there doesn’t seem to be any way for them to know if their content has been used to generate [computer generated] images.”

Fiona Mae, who promotes her OnlyFans account on several subreddits including some of those scraped by Subreddit V3, told me that the fact that anyone can type a body type and sex act into an AI generator and instantly get an image “terrifies” her.

“Sex workers and femmes are already dehumanized,” she said. “Literally having a non-human archetype of a woman replacing jobs and satisfying a depiction of who women should be to men? I only see that leading more to serving the argument that femmes aren’t human.”

“I have no issue with computer generated pornography at all,” GoAskAlex, an adult performer who promotes her work on Reddit, told me. “My concern is that adult performers are ultimately unable to consent to their likeness being artificially reproduced.”

An erotic artist and performer who goes by sbdolphin and promotes her work on Reddit told me that this technology could be extremely dangerous for sex workers.

“There's nothing that's been done in the past to protect us so I don't see why this would inspire anyone to make protections against it,” she said.

404 Media has also found multiple instances of non-consensual sexual imagery of specific people hosted on CivitAI. The site allows pornography, and it allows people to use AI to generate images of real people, but does not allow users to share images that do both things at once. Its terms of service say it will remove “content depicting or intended to depict real individuals or minors (under 18) in a mature context.” While 404 Media has seen CivitAI enforce this policy and remove such content multiple times, non-consensual sexual imagery is still posted to the site regularly, and in some cases has stayed online for months.

When looking at a Stable Diffusion model on CivitAI, the site will populate its page with a gallery of images other users have created using the same model. When 404 Media viewed a Billie Eilish model, CivitAI populated the page’s gallery with a series of images from one person who used the model to generate nude images of a pregnant Eilish.

That gallery was in place for weeks, but has since been removed. The user who created the nude images is still active on the site. The Billie Eilish model is also still hosted on CivitAI, and its gallery doesn’t include any fully nude images of Eilish, but it did include images of her in lingerie and very large breasts, which is also against CivitAI’s terms of service and were eventually removed.

The Ares Mix model, which has been downloaded more than 32,000 times since it was uploaded to CivitAI in February, is described by its creator as being good for generating images of “nude photographs on different backgrounds and some light hardcore capabilities.” The gallery at the bottom of the model’s page mostly showcases “safe for work” images of celebrities and pornographic images of seemingly computer-generated people, but it also includes an AI-generated nude image of the actress Daisy Ridley. Unlike the Billie Eilish example, the image is not clearly labeled with Ridley’s name, but the generated image is convincing enough that she’s recognizable on sight.

Clicking on the image also reveals the prompt used to generate the image, which starts: “(((a petite 19 year old naked girl (emb-daisy) wearing, a leather belt, sitting on floor, wide spread legs))).”

The nude image was created by merging the Ares Mix model with another model hosted on CivitAI dedicated to generating the actress’s likeness. According to that model’s page, its “trigger words” (in the same way “S” triggered the Furby in the textual inversion scientific paper) are “emb-daisy.” Like many of the Stable Diffusion models of real people hosted on CivitAI, it includes the following message:

“This resource is intended to reproduce the likeness of a real person. Out of respect for this individual and in accordance with our Content Rules, only work-safe images and non-commercial use is permitted.”

CivitAI’s failure to moderate Ridley’s image shows the abuse CivitAI facilitates despite its official policy. Models that generate pornographic images are allowed. Models that generate images of real people are allowed. Combining the two is not. But there’s nothing preventing people from putting the pieces together, generating non-consensual sexual images, and sharing them off CivitAI’s platform.

“In general, the policies sound difficult to enforce,” Tiffany Li, a law professor at the University of San Francisco School of Law and an expert on privacy, artificial intelligence, and technology platform governance, told 404 Media. “It appears the company is trying, and there are references to concepts like consent, but it's all a bit murky.”

This makes the countless models of real people hosted on CivitAI terrifying. Every major actor you can think of has a Stable Diffusion model on the site. So do countless Instagram influencers, YouTubers, adult film performers, and athletes.

“As these systems are deployed and it becomes the norm to generate and distribute pornographic images of ordinary people, the people who end up being negatively impacted are people at the bottom of society.”

404 Media has seen at least two Stable Diffusion models of Nicole Sanchez, a Twitch streamer and TikTok personality better known as Neekolul or the “OK boomer girl,” hosted on CivitAI, each of which was downloaded almost 500 times. While we didn’t see any non-consensual sexual images we could verify were created with those models, Sanchez told 404 Media that she has seen pornographic AI-generated images of herself online.

“I don't like it at all and it feels so gross knowing people with a clear mind are doing this to creators who likely wouldn't want this to be happening to them. Since this is all very new, I’m hoping that there will be clearer ethical guidelines around it and that websites will start implementing policies against NSFW content, at least while we learn to live alongside AI,” Sanchez said. “So until then, I hope that websites used to sell this content will put guidelines in place to protect people from being exploited because it can be extremely damaging to their mental health.”

Saftle, the CivitAI user who created Uber Realistic Porn Merge (URPM), one of the most popular models on the site that is also integrated with Mage, said that CivitAI is “thankfully” one of the only platforms actively trying to innovate and block out this type of content. “However it's probably a constant struggle due to people trying to outsmart their current algorithms and bots,” he said.

Li said that while these types of non-consensual sexual images are not new, there is still no good way for victims to combat them.

“At least in some states, they can sue the people who created AI-generated intimate images of them without their consent. (Even in states without these laws, there may be other legal methods to do it.) But it can be hard to find the makers of the images,” Li said. “They may be using these AI-generating sites anonymously. They may even have taken steps to shield their digital identity. Some sites will not give up user info without a warrant.”

“As these systems are deployed and it becomes the norm to generate and distribute pornographic images of ordinary people, the people who end up being negatively impacted are people at the bottom of society,” Abeba Birhane, a senior fellow in Trustworthy AI at Mozilla Foundation and lecturer at the School of Computer Science and Statistics at Trinity College Dublin, Ireland, told 404 Media. “It always ends up negatively impacting those that are not able to defend themselves or those who are disfranchised. And these are the points that are often left out in the debate of technicality.”

The Money

The creators of these models offer them for free, but accept donations. Saftle had 120 paying Patreon members to support his project before he “paused” his Patreon in May when he got a full time job. He told me that he made $1,500 a month from Patreon at its peak. He also said that while he has no formal relationship with Mage Space, he did join its “creators program,” which paid him $0.001 for every image that was generated on the site using URPM. He said he made about $2,000-$3,000 a month (equal to 2-3 million images) when he took part in the program, but has since opted out. Lee and Hunkins, Mage’s founders, told me that “many model creators earn well in excess of this,” but not all models on Mage specialize in sexual images.

The creator of “Rest on stomach, feet up (pose)” links to their Ko-Fi account, where people can send tips. One CivitAI user, who created dozens of models of real people and models that generate sexual images, shares their Bitcoin wallet address in their profile. Some creators will do all the work for you for a price on Fiverr.

Clicking the “Run Model” button at the top of every model page will bring up a window that sends users to a variety of sites and services that can generate images with that model, like Mage Space, or Dazzle.AI, which charges $0.1 per image.

CivitAI itself also collects donations, and offers a $5 a month membership that gives users early access to new features and unique badges for their usernames on the site and Discord.

“Civitai exists to democratize AI media creation, making it a shared, inclusive, and empowering journey.” CivitAI’s site says.

Justin Maier, CivitAI’s founder, did not respond to a request for comment via LinkedIn, Twitter, Discord, and email.

The Singularity

Since ChatGPT, DALL-E, and other generative AI tools became available on the internet, computer scientists, ethicists, and politicians have been increasingly discussing “the singularity,” a concept that until recently existed mostly in the realm of science fiction. It describes a hypothetical point in the future when AI becomes so advanced, it triggers an uncontrollable explosion of technological development that quickly surpasses and supersedes humanity.

As many experts and journalists have observed, there is no evidence that companies like OpenAI, Facebook, and Google have created anything even close to resembling an artificial general intelligence agent that could bring about this technological apocalypse, and promoting that alarmist speculation serves their financial interests because it makes their AI tools seem more powerful and valuable than they actually are.

However, it’s a good way to describe the massive changes that have already taken hold in the generative AI porn scene. An AI porn singularity has already occurred, an explosion of non-consensual sexual imagery that’s seeping out of every crack of internet infrastructure if you only care to look, and we’re all caught up in it. Celebrities big and small and normal people. Images of our faces and bodies are fueling a new type of pornography in which humans are only a memory that’s copied and remixed to instantly generate whatever sexual image a user can describe with words.

Samantha Cole contributed reporting.

The A.I. Surveillance Tool DHS Uses to Detect ‘Sentiment and Emotion’

Joseph Cox Joseph Cox Aug 24, 2023

Internal DHS and corporate documents detail the agency’s relationship with Fivecast, a company that promises to scan for “risk terms and phrases” online.

Customs and Border Protection (CBP), part of the Department of Homeland Security, has bought millions of dollars worth of software from a company that uses artificial intelligence to detect “sentiment and emotion” in online posts, according to a cache of documents obtained by 404 Media.

CBP told 404 Media it is using technology to analyze open source information related to inbound and outbound travelers who the agency believes may threaten public safety, national security, or lawful trade and travel. In this case, the specific company called Fivecast also offers “AI-enabled” object recognition in images and video, and detection of “risk terms and phrases” across multiple languages, according to one of the documents.

Marketing materials promote the software’s ability to provide targeted data collection from big social platforms like Facebook and Reddit, but also specifically names smaller communities like 4chan, 8kun, and Gab. To demonstrate its functionality, Fivecast promotional materials explain how the software was able to track social media posts and related Persons-of-Interest starting with just “basic bio details” from a New York Times Magazine article about members of the far-right paramilitary Boogaloo movement. 404 Media also obtained leaked audio of a Fivecast employee explaining how the tool could be used against trafficking networks or propaganda operations.

