Did your car witness a crime? Bay Area police may be coming for your Tesla — and they might tow it

Tesla cameras show the multiple angles that are recorded around the vehicle. Teslas are now routinely deployed in police investigations if they were parked anywhere near a crime scene — even if the car wasn’t involved.

By Rachel Swan, Reporter Aug 31, 2024

A Canadian tourist was visiting Oakland recently when he had to talk someone out of taking his Tesla from a hotel parking lot.

This was no thief. It was the Oakland Police Department. Turns out, the Tesla may have witnessed a homicide.

In Oakland and beyond, police called to crime scenes are increasingly looking for more than shell casings and fingerprints. They’re scanning for Teslas parked nearby, hoping their unique outward-facing cameras captured key evidence. And, the Chronicle has found, they’re even resorting to obtaining warrants to tow the cars to ensure they don’t lose the video.

The trend offers a window into how mass surveillance — the expansion of cameras as well as license-plate scanners, security doorbells and precise cellphone tracking — is changing crime-fighting. While few cars have camera systems similar to Teslas, that could change rapidly, especially as the technology in vehicles continues to improve.

“We have all these mobile video devices floating around,” said Sgt. Ben Therriault, president of the Richmond Police Officers Association.

Therriault said he and other officers now frequently seek video from bystander Teslas, and usually get the owners’ consent to download it without having to serve a warrant. Still, he said, tows are sometimes necessary, if police can’t locate a Tesla owner and need the video “to pursue all leads.”

“It’s the most drastic thing you could do,” he acknowledged.

In at least three instances in July and August, Oakland police sought to tow a Tesla into evidence to obtain — via a second court order — its stored video. Officers cited the cars’ “Sentry Mode” feature, a system of cameras and sensors that records noise and movement around the vehicle when it is empty and locked, storing it in a USB drive in the glove box.

The case involving the Canadian tourist happened July 1 outside the La Quinta Inn near the Oakland airport. When officers arrived at the parking lot shortly after midnight, they found a man in an RV suffering from gunshot and stab wounds. He was later pronounced dead at Highland Hospital.

Officers also noticed a gray Tesla parked in the stall opposite the RV.

“I know that Tesla vehicles contain external surveillance cameras in order to protect their drivers from theft and/or liability in accidents,” officer Kevin Godchaux wrote in the search warrant affidavit obtained by the Chronicle, noting that the vehicle was perfectly positioned to document what happened.

“Based on this information,” Godchaux wrote, “I respectfully request that a warrant is authorized to seize this vehicle from the La Quinta Inn parking lot so this vehicle’s surveillance footage may be searched via an additional search warrant at a secure location.”

Oakland police officials did not respond to a request for comment, nor did the Tesla owner back in Calgary. A source familiar with the investigation said the owner showed up as crews were loading his car onto a tow truck and intervened. When he volunteered the video, police released his vehicle.

There’s no guarantee that a Tesla will record a crime that occurs near it. That depends on factors including what mode the car is in and whether the system is triggered. But police who view Teslas as rolling surveillance security cameras aren’t taking chances.

“When you have these cars on the roads that are constantly capturing information, even when they’re parked, the police can look to them as a resource,” said Saira Hussain, a staff attorney at the Electronic Frontier Foundation who specializes in government surveillance. “That obviously puts third parties — people who are not involved at all — in the crosshairs of investigations.”

Similar issues have come up with self-driving cars now on the road in San Francisco and other cities, which are also equipped with sophisticated video capability, Hussain noted. But in those cases, police subpoena the tech company — typically Waymo — because it owns the cars and the data. Tesla drivers, by contrast, get served individually because they control their own camera footage.

In recent years, Tesla camera footage has played a variety of roles in police investigations, most commonly offering evidence after crashes but also documenting crimes perpetrated on a car’s owners or identifying a burglar who enters a car. The use of court orders related to crimes that occur near a Tesla appears to be a newer wrinkle.

On July 13 in Oakland, an argument between several people outside a beauty supply shop at 40th Street and Telegraph Avenue escalated when five of them drew guns and began shooting at each other, police said, killing a 27-year-old woman.

Oakland police officer Roland Aguilar obtained a search warrant to tow three vehicles, including a Tesla Model X with Kansas plates, writing in a court affidavit, “This video could provide valuable information relevant to the ongoing investigation.”

Weeks later, two men were charged with murder and a raft of other felonies in connection with the shooting. Probable cause declarations for their arrests referred to “high-definition quality surveillance footage” of the homicide, without specifically mentioning the Tesla. Police had also gathered video from a nearby market, the affidavit said.

Another search warrant affidavit from Oakland police described an incident on Aug. 12, in which the city’s gunfire detection system prompted officers to rush to 13th and Center streets in West Oakland. There, they found a man with a gunshot wound to the head in the back seat of his girlfriend’s Tesla. The girlfriend, also in the car, gave officers a “partial statement,” the affidavit said. Officers took a bloody cell phone she was carrying and allowed her to leave.

Though officers found no weapons inside the Tesla, they towed it as evidence, believing its cameras may have recorded the crime, according to the affidavit. Paramedics drove the victim to Highland Hospital, where he was listed in critical condition. No arrests have been made in the case.

Tesla video could be crucial as well in prosecuting a young man over a homicide that occurred in January in San Jose, said Sean Webby, a spokesperson for the Santa Clara County district attorney.

Webby said the Tesla was “not associated with either the suspect or the victim,” but happened to be parked nearby, he said, when the driver of an Infiniti intentionally ran over an already wounded man and then kept going.

EU Council has withdrawn the vote on Chat Control

By Alex Ivanovs Published 20/06/2024

The EU Council and its participants have decided to withdraw the vote on the contentious Chat Control plan proposed by Belgium, the current EU President.

According to Netzpolitik (German), “The EU Council did not make a decision on chat control today, as the agenda item was removed due to the lack of a majority, confirmed by Council and member state spokespersons”.

Belgium’s draft law, which was supposed to be adopted as the Council’s negotiating position, was instead postponed indefinitely. Although the Committee of Permanent Representatives meets weekly, Belgium cannot currently present a proposal that would gain a majority. In July, the Council Presidency will transfer from Belgium to Hungary, which has stated its intention to advance negotiations on chat control as part of its work program.

At the start of 2022, the European Commission proposed monitoring all chat messages and other forms of digital communication among citizens. This initiative includes client-side scanning for end-to-end encrypted services, meaning all messages would be checked irrespective of suspicion.

The plan targets the detection of both known and unknown abusive material and grooming activities. Experts have cautioned that such measures are prone to generating numerous false positives, particularly when identifying unknown content, leading to innocent citizens being misidentified as senders of abusive material.

European legislation is formed through a trialogue process involving negotiations between the European Commission, the European Parliament, and the Council of Ministers. Initially, the European Parliament rejected the European Commission’s proposal and introduced its own, which, while still critical, excluded end-to-end encrypted services. However, Belgium’s new proposal reintroduced client-side scanning for these services, stipulating that users must consent to chat controls; otherwise, they would lose the ability to send photos, videos, and URLs.

This method, termed “upload moderation” by Belgium, has been criticized by opponents as merely a rebranding of the original concept.

Signal and other apps threaten to leave the EU if the proposal is enacted as law

Meredith Whittaker, president of the chat app Signal, has been vocal against these plans. She argues that implementing such measures within end-to-end encrypted