The news signals CBP’s continued use of artificial intelligence in its monitoring of travelers and targets, which can include U.S. citizens. In May, I revealed CBP’s use of another AI tool to screen travelers which could link peoples’ social media posts to their Social Security number and location data. This latest news shows that CBP has deployed multiple AI-powered systems, and provides insight into what exactly these tools claim to be capable of while raising questions about their accuracy and utility.

“CBP should not be secretly buying and deploying tools that rely on junk science to scrutinize people's social media posts, claim to analyze their emotions, and identify purported 'risks,'” Patrick Toomey, deputy director of the ACLU's National Security Project, told 404 Media in an email.

404 Media obtained the documents through Freedom of Information Act requests with CBP and other U.S. law enforcement agencies.

One document obtained by 404 Media marked “commercial in confidence” is an overview of Fivecast’s “ONYX” product. In it Fivecast says its product can be used to target individuals or groups, single posts, or events. As well as collecting from social media platforms big and small, Fivecast users can also upload their own “bulk” data, the document says. Fivecast says its tool has been built “in consultation” with Five Eyes law enforcement and intelligence agencies, those being agencies from the U.S., United Kingdom, Canada, Australia, and New Zealand. Specifically on building “person-of-interest” networks, the tool “is optimized for this exact requirement.”

Related to the emotion and sentiment detection, charts contained in the Fivecast document include emotions such as “anger,” “disgust,” “fear,” “joy,” “sadness,” and “surprise” over time. One chart shows peaks of anger and disgust throughout an early 2020 timeframe of a target, for example.

The document also includes a case study of how ONYX could be used against a specific network. In the example, Fivecast examined the Boogaloo movement, but Fivecast stresses that “our intent here is not to focus on a specific issue but to demonstrate how quickly Fivecast ONYX can discover, collect and analyze Risks from a single online starting point.”

That process starts with the user inputting Boogaloo phrases such as “civil war 2.” The user then selects a discovered social media account and deployed what Fivecast calls its “‘Full’ collection capability,” which “collects all available content on a social media platform for a given account.” From there, the tool also maps out the target’s network of connections, according to the document.

Lawson Ferguson, a tradecraft advisor at Fivecast, previously showed an audience at a summit how the tool could be used against trafficking networks or propaganda operations. “These are just examples of the kind of data that one can gather with an OSINT tool like ours,” he said. Jack Poulson, from transparency organization Tech Inquiry, shared audio of the talk with 404 Media.

Ferguson said users “can train the system to recognize certain concepts and types of images.” In one example, Ferguson said a coworker spent “a huge amount of time” training Fivecast's system to recognize the concept of the drug oxycontin. This included analyzing “pictures of pills; pictures of pills in hands.”

Fivecast did not respond to a request for comment.

CBP’s contracts for Fivecast software have stretched into the millions of dollars, according to public procurement records and internal CBP documents obtained by 404 Media. CBP spent nearly $350,000 in August 2019; more than $650,000 in September 2020; $260,000 in August 2021; close to $950,000 in September 2021; and finally almost $1.17 million in September 2022.

CBP told 404 Media in a statement that “The Department of Homeland Security is committed to protecting individuals’ privacy, civil rights, and civil liberties. DHS uses various forms of technology to execute its mission, including tools to support investigations related to threats to infrastructure, illegal trafficking on the dark web, cross-border transnational crime, and terrorism. DHS leverages this technology in ways that are consistent with its authorities and the law.”

In the context of why CBP needs to buy Fivecast’s software, the internal CBP documents point to several specific parts of the agency. They are the Office of Field Operations (OFO), the main bulk of CBP which enforces border security; the National Targeting Center (NTC) based out of Virginia which aims to catch travelers and cargo that the agency believes threaten the country’s security; the Counter Network Division (CND) which is part of the NTC; and finally the Publicly Available Information Group (PAIG), which focuses on data such as location information according to other documents I’ve obtained previously.

Yahoo News reported in 2021 that the CND has gathered information on a range of journalists. The Office of the Inspector General made a criminal referral for an official who worked with CND for their role in the monitoring, but they were not charged. A supervisor of that division previously told investigators that at CND “We are pushing the limits and so there is no norm, there is no guidelines, we are the ones making the guidelines.”

“The public knows far too little about CBP's Counter Network Division, but what we do know paints a disturbing picture of an agency with few rules and access to an ocean of sensitive personal data about Americans,” Toomey from ACLU added. “The potential for abuse is immense.”

Un morceau des Pink Floyd reconstitué par une IA à partir d’ondes cérébrales

L’étude d’enregistrements de l’activité cérébrale a permis de révéler quelles régions du cerveau étaient impliquées dans le traitement de la musique. Mais surtout, l’exploitation de ces données par une intelligence artificielle a permis de reconstruire une célèbre chanson du groupe britannique Pink Floyd.

Publié hier à 16h31 Lecture 2 min.

“Des scientifiques ont reconstitué Another Brick in The Wall, des Pink Floyd, en scrutant les ondes cérébrales d’auditeurs de la chanson : c’est la première fois qu’un titre est décodé de manière reconnaissable à partir des enregistrements de l’activité cérébrale”, rapporte The Guardian.

Le quotidien britannique se fait l’écho d’une étude publiée le 15 août dans Plos Biology, pour laquelle des chercheurs ont étudié les signaux cérébraux de 29 personnes captés par des électrodes implantées à la surface de leur cortex, dans le cadre d’un traitement contre l’épilepsie. Ces enregistrements ont été réalisés alors qu’on faisait écouter la chanson des Pink Floyd aux patients.

La comparaison des signaux émis par les cerveaux avec les ondes audio correspondant au titre original a permis aux chercheurs d’identifier quelles électrodes étaient fortement liées à la mélodie, à sa hauteur, à l’harmonie et au rythme de la chanson. Puis ils ont entraîné un programme d’intelligence artificielle (IA) à repérer les liens entre l’activité cérébrale et les composants musicaux, en excluant un segment de quinze secondes de la chanson.

Cette IA ainsi formée a généré le bout manquant uniquement à partir de l’activité cérébrale des participants. “Le spectrogramme – une visualisation des ondes audio – du bout généré par l’IA était similaire à 43 % au vrai segment de la chanson”, indique New Scientist.

“Tour de force technique”

Interrogé par Science, Robert Zatorre, neuroscientifique à l’université McGill, au Canada, qui n’a pas participé à l’étude, estime que “cette reconstitution est un ‘tour de force technique’ qui donne un nouvel aperçu sur la façon dont le cerveau perçoit la musique”.

En outre, précise la revue scientifique, la méthode développée par l’équipe “a permis d’identifier une nouvelle région cérébrale qui participe à la perception du rythme musical, comme la guitare vrombissante d’Another Brick in The Wall (Part 1)”. Elle ajoute :

“Ces travaux confirment aussi que la perception de la musique, contrairement au traitement ordinaire du langage, mobilise les deux hémisphères du cerveau.”

Ludovic Bellier, neuroscientifique et chercheur en informatique à l’université de Californie Berkeley, premier auteur de l’étude “espère que ces recherches pourront un jour être utiles aux patients qui ont des difficultés d’élocution à la suite d’un AVC, de blessures ou de maladies dégénératives telles que la sclérose latérale amyotrophique”, indique Science.

Reste que, pointe dans New Scientist Robert Knight, de l’université de Californie, qui a piloté les travaux, pour le moment “la nature invasive des implants cérébraux rend peu probable l’utilisation de cette procédure pour des applications non cliniques”. Les progrès techniques dans le domaine de l’étude du cerveau laissent cependant penser que ce genre d’enregistrement pourra un jour se faire sans recourir à la chirurgie, peut-être en utilisant des électrodes fixées au cuir chevelu.

Par ailleurs, une autre équipe a récemment utilisé l’IA pour générer des extraits de chansons à partir de signaux cérébraux enregistrés à l’aide d’imagerie par résonance magnétique (IRM). Interrogée par New Scientist ; la juriste Jennifer Maisel, du cabinet Rothwell Figg, à Washington, estime qu’“à mesure que progresse la technologie, la recréation de chansons grâce à des IA et à partir de l’activité cérébrale pourrait soulever des questions de droit d’auteur, selon le degré de similarité entre la reconstitution et le titre original”.

Et sans passer par la reproduction de tubes existants, certains imaginent déjà que l’IA pourra être utilisée pour composer de la musique que les gens imaginent à partir de l’exploitation de leurs signaux cérébraux. Mais ce n’est pas encore pour demain.

La vidéo en anglais ci-dessous permet d’écouter les deux versions – l’originale et la reconstruite – d’Another Brick in The Wall (Part 1).

Pour gagner de la place, Pékin expérimente les cimetières numériques

Publié hier à 14h54 Lecture 1 min.

Face au vieillissement rapide de la population et à la rareté des terrains, la capitale chinoise expérimente actuellement la mise en place d’espaces funéraires dotés d’écrans qui diffusent les photos des défunts, à la place des tombes.

Lorsqu’une personne meurt à Pékin, son corps est généralement incinéré et ses cendres sont enterrées sous une pierre tombale dans l’un des cimetières publics de la ville. Pour rendre hommage aux défunts, la famille et les amis se rassemblent sur le site pour allumer des bougies et brûler de l’encens.

Mais Zhang Yin en a décidé autrement. Les cendres de sa grand-mère ont été conservées dans un compartiment installé dans une vaste salle du cimetière de Taiziyu, à Pékin, un peu comme un coffre-fort dans une banque. Sur la porte, un écran est installé et diffuse des photos et vidéos de la défunte.

“Cette solution permet d’économiser de l’espace et s’avère moins onéreuse qu’une sépulture classique. Par ailleurs, de plus en plus de familles chinoises souhaitent offrir à leurs proches des funérailles plus personnalisées, et ces dispositifs collent parfaitement avec cette tendance”, estime Bloomberg.

Nouveaux modes de gestion des cimetières

En Chine, les autorités locales et les pompes funèbres expérimentent de “nouveaux modes de gestion des cimetières pour faire face à la pénurie de terrain en zone urbaine et au vieillissement rapide de la population”, rapporte le média en ligne. Selon le Bureau national des statistiques, le nombre annuel de décès a atteint 10,4 millions en 2022, soit une augmentation de 6,7 % par rapport à 2016.

Le Conseil d’État a déclaré que Pékin s’efforcerait de réduire la superficie totale occupée par les cimetières publics à environ 70 % de sa superficie actuelle d’ici à 2035, et le pays a encouragé d’autres formes de sépulture pour économiser de l’espace.

De telles avancées technologiques attirent les jeunes vers ce secteur. Au cours des derniers mois, le hashtag “les formations aux métiers du funéraire affichent un taux d’embauche à la sortie de 100 %” sur Weibo a été consulté 200 millions de fois. Les perspectives d’emploi ont entraîné une augmentation du nombre d’inscriptions dans les formations liées au secteur funéraire dans certains établissements d’enseignement supérieur, à un moment où le taux de chômage des jeunes atteint un niveau record en Chine.

Dans le même temps, le plus grand défi auquel sont confrontés les “cybercimetières”, selon les entreprises de pompes funèbres qui sont cités par le Bloomberg, est la perception traditionnelle chinoise de la mort. Historiquement, les Chinois ont toujours été moins ouverts aux discussions sur la mort que les Occidentaux. Contrairement à la nouvelle génération chinoise, qui “n’accorde pas vraiment d’importance au fait d’être enterré, ni au feng shui”, un ensemble de normes de la tradition chinoise pour l’aménagement du foyer.

‘Everything you’ve been told is a lie!’ Inside the wellness-to-fascism pipeline

James Ball Wed 2 Aug 2023 14.00 BST

One minute you’re doing the downward dog, the next you’re listening to conspiracy theories about Covid or the new world order. How did the desire to look after yourself become so toxic?

Jane – not her real name – is nervous about speaking to me. She has asked that I don’t identify her or the small, south-coast Devon town in which she lives. “I’m feeling disloyal, because I’m talking about people I’ve known for 30 to 40 years,” she says.

Jane isn’t trying to blow the whistle on government corruption or organised crime: she wants to tell me about her old meditation group. The group had met happily for decades, she says, aligned around a shared interest in topics including “environmental issues, spiritual issues and alternative health”. It included several people whom Jane considered close friends, and she thought they were all on the same page. Then Covid came.

Jane spent most of the first Covid lockdowns in London. During that time, she caught Covid and was hospitalised, and it was then that she realised something significant had changed: a friend from the group got in touch while she was on the ward. “I had somebody I considered a real best friend of mine on the phone telling me, no, I ‘didn’t have Covid’,” she says. “She was absolutely adamant. And I said: ‘Well, why do you think I went into hospital?’”

The friend conceded that Jane was ill, but insisted it must be something other than Covid-19, because Covid wasn’t real. Jane’s hospital stay was thankfully short, but by the time she was sufficiently recovered and restrictions had lifted enough to allow her to rejoin her meditation group, things were very different.

“They have been moving generally to far-right views, bordering on racism, and really pro-Russian views, with the Ukraine war,” she says. “It started very much with health, with ‘Covid doesn’t exist’, anti-lockdown, anti-masks, and it became anti-everything: the BBC lie, don’t listen to them; follow what you see on the internet.”

Things came to a head when one day, before a meditation session – an activity designed to relax the mind and spirit, pushing away all worldly concerns – the group played a conspiratorial video arguing that 15-minute cities and low-traffic zones were part of a global plot. Jane finally gave up.

This apparent radicalisation of a nice, middle-class, hippy-ish group feels as if it should be a one-off, but the reality is very different. The “wellness-to-woo pipeline” – or even “wellness-to-fascism pipeline” – has become a cause of concern to people who study conspiracy theories.

It doesn’t stop with a few videos shared among friends, either. One of the leaders of the German branch of the QAnon movement – a conspiracy founded on the belief that Donald Trump was doing battle with a cabal of Satanic paedophiles led by Hillary Clinton and George Soros, among others – was at first best known as the author of vegan cookbooks. In 2021, Attila Hildmann helped lead a protest that turned violent, with protesters storming the steps of Germany’s parliament. Such was his radicalism in QAnon and online far-right circles that he was under investigation in connection with multiple alleged offences, but he fled Germany for Turkey before he could be arrested.

Similarly, Jacob Chansley, AKA the “QAnon shaman” – one of the most visible faces of the attack on the US Capitol on 6 January 2021, thanks to his face paint and horned headgear – is a practitioner of “shamanic arts” who eats natural and organic food, and has more than once been described as an “ecofascist”.

Thanks to wellness, QAnon is the conspiracy that can draw in the mum who shops at Holland & Barrett and her Andrew Tate-watching teenage son. The QAnon conspiracy is one of the most dangerous in the world, directly linked to attempted insurrections in the US and Germany, and mass shootings in multiple countries – and wellness is helping to fuel it. Something about the strange mixture of mistrust of the mainstream, the intimate nature of the relationship between a therapist, spiritual adviser, or even personal trainer, and their client, combined with the conspiratorial world in which we now live, is giving rise to a new kind of radicalisation. How did we end up here?

There are many people interested in spiritualism, alternative medicine, meditation, or personal training, whose views fall well within the mainstream – and more who, if they have niche views, choose not to share them with their clients. But even a cursory online request about this issue led to me being deluged with responses. Despite most experiences being far less intense than Jane’s, no one wanted to put their name to their story – something about the closeness of wellness interactions makes people loth to commit a “betrayal”, it seems.

One person recounted how her pole-dancing instructor would – while up the pole, hanging on with her legs – explain how the CIA was covering up evidence of aliens, and offer tips on avoiding alien abduction.

“A physiotherapist would tell me, while working on my back with me lying face down, about her weekly ‘meetings’ in London about ‘current affairs’,” another said. “There was a whiff about it, but it was ignorable. Then, the last time I saw her, she muttered darkly about the Rothschilds [a common target of antisemitic conspiracy theories] ‘and people like that’. I didn’t go back.”

Some people’s problems escalated when their personal trainer learned about their work. “I had three successive personal trainers who were anti-vax. One Belgian, two Swiss,” I was told by a British man who has spent most of the past decade working in Europe for the World Economic Forum, which organises the annual summit at Davos for politicians and the world’s elite.

“It was hard because I used to argue with all of them and the Swiss made life very difficult for the unvaccinated, but the Swiss bloke insisted that, with the right mental attitude and exercise, you could defeat any illness. I was always asking what would happen if he got rabies.”

When the trainer found out the man worked for the World Economic Forum, he was immediately cut off.

Other respondents’ stories covered everything from yoga to reiki, weightlifters to alternative dog trainers. The theories they shared ranged from extreme versions of wellness-related conspiracies – about the risks of 5G and wifi, or Microsoft founder Bill Gates plotting with vaccines – to 15-minute cities, paedophile rings and bankers’ conspiracies.

Is there a reason why people under the wellness and fitness umbrella might be prone to being induced into conspiracy? It is not that difficult to imagine why young men hitting the gym might be susceptible to QAnon and its ilk. This group spends a lot of time online, there is a supposed crisis of masculinity manifesting in the “incel” (involuntary celibacy) movement and similar, and numerous rightwing influencers have been targeting this group. Add in a masculine gym culture and a community already keen to look for the “secrets” of getting healthy, and there is a lot for a conspiracy theory to hook itself on to.

What is more interesting, surely, is how women old enough to be these men’s mothers find themselves sucked in by the same rhetoric. These are often people with more life experience, who have completed their education and been working – often for decades – and have apparently functional adult lives. But, as Caroline Criado Perez, author of Invisible Women: Exposing Data Bias in a World Designed for Men, observes, the answer may lie in looking at why women turn to wellness and alternative medicine in the first place.

New age and conspiracy theories both see themselves as counter-knowledges challenging received wisdom

“Far too often, we blame women for turning to alternative medicine, painting them as credulous and even dangerous,” she says. “But the blame does not lie with the women – it lies with the gender data gap. Thanks to hundreds of years of treating the male body as the default in medicine, we simply do not know enough about how disease manifests in the female body.”

Women are overwhelmingly more likely than men to suffer from auto-immune disorders, chronic pain and chronic fatigue – and such patients often hit a point at which their doctors tell them there is nothing they can do. The conditions are under-researched and the treatments are often brutal. Is it any surprise that trust in conventional medicine and big pharma is shaken? And is it any surprise that people look for something to fill that void?

Criado Perez says: “If we want to address the trend of women seeking help outside mainstream medicine, it’s not the women we need to fix; it’s mainstream medicine.”

This sense of conspiracies filling a void is an important one. Academic researchers of conspiracy theories have speculated about whether their rise in the 20th century is related to the decline of religion. In a strange way, the idea that a malign cabal is running the world – while far more worrying than a benevolent God – is less scary than the idea that no one is in charge and everything is chaos. People who have a reason to mistrust the mainstream pillars of society – government, doctors, the media, teachers – are more likely to turn to conspiracy theories for explanations as to why the world is like it is.

Peter Knight, professor of American studies at the University of Manchester, who has studied conspiracy theories and their history, notes that the link between alternative therapies and conspiracy is at least a century old, and has been much ignored. “New age and conspiracy theories both see themselves as counter-knowledges that challenge what they see as received wisdom,” he says. “Conspiracy theories provide the missing link, turbo-charging an existing account of what’s happening by claiming that it is not just the result of chance or the unintended consequences of policy choices, but the result of a deliberate, secret plan, whether by big pharma, corrupt scientists, the military-industrial complex or big tech.”

Knight notes an extra factor, though – the wellness pipeline has become a co-dependency. Many far-right or conspiracy sites now fund themselves through supplements or fitness products, usually by hyping how the mainstream doesn’t want the audience to have them.

Alex Jones, the US conspiracist who for a decade claimed the Sandy Hook shootings – which killed 20 children and six adults – were a false-flag operation, had his financial records opened up when he was sued by the families of the victims. During the cases, it emerged he had made a huge amount of money by selling his own branded wellness products.

“Alex Jones perfected the grift of selling snake-oil supplements and prepper kit to the libertarian right wing via his conspiracy theory media channels,” Knight says. “But it was Covid that led to the most direct connections between far-right conspiracism and wellness cultures. The measures introduced to curb the pandemic were viewed as attacks on individual sovereignty, which is the core value of both the wellness and libertarian/‘alt-right’ conspiracy communities.”

The problem is, it rarely stops with libertarians. While they may not recognise it, those drawn in from the left are increasingly ending up in the same place as their rightwing counterparts.

“Although many of the traditional left-leaning alternative health and wellness advocates might reject some of the more racist forms of rightwing conspiracism, they now increasingly share the same online spaces and memes,” he says, before concluding: “They both start from the position that everything we are told is a lie, and the authorities can’t be trusted.”

Society’s discussion of QAnon, anti-vaxxers and other fringe conspiracies is heavily focused on what happens in digital spaces – perhaps too much so, to the exclusion of all else. The solution, though, is unlikely to be microphones in every gym and treatment room, monitoring what gets said to clients. The better question to ask is what has made these practitioners, and all too often their clients, so susceptible to these messages in the first place. For QAnon to be the most convincing answer, what someone has heard before must have been completely unsatisfactory.

Jane has her own theory as to why her wellness group got radicalised and she did not – and it’s one that aligns with concerns from conspiracy experts, too. “I think it’s the isolation,” she concludes, citing lockdown as the catalyst, before noting the irony that conspiracies then kick off a cycle of increasing isolation by forcing believers to reject the wider world. “It becomes very isolating because then their attitude is all: ‘Mainstream media … they lie about everything.’”

The Other Pandemic: How QAnon Contaminated *the World by James Ball is published by Bloomsbury*. To support the Guardian and Observer, order your copy at guardianbookshop.com. Delivery charges may apply

Les voyageurs statiques des hôtels-clubs

Publié: 13 août 2023, 15:31 CEST

Des centaines de milliers d’Européens partent régulièrement en vacances en hôtels-clubs. Le célèbre club Méditerranée a inventé dans les années 1950 un nouveau type de vacances, en même temps qu’il a produit indirectement une espèce nouvelle de touristes : les « anti-voyageurs », ou voyageurs statiques. En tout cas, les « hôtels-clubs » façon « Club Med » (beaucoup d’autres acteurs se partagent ce marché gigantesque désormais) connaissent un succès qui ne se dément pas.

L’idée originelle était de démocratiser les vacances, d’offrir la possibilité au plus grand nombre « de partir au soleil » à coût réduit et « à la bonne franquette ». Il y avait dans le principe des premiers « clubs » l’idée de proposer des vacances accessibles à tous. Les fondateurs des « clubs de vacances », les années suivant la Seconde Guerre mondiale, sont issus d’une nouvelle bourgeoisie urbaine et sportive, attachée à l’hédonisme et à la quête de bien-être qu’ils ont connu dans les auberges de jeunesse.

L’historien Marc Boyer, dans son ouvrage Le tourisme (1972) indique : « le [village de vacances est] un centre autonome constitué par des installations de type pavillonnaire en matériaux légers, destiné à assurer des séjours de vacances de plein air selon un prix forfaitaire comportant l’usage d’installations sportives et de distractions collectives ».

Dans la lignée des études des imaginaires du tourisme chers à Rachid Amirou et de « l’anthropologie des mondes contemporains » de Marc Augé, je propose ici des clefs de compréhension du succès de ces villages repliés sur eux-mêmes pour vacanciers sédentaires.

Un exotisme de pacotille

Parmi les un peu plus de 50 % de Français partant en vacances, ils sont cet été encore très nombreux à opter pour ces « villages vacances » pour touristes sédentaires. Et on connaît les transhumances massives des vacanciers de l’Europe du Nord vers la Grèce ou l’Espagne, dont certaines côtes sont monopolisées par ces hôtels-clubs rassemblant simultanément des centaines voire des milliers de personnes.

Ce mode de congés communautaires n’a ni l’estampille plutôt populaire des campings, ni la distance feutrée des petits hôtels, ou le charme feutré et la convivialité des chambres d’hôtes et autres bed and breakfast. Enfin, on n’est pas, comme dans des airbnb, autonome chez l’habitant, avec la charge de la restauration et du ménage. En hôtels-clubs, ce sont des vacances d’un autre genre, exotiques, humides et ensoleillées. Quitte à ne pas être trop exigeant sur cet exotisme, sublimé par le papier glacé des catalogues ou dans les vidéos postées en ligne vantant un bonheur radieux, entre piscine turquoise et soleil éclatant, paillotes exotiques et bar convivial.

[Près de 80 000 lecteurs font confiance à la newsletter de The Conversation pour mieux comprendre les grands enjeux du monde. Abonnez-vous aujourd’hui]

Ces villages de vacances, aux mains de quelques grands groupes, s’étendent à perte de vue dans certaines zones et ils quadrillent les côtes méditerranéennes et caribéennes, contribuant à bétonner massivement les littoraux, de l’Espagne au Maroc, de la Grèce à la Turquie, de la Tunisie à la République dominicaine, ainsi que de certains pays africains. Les vacances statiques qu’ils proposent, rassemblant ce que l’on pourrait appeler des « anti-voyageurs », connaissent en règle générale pour principale aventure les turbulences des vols charters aux horaires aléatoires. Mais dès qu’on est arrivé, on ne sortira presque plus de sa petite bulle de chlore et de soleil. Tout est fait pour favoriser le double principe mental de la régression, et de la « suspension » des règles de vie ordinaires.

Une bulle régressive

Des vacances en « hôtels-clubs », il y en a bien sûr pour tous les budgets, des cases intimistes sur les plages immaculées des Bahamas ou de l’île Maurice aux villages verticaux pour touristes d’Europe du Nord de la Costa Blanca, souvenirs d’années 1970 où l’on « bétonnait » sans grand souci environnemental. Et ces disparités fondées sur les stratifications socioéconomiques et socioculturelles doivent nécessairement être présentes à l’esprit. L’analyse se centre ici sur les clubs « milieu de gamme ».

Ces clubs sont fermés (on en sort peu, mais on peut en sortir, en revanche les « extérieurs » n’y ont pas accès) et gardés, les repas se prennent en commun par la force des choses (sur le principe du buffet à volonté), et ils sont placés sous l’autorité souriante et la convivialité ostentatoire d’un chef de camp qui en principe, tutoie tout le monde et plaisante volontiers dans un sabir international. Et puis des « GO » (« gentils organisateurs », modèle impulsé par le Club Med) en uniforme estival, arpentent en permanence le club, proposant de participer aux activités qu’ils organisent et animent, tout en « ambiançant » les relations, ce qui n’est jamais gagné…

Les hôtels-clubs doivent leur succès à un principe fort : le all inclusive, sur la base d’une semaine. Le prix payé avant le départ prend tout en compte : le vol, le séjour, les activités de loisirs, la pension complète et le « snacking ». Et si certains groupes proposent des séjours de luxe à des tarifs conséquents pour cibler une clientèle haut de gamme, la plupart cassent les prix. L’axiome pragmatique fondant le principe de ces hôtels est qu’il faut « remplir pour rentabiliser ».

Cependant, tout est pensé pour instaurer une régression mentale et physique, assez infantilisante dans l’esprit ; Ceci n’est pas un jugement de valeur mais un constat étayé. Déjà, on ne touchera plus d’argent durant la semaine, car le principe du bracelet que chaque vacancier porte au poignet (avec ses codes-couleur et les droits et privilèges afférents) fait que le all inclusive commence par cette suspension de toute transaction économique. On mange, on boit, on « snacke » à volonté, à n’importe quelle heure, sans limitation, et sans calcul ni transaction, aucun prix n’est affiché. Les règles économiques usuelles de la vie quotidienne – choisir, acheter, payer – sont annihilées : on peut prendre tout ce qu’on veut, et « gratuitement ». Le prix et la transaction se situent ailleurs, bien sûr. Mais ils sont là gommés ; suspension et régression, encore…

À l’avenant, en hôtel-club, il y a peu de motivation culturelle : la plupart des vacanciers se limiteront à la visite groupée et au pas de course du village le plus proche, avec pour objectif touristique le souk, le « petit port de pêche » ou le « marché traditionnel ». Là, c’est souvent un choc inévitable, entre ceux dont on pense qu’ils sont très riches, et ceux dont on sait qu’ils sont très pauvres. Reste le frisson du marchandage de babioles ethniques qui caricaturent les traits de l’exoticité. On a ici en tête les images et l’imaginaire de la place Jemaa El Fna de Marrakech. Après ce choc, cette explosion de couleurs, d’odeurs et de saveurs – et ces frissons, on réintègrera l’insularité rassurante du club. La sortie a été organisée, d’ailleurs, par le club, avec ses navettes à heures fixes. On pourrait éventuellement faire une excursion d’une journée, mais parfaitement balisée, avec les partenaires du voyagiste.

Une topographie particulière

Pendant quelques jours, la vie est organisée autour de trois pôles, qui, au gré des heures, aimantent les centaines de touristes : la piscine, le buffet, la scène de spectacle.

La piscine, d’abord. Là, on est loin des bassins municipaux, spartiates et rectangulaires. En hôtel-club, elle est immense, s’étendant, toute en volutes, au centre du club. Elle n’est en fait jamais tout à fait une piscine – on n’y nage pas vraiment – mais une pataugeoire géante, aux formes ovoïdes, à l’eau luminescente. On a pied partout, et déjà pour les besoins des chorégraphies bruyantes de la gym aquatique. La piscine est en fait là un lieu fœtal dans l’esprit, où l’on flotte et détrempe mollement. Des bars sont parfois installés au milieu de l’eau, où l’on vient « à la source matricielle » snacker et trinquer, tout en restant dans l’eau. L’eau est chaude, les couleurs flashy. Ces piscines, bordées de centaines de transats en plastique blanc, objets de toutes convoitises et de stratégies d’appropriation donnant parfois lieu à des tensions : « je pose ma serviette, c’est le mien pour la journée », sont la promesse et, par anticipation, le souvenir de ces vacances, leur eau turquoise ouvrant sur des imaginaires de lagons tahitiens. Et puis ceci est désormais très « instagrammable ».

Puis les buffets, derrière lesquels s’affaire une foule anonyme et appliquée d’employés locaux, tout de blanc vêtus. Les buffets, et leurs amoncellements gargantuesques de plats standard – riz-pilaf, frites, pizzas, couscous, hamburgers, pâtes à toutes les sauces, desserts industriels, fruits… Bref, une cuisine rebaptisée « internationale », présentée en compositions arcimboldesques, et qui se donnent à profusion.

Le système, qui réinvestit les mythes de Cocagne ou de la Corne d’abondance, est ainsi fait – tout est à volonté – qu’on en prend presque toujours « trop ». À la fin du repas, les assiettes contiennent souvent un mixte incertain de matières et de couleurs qui partira au rebut, confirmant au passage le « péché originel » du tourisme de masse : consommer en surabondance et générer du gaspillage dans des zones de pénurie. À l’avenant, les jardins-oasis des villages de vacances, dont la luxuriance ordonnée narguent les zones quasi-désertiques alentour, pour des clichés d’Eden à bas coût.

Autour de la piscine ou sur la plage (quand le club est sur le littoral, cette place est alors viabilisée et souvent gardée), on bronze des heures, crème écran total sur les épaules et casque sur les oreilles, afin d’arborer au retour la preuve épidermique que l’on rentre bien de vacances. Se baigner dans la mer n’est pas une obligation, et beaucoup restent du côté de la piscine. On perçoit les oppositions symboliques à l’œuvre, nature/civilisation.

La sociabilité caractérisant ces clubs est paradoxale : on ignore la plupart des autres vacanciers – poliment ou pas – lorsqu’il faut jouer des coudes aux heures de pointe au buffet, ou s’approprier un transat bien placé. Et une ambiance « sociofuge » prévaut, donnant à penser qu’on est là « seuls ensemble ». On passe son temps à « s’ignorer poliment » (Yves Winkin). Et paradoxalement, on se liera souvent avec des personnes rencontrées par hasard (voisins de bronzing ou de tablée) qui vont devenir les « meilleurs amis de vacances », avec qui on discutera durant quelques jours de tout et de rien, et desquels on gardera les coordonnées. Se rappellera-t-on, se reverra-t-on, une fois la parenthèse enchantée refermée, et de retour chez soi ? Pas sûr…

La scène, enfin, face au bar, voit alternativement les uns se produire en public, et les autres se donner en spectacle. Dès que la nuit tombe, et avant le night-club, beaucoup des vacanciers se retrouvent devant la scène, et même sur elle. D’abord, il y aura les saynètes des animateurs, plus ou moins prévisibles et réussis (clowns, cabaret, danse). Dans certains clubs, c’est vraiment professionnel, et dans d’autres, c’est beaucoup plus amateur. Puis les planches et les sunlights seront offerts aux vacanciers, pour des séquences incertaines pourtant immortalisées par les smarphones : karaoké, roue de la fortune, tests de culture générale et autres adaptations des jeux télévisuels.

« La vacance des valeurs »

Les hôtels-clubs bouclent la boucle du tourisme de masse. Ils brassent les gens et les genres. Ils offrent une détente assurée à quelques heures de vol, derrière des enclos gardant les touristes de ce qu’est l’immédiat extérieur du club, et qu’on discerne, lorsqu’on arpente les coursives des chambres situées en étage. L’idée qui semble prévaloir est celle de l’oasis. Mais cela demande un travail de dénégation de la part des vacanciers, qui doivent ignorer la différence immense caractérisant le dedans – isolat de luxe, de prévisibilité organisée, de profusion obligée – et la « vraie vie » de l’extérieur, avec des logiques qui sont à mille lieues de celle du club vacances.

À ce titre, on pourrait aussi considérer que ces vacances seront de moins en moins compatibles avec les préoccupations écoresponsables saillantes et le souci des cultures locales, et la rencontre interculturelle.

Ces clubs offrent des vacances amnésiques, dont on ramène des sensations interchangeables : le soleil qui brûle, les cocktails sucrés, les corps en uniforme estival (tee-shirts, shorts, maillots de bain) qui se croisent, les airs disco et la musique techno servant de toile de fond sonores ; ces pantomimes tribales orchestrées par des animateurs à la jovialité permanente, et la convivialité un rien forcée caractérisant les échanges et présidant aux interactions.

Une mise en perspective anthropologique amènerait à considérer qu’ils sont carnavalesques dans l’esprit, procédant à une série d’inversions et de suspensions, instaurant un temps festif, où les statuts sont aplanis et où les identités sont ramenées à un prénom, où les plaisirs vont prévaloir, où l’on se permet ce qu’on ne s’autorise pas forcément en temps ordinaire.

Mais de même, partant de la clôture et de la suspension qui les caractérisent, un parallèle peut être établi avec le succès des croisières : une croisière, c’est en fait un hôtel-club flottant. Et cet hôtel-club peut aussi être considéré comme un bateau de croisière immobile, en rade au bord de la mer. Il s’agit d’univers fermés, avec leur économie symbolique, leurs règles spécifiques, leur finalité, qui est presque la même.

En hôtels-clubs, on s’adonne à des plaisirs régressifs loin d’une actualité anxiogène et morose. Et ils rappellent la fulgurance d’Edgar Morin : « la valeur des vacances, c’est la vacance des valeurs ».

L’auteur remercie Yves Winkin et Elodie Mielczareck pour leur lecture de cet article et leurs commentaires

De quoi « V for Vendetta » est-il le masque ?

Par William Audureau et Damien Leloup Publié le 16 mars 2016 à 20h24, modifié le 17 mars 2016 à 17h54

Vous pouvez partager un article en cliquant sur les icônes de partage en haut à droite de celui-ci.
La reproduction totale ou partielle d’un article, sans l’autorisation écrite et préalable du Monde, est strictement interdite.
Pour plus d’informations, consultez nos conditions générales de vente.
Pour toute demande d’autorisation, contactez syndication@lemonde.fr.
En tant qu’abonné, vous pouvez offrir jusqu’à cinq articles par mois à l’un de vos proches grâce à la fonctionnalité « Offrir un article ».

https://www.lemonde.fr/pixels/article/2016/03/17/de-quoi-v-for-vendetta-est-il-le-masque_4885078_4408996.html

AnalyseDix ans après sa sortie, le film de superhéros anarchiste a prêté son visage à toute une génération de sympathisants.

Medek, 16 ans, interrogé en novembre dernier dans les allées de la Paris Games Week, est vêtu d’un t-shirt arborant le masque de Guy Fawkes. Il le porte « parce que c’est stylé, on porte ce t-shirt comme on pourrait porter un t-shirt Nike ». Il connaît le film V for Vendetta, « un film sur un rebelle », mais cela ne l’inspire pas plus que cela. A ses côtés, Hubert, 15 ans, lui aussi fan de l’objet, n’a pas trop d’explication sur son attachement à ce masque et la portée du film. Il admet volontiers un côté politique, mais sans particulièrement y prêter attention.

Il y a encore cinq ans, le masque de Guy Fawkes, avec son sourire figé, insolent et insondable, était le symbole de toutes les luttes. Indignés, Occupy Wall Street, jeunes du printemps arabe, militants anti-G8 et G20, sans oublier Anonymous, tous les mouvements de contestation l’arboraient. Mais depuis qu’il a été popularisé par le film V for Vendetta, qui fête ses dix ans aujourd’hui, le costume est aussi devenu un code populaire, presque une marque, indice public sinon d’une revendication, du moins d’une insoumission affichée.

Comme le comics dont il est l’adaptation, V for Vendetta est un film politique : il raconte le dernier coup d’éclat de V, superhéros anarchiste vengeur, qui à la manière de Guy Fawkes, instigateur au XVIe siècle d’une tentative d’attentat ratée contre le Parlement anglais, cherche à mettre à feu et à sang une Angleterre dystopique aux mains d’un régime fasciste. Sur le film, de nombreuses analyses ont été rédigées, tantôt pour en saluer l’indocilité joyeuse et enragée, tantôt pour épingler son manichéisme et, ironiquement, son esthétique fascisante.

Le masque que porte le héros est tout simplement tombé dans la culture populaire, grâce au marketing du film et à son adoption sans réserve par les sympathisants du mouvement Anonymous. Ce dernier en a fait le symbole de l’indivisibilité et de la détermination vengeresse du peuple, face à ce qu’il identifie comme des puissances corrompues ou oppressantes.

« Ce masque appartient à tout le monde, il est dans le domaine public : libre à chacun d’en faire ce qu’il veut », se félicite son concepteur, David Lloyd, ravi qu’il ait été repris par des mouvements contestataires.

« V pour Vendetta est l’histoire d’une résistance contre l’oppression et la tyrannie. Partout où le masque a été employé jusque-là, ce le fut dans ce même but et dans ce même esprit. Pour moi, son utilisation est conforme au message véhiculé dans notre œuvre. »

Lire l’entretien avec David Lloyd : « Le masque de V appartient à tout le monde »

Vous pouvez partager un article en cliquant sur les icônes de partage en haut à droite de celui-ci.
La reproduction totale ou partielle d’un article, sans l’autorisation écrite et préalable du Monde, est strictement interdite.
Pour plus d’informations, consultez nos conditions générales de vente.
Pour toute demande d’autorisation, contactez syndication@lemonde.fr.
En tant qu’abonné, vous pouvez offrir jusqu’à cinq articles par mois à l’un de vos proches grâce à la fonctionnalité « Offrir un article ».

https://www.lemonde.fr/pixels/article/2016/03/17/de-quoi-v-for-vendetta-est-il-le-masque_4885078_4408996.html

Time Warner et usines au Brésil

Pourtant, le masque omniprésent n’est pas vraiment dans le domaine public. Si son créateur a donné sa bénédiction à toutes les personnes qui souhaitent se l’approprier, les droits sur l’objet appartiennent en réalité à Time Warner, producteur du film de 2005. Ironiquement, une multinationale du divertissement touche donc une commission sur chaque vente des masques « officiels », utilisés notamment par des militants qui dénoncent la mainmise de grandes entreprises sur la création et la liberté d’expression... D’autant plus que certains des masques sont fabriqués au Brésil ou en Chine, dans des usines où les conditions de travail sont plus que difficiles. La publication, en 2013, de photos prises dans une usine près de Rio, avait poussé une partie des militants d’Anonymous à s’interroger sur leur utilisation du masque.

Peut-on pour autant en conclure que ce masque est une coquille vide et hypocrite, une version modernisée du t-shirt à l’effigie de Che Guevara ? Comme le t-shirt rouge de Guevara, le masque de Guy Fawkes est porté aussi bien par des personnes qui le trouvent « stylé » que par des militants qui choisissent de le revêtir parce qu’il porte une signification politique. Comme le film V pour Vendetta, le masque mêle dans un même objet consumérisme grand public, effet de mode et engagement.

Le masque continue d’ailleurs d’inspirer la peur de certains régimes autoritaires : en 2013, bien après le printemps arabe, les gouvernements du Bahrein et d’Arabie Saoudite l’ont déclaré illégal, et ont interdit son importation. Le gouvernement d’Arabie saoudite estimait alors que ce morceau de plastique « diffuse une culture de violence » et « encourage les jeunes à ne pas respecter les forces de sécurité et à répandre le chaos dans la société ».

Anonymat, Anonymous et action collective

Pourquoi ce masque inquiète-t-il autant certains gouvernements ? Pour ce qu’il représente, d’abord, mais aussi pour ce dont il est la fuite : le rejet d’une société orwelienne où forces médiatiques et politiques contrôleraient la vie de chaque individu.

Vous pouvez partager un article en cliquant sur les icônes de partage en haut à droite de celui-ci.
La reproduction totale ou partielle d’un article, sans l’autorisation écrite et préalable du Monde, est strictement interdite.
Pour plus d’informations, consultez nos conditions générales de vente.
Pour toute demande d’autorisation, contactez syndication@lemonde.fr.
En tant qu’abonné, vous pouvez offrir jusqu’à cinq articles par mois à l’un de vos proches grâce à la fonctionnalité « Offrir un article ».

https://www.lemonde.fr/pixels/article/2016/03/17/de-quoi-v-for-vendetta-est-il-le-masque_4885078_4408996.html

Né en bonne partie sur le forum 4chan, temple de l’anonymat et de l’inconséquence en ligne, le mouvement Anonymous n’a pas adopté un masque comme symbole commun par hasard : l’émergence médiatique du mouvement est strictement contemporaine de l’explosion de Facebook et de l’autofiction en ligne. Comme le relève sur son site l’anthropologue Gabriella Coleman, auteure de l’étude Anonymous. Hacker, activiste, faussaire, mouchard, lanceur d’alerte (éditions Lux) :

« Alors que les Anonymous doivent taire leur identité et cacher leurs actions, le groupe exige la transparence du gouvernement et des grands acteurs. Aux yeux de Mark Zuckerberg, de Facebook, la transparence consiste à partager en permanence des informations personnelles ; il est allé jusqu’à proclamer la mort de la vie privée. Anonymous offre une antithèse provoquante à la logique de l’autopublication constante et de la quête de gloire. »

Vous pouvez partager un article en cliquant sur les icônes de partage en haut à droite de celui-ci.
La reproduction totale ou partielle d’un article, sans l’autorisation écrite et préalable du Monde, est strictement interdite.
Pour plus d’informations, consultez nos conditions générales de vente.
Pour toute demande d’autorisation, contactez syndication@lemonde.fr.
En tant qu’abonné, vous pouvez offrir jusqu’à cinq articles par mois à l’un de vos proches grâce à la fonctionnalité « Offrir un article ».

https://www.lemonde.fr/pixels/article/2016/03/17/de-quoi-v-for-vendetta-est-il-le-masque_4885078_4408996.html

A travers le masque de Fawkes, le mouvement Anonymous redonne également corps à l’idée d’une force collective qui ne serait pas l’addition de ses composantes, mais leur multiplication, à la manière de ce que Musil évoquait, dans L’homme sans qualités (éditions Point), comme « l’aurore d’un nouvel héroïsme, énorme et collectif, à l’exemple des fourmis ».

Le visage rieur de l’anarchiste terroriste prolonge, comme le remarque Gabriella Coleman, les intuitions de l’historien Michel de Certeau. Quelques années avant la publication du comics original de V for Vendetta, dans L’invention du quotidien, il suggérait l’idée d’un « anonyme rieur », « sage et fou, lucide et dérisoire », navigant dans les interstices de la collectivité, qui résisterait aux discours généralisants, aux lectures systémiques, à toute analyse figée, et ramènerait toute construction intellectuelle à l’inéluctabilité de la mort.

David Lloyd dit-il autre chose, lorsqu’il justifie l’étrange rictus de son masque ? « D’un côté, il n’y a rien de plus effrayant que de voir quelqu’un vous tuer tout en souriant. De l’autre, un sourire est par définition une marque d’optimisme. »

Your Computer Should Say What You Tell It To Say

By Cory Doctorow and Jacob Hoffman-Andrews August 7, 2023

WEI? I’m a frayed knot

Two pieces of string walk into a bar.

The first piece of string asks for a drink.

The bartender says, “Get lost. We don’t serve pieces of string.”

The second string ties a knot in his middle and messes up his ends. Then he orders a drink.

The bartender says, “Hey, you aren’t a piece of string, are you?”

The piece of string says, “Not me! I'm a frayed knot.”

Google is adding code to Chrome that will send tamper-proof information about your operating system and other software, and share it with websites. Google says this will reduce ad fraud. In practice, it reduces your control over your own computer, and is likely to mean that some websites will block access for everyone who's not using an "approved" operating system and browser. It also raises the barrier to entry for new browsers, something Google employees acknowledged in an unofficial explainer for the new feature, Web Environment Integrity (WEI).

If you’re scratching your head at this point, we don’t blame you. This is pretty abstract! We’ll unpack it a little below - and then we’ll explain why this is a bad idea that Google should not pursue.

But first…

Some background

When your web browser connects to a web server, it automatically sends a description of your device and browser, something like, "This session is coming from a Google Pixel 4, using Chrome version 116.0.5845.61." The server on the other end of that connection can request even more detailed information, like a list of which fonts are installed on your device, how big its screen is, and more.

This can be good. The web server that receives this information can tailor its offerings to you. That server can make sure it only sends you file formats your device understands, at a resolution that makes sense for your screen, laid out in a way that works well for you.

But there are also downsides to this. Many sites use "browser fingerprinting" - a kind of tracking that relies on your browser's unique combination of characteristics - to nonconsensually identify users who reject cookies and other forms of surveillance. Some sites make inferences about you from your browser and device in order to determine whether they can charge you more, or serve you bad or deceptive offers.

Thankfully, the information your browser sends to websites about itself and your device is strictly voluntary. Your browser can send accurate information about you, but it doesn't have to. There are lots of plug-ins, privacy tools and esoteric preferences that you can use to send information of your choosing to sites that you don't trust.

These tools don't just let you refuse to describe your computer to nosy servers across the internet. After all, a service that has so little regard for you that it would use your configuration data to inflict harms on you might very well refuse to serve you at all, as a means of coercing you into giving up the details of your device and software.

Instead, privacy and anti-tracking tools send plausible, wrong information about your device. That way, services can't discriminate against you for choosing your own integrity over their business models.

That's where remote attestation comes in.

Secure computing and remote attestation

Most modern computers, tablets and phones ship from the factory with some kind of "secure computing" capability.

Secure computing is designed to be a system for monitoring your computer that you can't modify, or reconfigure. Originally, secure computing relied on a second processor - a "Trusted Platform Module" or TPM - to monitor the parts of your computer you directly interact with. These days, many devices use a "secure enclave" - a hardened subsystem that is carefully designed to ensure that it can only be changed with the manufacturer’s permission..

These security systems have lots of uses. When you start your device, they can watch the boot-up process and check each phase of it to ensure that you're running the manufacturer's unaltered code, and not a version that's been poisoned by malicious software. That's great if you want to run the manufacturer's code, but the same process can be used to stop you from intentionally running different code, say, a free/open source operating system, or a version of the manufacturer's software that has been altered to disable undesirable features (like surveillance) and/or enable desirable ones (like the ability to install software from outside the manufacturer's app store).

Beyond controlling the code that runs on your device, these security systems can also provide information about your hardware and software to other people over the internet. Secure enclaves and TPMs ship with cryptographic "signing keys." They can gather information about your computer - its operating system version, extensions, software, and low-level code like bootloaders - and cryptographically sign all that information in an "attestation."

These attestations change the balance of power when it comes to networked communications. When a remote server wants to know what kind of device you're running and how it's configured, that server no longer has to take your word for it. It can require an attestation.

Assuming you haven't figured out how to bypass the security built into your device's secure enclave or TPM, that attestation is a highly reliable indicator of how your gadget is set up.

What's more, altering your device's TPM or secure enclave is a legally fraught business. Laws like Section 1201 of the Digital Millennium Copyright Act as well as patents and copyrights create serious civil and criminal jeopardy for technologists who investigate these technologies. That danger gets substantially worse when the technologist publishes findings about how to disable or bypass these secure features. And if a technologist dares to distribute tools to effect that bypass, they need to reckon with serious criminal and civil legal risks, including multi-year prison sentences.

WEI? No way!

This is where the Google proposal comes in. WEI is a technical proposal to let servers request remote attestations from devices, with those requests being relayed to the device's secure enclave or TPM, which will respond with a cryptographically signed, highly reliable description of your device. You can choose not to send this to the remote server, but you lose the ability to send an altered or randomized description of your device and its software if you think that's best for you.

In their proposal, the Google engineers claim several benefits of such a scheme. But, despite their valiant attempts to cast these benefits as accruing to device owners, these are really designed to benefit the owners of commercial services; the benefit to users comes from the assumption that commercial operators will use the additional profits from remote attestation to make their services better for their users.

For example, the authors say that remote attestations will allow site operators to distinguish between real internet users who are manually operating a browser, and bots who are autopiloting their way through the service. This is said to be a way of reducing ad-fraud, which will increase revenues to publishers, who may plow those additional profits into producing better content.

They also claim that attestation can foil “machine-in-the-middle” attacks, where a user is presented with a fake website into which they enter their login information, including one-time passwords generated by a two-factor authentication (2FA) system, which the attacker automatically enters into the real service’s login screen.

They claim that gamers could use remote attestation to make sure the other gamers they’re playing against are running unmodified versions of the game, and not running cheats that give them an advantage over their competitors.

They claim that giving website operators the power to detect and block browser automation tools will let them block fraud, such as posting fake reviews or mass-creating bot accounts.

There’s arguably some truth to all of these claims. That’s not unusual: in matters of security, there’s often ways in which indiscriminate invasions of privacy and compromises of individual autonomy would blunt some real problems.

Putting handcuffs on every shopper who enters a store would doubtless reduce shoplifting, and stores with less shoplifting might lower their prices, benefitting all of their customers. But ultimately, shoplifting is the store’s problem, not the shoppers’, and it’s not fair for the store to make everyone else bear the cost of resolving its difficulties.

WEI helps websites block disfavored browsers

One section of Google’s document acknowledges that websites will use WEI to lock out browsers and operating systems that they dislike, or that fail to implement WEI to the website’s satisfaction. Google tentatively suggests (“we are evaluating”) a workaround: even once Chrome implements the new technology, it would refuse to send WEI information from a “small percentage” of computers that would otherwise send it. In theory, any website that refuses visits from non-WEI browsers would wind up also blocking this “small percentage” of Chrome users, who would complain so vociferously that the website would have to roll back their decision and allow everyone in, WEI or not.

The problem is, there are lots of websites that would really, really like the power to dictate what browser and operating system people can use. Think “this website works best in Internet Explorer 6.0 on Windows XP.” Many websites will consider that “small percentage” of users an acceptable price to pay, or simply instruct users to reset their browser data until a roll of the dice enables WEI for that site.

Also, Google has a conflict of interest in choosing the “small percentage.” Setting it very small would benefit Google’s ad fraud department by authenticating more ad clicks, allowing Google to sell those ads at a higher price. Setting it high makes it harder for websites to implement exclusionary behavior, but doesn’t directly benefit Google at all. It only makes it easier to build competing browsers. So even if Google chooses to implement this workaround, their incentives are to configure it as too small to protect the open web.

You are the boss of your computer

Your computer belongs to you. You are the boss of it. It should do what you tell it to.

We live in a wildly imperfect world. Laws that prevent you from reverse-engineering and reconfiguring your computer are bad enough, but when you combine that with a monopolized internet of “five giant websites filled with screenshots of text from the other four,” things can get really bad.

A handful of companies have established chokepoints between buyers and sellers, performers and audiences, workers and employers, as well as families and communities. When those companies refuse to deal with you, your digital life grinds to a halt.

The web is the last major open platform left on the internet - the last platform where anyone can make a browser or a website and participate, without having to ask permission or meet someone else’s specifications.

You are the boss of your computer. If a website sets up a virtual checkpoint that says, “only approved technology beyond this point,” you should have the right to tell it, “I’m no piece of string, I’m a frayed knot.” That is, you should be able to tell a site what it wants to hear, even if the site would refuse to serve you if it knew the truth about you.

To their credit, the proposers of WEI state that they would like for WEI to be used solely for benign purposes. They explicitly decry the use of WEI to block browsers, or to exclude users for wanting to keep their private info private.

But computer scientists don't get to decide how a technology gets used. Adding attestation to the web carries the completely foreseeable risk that companies will use it to attack users' right to configure their devices to suit their needs, even when that conflicts with tech companies' commercial priorities.

WEI shouldn't be made. If it's made, it shouldn't be used.

So what?

So what should we do about WEI and other remote attestation technologies?

Let's start with what we shouldn't do. We shouldn't ban remote attestation. Code is speech and everyone should be free to study, understand, and produce remote attestation tools.

These tools might have a place within distributed systems - for example, voting machine vendors might use remote attestation to verify the configuration of their devices in the field. Or at-risk human rights workers might send remote attestations to trusted technologists to help determine whether their devices have been compromised by state-sponsored malware.

But these tools should not be added to the web. Remote attestations have no place on open platforms. You are the boss of your computer, and you should have the final say over what it tells other people about your computer and its software.

Companies' problems are not as important as their users' autonomy

We sympathize with businesses whose revenues might be impacted by ad-fraud, game companies that struggle with cheaters, and services that struggle with bots. But addressing these problems can’t come before the right of technology users to choose how their computers work, or what those computers tell others about them, because the right to control one’s own devices is a building block of all civil rights in the digital world..

An open web delivers more benefit than harm. Letting giant, monopolistic corporations overrule our choices about which technology we want to use, and how we want to use it, is a recipe for solving those companies' problems, but not their users'.

I Would Rather See My Books Get Pirated Than This (Or: Why Goodreads and Amazon Are Becoming Dumpster Fires)

Updated: August 8, 2023

First Published: August 7, 2023 by Jane Friedman 60 Comments

Update (afternoon of Aug. 7): Hours after this post was published, my official Goodreads profile was cleaned of the offending titles. I did file a report with Amazon, complaining that these books were using my name and reputation without my consent. Amazon’s response: “Please provide us with any trademark registration numbers that relate to your claim.” When I replied that I did not have a trademark for my name, they closed the case and said the books would not be removed from sale.

Update (morning of Aug. 8): The fraudulent titles appear to be entirely removed from Amazon and Goodreads alike. I’m sure that’s in no small part due to my visibility and reputation in the writing and publishing community. What will authors with smaller profiles do when this happens to them? If you ever find yourself in a similar situation, I’d start by reaching out to an advocacy organization like The Authors Guild (I’m a member).

Update (evening of Aug. 8): Since these fake books have been removed, I’ve added titles and screenshots below, as well as an explanation of why I believe the books are AI generated.

There’s not much that makes me angry these days about writing and publishing. I’ve seen it all. I know what to expect from Amazon and Goodreads. Meaning: I don’t expect much, and I assume I will be continually disappointed. Nor do I have the power to change how they operate. My energy-saving strategy: move on and focus on what you can control.

That’s going to become much harder to do if Amazon and Goodreads don’t start defending against the absolute garbage now being spread across their sites.

I know my work gets pirated and frankly I don’t care. (I’m not saying other authors shouldn’t care, but that’s not a battle worth my time today.)

But here’s what does rankle me: garbage books getting uploaded to Amazon where my name is credited as the author, such as:

• A Step-by-Step Guide to Crafting Compelling eBooks, Building a Thriving Author Platform, and Maximizing Profitability
• How to Write and Publish an eBook Quickly and Make Money
• Promote to Prosper: Strategies to Skyrocket Your eBook Sales on Amazon
• Publishing Power: Navigating Amazon’s Kindle Direct Publishing
• Igniting Ideas: Your Guide to Writing a Bestseller eBook on Amazon

Whoever’s doing this is obviously preying on writers who trust my name and think I’ve actually written these books. I have not. Most likely they’ve been generated by AI. (Why do I think this? I’ve used these AI tools extensively to test how well they can reproduce my knowledge. I also do a lot of vanity prompting, like “What would Jane Friedman say about building author platform?” I’ve been blogging since 2009—there’s a lot of my content publicly available for training AI models. As soon as I read the first pages of these fake books, it was like reading ChatGPT responses I had generated myself.)

It might be possible to ignore this nonsense on some level since these books aren’t receiving customer reviews (so far), and mostly they sink to the bottom of search results (although not always). At the very least, if you look at my author profile on Amazon, these junk books don’t appear. A reader who applies some critical thinking might think twice before accepting these books as mine.

Still, it’s not great. And it falls on me, the author—the one with a reputation at stake—to get these misleading books removed from Amazon. I’m not even sure it’s possible. I don’t own the copyright to these junk books. I don’t exactly “own” my name either—lots of other people who are also legit authors share my name, after all. So on what grounds can I successfully demand this stop, at least in Amazon’s eyes? I’m not sure.

To add insult to injury, these sham books are getting added to my official Goodreads profile. A reasonable person might think I control what books are shown on my Goodreads profile, or that I approve them, or at the very least I could have them easily removed. Not so.

If you need to have your Goodreads profile corrected—as far as the books credited to you—you have to reach out to volunteer “librarians” on Goodreads, which requires joining a group, then posting in a comment thread that you want illegitimate books removed from your profile.

When I complained about this on Twitter/X, an author responded that she had to report 29 illegitimate books in just the last week alone. 29!

With the flood of AI content now published at Amazon, sometimes attributed to authors in a misleading or fraudulent manner, how can anyone reasonably expect working authors to spend every week for the rest of their lives policing this? And if authors don’t police it, they will certainly hear about it, from readers concerned about these garbage books, and from readers who credulously bought this crap and have complaints. Or authors might not hear any thing at all, and lose a potential reader forever.

We desperately need guardrails on this landslide of misattribution and misinformation. Amazon and Goodreads, I beg you to create a way to verify authorship, or for authors to easily block fraudulent books credited to them. Do it now, do it quickly.

Unfortunately, even if and when you get these insane books removed from your official profiles, they will still be floating around out there, with your name, on two major sites that gets millions of visitors, just waiting to be “discovered.” And there’s absolutely nothing you can do about it.

The dirty little secret that could bring down Big Tech

Adam Rogers Jul 18, 2023, 11:53 AM UTC+2

In 2016, Matt Wansley was trying to get work as a lawyer for a tech company — specifically, working on self-driving cars. He was making the rounds, interviewing at all the companies whose names you know, and eventually found himself talking to an executive at Lyft. So Wansley asked her, straight-out: How committed was Lyft, really, to autonomous driving?

"Of course we're committed to automated driving," the exec told him. "The numbers don't pencil out any other way."

Wait a minute, Wansley thought. Unless someone invents a robot that can drive as well as humans, one of America's biggest ride-hailing companies doesn't expect to turn a profit? Like, ever? Something was clearly very, very screwy about the business model of Big Tech.

"So what was the investment thesis behind Uber and Lyft?" says Wansley, now a professor at the Cardozo School of Law. "Putting billions of dollars of capital into a money-losing business where the path to profitability wasn't clear?"

Wansley and a Cardozo colleague, Sam Weinstein, set out to understand the money behind the madness. Progressive economists had long understood that tech companies, backed by gobs of venture capital, were effectively subsidizing the price of their products until users couldn't live without them. Think Amazon: Offer stuff cheaper than anyone else, even though you lose money for years, until you scale to unimaginable proportions. Then, once you've crushed the competition and become the only game in town, you can raise prices and make your money back. It's called predatory pricing, and it's supposed to be illegal. It's one of the arguments that progressives in the Justice Department used to bust up monopolies like Standard Oil in the early 20th century. Under the rules of capitalism, you aren't allowed to use your size to bully competitors out of the market.

The problem is, conservative economists at the University of Chicago have spent the past 50 years insisting that under capitalism, predatory pricing is not a thing. Their head-spinning argument goes like this: Predators have a larger market share to begin with, so if they cut prices, they stand to lose much more money than their competitors. Meanwhile their prey can simply flee the market and return later, like protomammals sneaking back to the jungle after the velociraptors leave. Predatory companies could never recoup their losses, which meant predatory behaviors are irrational. And since Chicago School economists are the kind of economists who believe that markets are always rational, that means predatory pricing cannot, by definition, exist.

The Supreme Court bought the argument. In the 1986 case Matsushita Electric Industry Co. v. Zenith Radio Corp., the court famously ruled that "predatory pricing schemes are rarely tried, and even more rarely successful." And in 1993, in Brooke Group v. Brown & Williamson Tobacco Corp., the court said that to convict a company of predatory pricing, prosecutors had to show not only that the accused predators had cut prices below market rates but also that they had a "dangerous probability" of recouping their losses. That effectively shut down the government's ability to prosecute companies for predatory pricing.

"The last time I checked, no one — including the United States government — has won a predatory pricing case since Brooke Group," says Spencer Waller, an antitrust expert at Loyola's School of Law. "Either they can't prove below-cost pricing, or they can't prove recoupment, because a nonexpert generalist judge who buys the basic theory when they read Matsushita and Brooke Group is super-skeptical this stuff is ever rational, absent really compelling evidence."

Lots of economists have come up with solid counter-counterarguments to the Chicago School's skepticism about predatory pricing. But none of them have translated to winnable antitrust cases. Wansley and Weinstein — who, not coincidentally, used to work in antitrust enforcement at the Justice Department — set out to change that. In a new paper titled "Venture Predation," the two lawyers make a compelling case that the classic model of venture capital — disrupt incumbents, build a scalable platform, move fast, break things — isn't the peak of modern capitalism that Silicon Valley says it is. According to this new thinking, it's anticapitalist. It's illegal. And it should be aggressively prosecuted, to promote free and fair competition in the marketplace.

"We think real world examples are not hard to find — if you look in the right place," Wansley and Weinstein write. "A new breed of predator is emerging in Silicon Valley." And the mechanism those predators are using to illegally dominate the market is venture capital itself.

enture investing is the answer to the question of what would happen if you staffed a bank's loan department with adrenaline junkies. The limited partners in venture funds demand high returns, and those funds are transient things, lasting maybe a decade, which means the clock is ticking. Venture capitalists and the investors who put money into their funds aren't necessarily looking for a successful product (though they wouldn't turn one down). For VCs and their limited partners, the most profitable endgame is a quick exit — either selling off the company or taking it public in an IPO.

Those pressures, Wansley and Weinstein argue, encourage risky strategies — including predatory pricing. "If you buy what the Chicago School of economists think about self-funded predators, you might think it's irrational for a company to engage in predatory pricing for a bunch of reasons," Weinstein says. "But it might not be irrational for a VC." The idea that it's so irrational as to be nonexistent is "a bullshit line that has somehow become common wisdom."

Take Uber, one of their key examples. It'd be one thing if the company had simply outcompeted taxicabs on the merits. Cabs, after all, were themselves a fat and complacent monopoly. "Matt and I don't have any problem with that," Weinstein says. "You have a new product, scale quickly, and use some subsidies to get people on board." Disrupt an old business and make a new one.

But that's not what happened. As in a soap opera or a comic-book multiverse, the ending never arrived. Uber kept subsidizing riders and drivers, losing billions trying to spend its competitors into oblivion. The same goes for a lot of other VC-backed companies. "WeWork was setting up offices right next to other coworking spaces and saying, 'We'll give you 12 months free.' Bird was scattering its scooters all over cities," Wansley says. "The pattern to us just seems very familiar."

Uber is one of the best investments in history, and it was a predatory pricing.

On its face, it also seems to prove the point of the Chicago School: that companies can never recoup the losses they incur through predatory pricing. Matsushita and Brooke Group require that prosecutors show harm. But if the only outcome of the scaling strategy used by Uber and other VC startups is to create an endless "millennial lifestyle subsidy," that just means wealth is being transferred from investors to consumers. The only victims of predatory pricing are the predators themselves.

Where Wansley and Weinstein break important new ground is on the other legal standard set by the Supreme Court: recoupment of losses. If Uber and WeWork and the rest of the unicorns are perpetual money losers, it sounds like the standard isn't met. But Wansley and Weinstein point out that it can be — even if the companies never earn a dime and even if everyone who invests in the companies, post-IPO, loses their bets. That's because the venture capitalists who seeded the company do profit from the predatory pricing. They get in, get a hefty return on their investment, and get out before the whole scheme collapses.

"Will Uber ever recoup the losses from its sustained predation?" Wansley and Weinstein write. "We do not know. Our point is that, from the perspective of the VCs who funded the predation, it does not matter. All that matters is that investors were willing to buy the VCs' shares at a high price."

Let's be clear here: This isn't the traditional capitalist story of "you win some, you lose some." The point isn't that venture capitalists sometimes invest in companies that don't make their money back. The point is that the entire model deployed by VCs is to profit by disrupting the marketplace with predatory pricing, and leave the losses to the suckers who buy into the IPO. A company that engages in predatory pricing and its late-stage investors might not recoup, but the venture investors do.

"The single most important fact in this paper is that Benchmark put $12 million into Uber and got $5.8 billion back," Wansley says. "That's one of the best investments in history, and it was a predatory pricing."

This new insight — that venture capital is predatory pricing in a new wrapper — could prove transformative. By translating the Silicon Valley jargon of exits and scaling into the legalese of antitrust law, Wansley and Weinstein have opened a door for the prosecution of tech investors and their anticompetitive behavior. "Courts will have to adjust the way they're thinking about recoupment," Weinstein says. "What did the investors who bought from the VCs think was going to happen? Did they think they were going to recoup?" That, he says, would be a "pretty good pathway" for courts to follow in determining whether a company's practices are anticompetitive.

Capitalism is supposed to allow competition to foster innovation and choice; monopolies quash all that so a few people can get rich.

What makes this argument particularly powerful, from a legal perspective, is that it doesn't reject the basics of the Chicago School's thinking on antitrust. It accepts that consumer welfare and the efficiency of markets are paramount. It just points out that something uncanny — and illegal — is taking place in Silicon Valley. "I'm pro-enforcement and anti-Chicago School, so I'm always looking for areas where I think they're wrong," Weinstein says. "And here's one."

That kind of "serious legal scholarship" can be particularly successful with the courts, according to Waller, the antitrust expert at Loyola. "It's a good, modest strategy to say, 'We think your model's wrong, but even if your model's right in general, it's not right here.' That's both how you win cases and how you chip away at an edifice you want to challenge."

With so many industries imploding into oligopolies — tech, healthcare, pharma, entertainment, journalism, retail — it's a hopeful sign to see the trustbusting mindset stirring to life once more. Capitalism is supposed to allow competition to foster innovation and choice; monopolies quash all that so a few people can get rich. But the new scholarship on predatory pricing could ripple well beyond the courts. Wansley and Weinstein's paper put me in mind of "The Big Con," David Maurer's linguistic study of con artists first published in 1940. Maurer said the most delicate part of a con was the end — the blow-off. After the sucker has been bled dry, the grifter has to ditch the victim, ideally in such a way that they won't go to the cops. In the perfect crime, the mark doesn't even know they've been had. The transfer of lousy tech equity to late-stage investors who have been led to believe it's valuable sure looks like a good blow-off to me.

So now that we know precisely how Silicon Valley's big con works, maybe the marks won't be so quick to fall for it. Once you know what a phishing email looks like, you tend to stop replying to them. The same goes for recognizing the outlines of this particular grift. "It's not a Ponzi scheme, but it favors certain investors," Weinstein says. "If people in Silicon Valley start thinking about this as a predatory pricing scam, then I think the late-stage investors will start asking questions."

And not just about ride hailing or office sharing. Maybe grocery delivery? Or streaming-service subscriptions? The same kind of aha! light that went off for Wansley during his interview with the Lyft executive could start to go off for other people as well. Some of them will be investors who decide not to park their money in predatory tech companies. And some of them, perhaps, will be government regulators who are looking for ways to bust our modern-day trusts.

Adam Rogers is a senior correspondent at Insider.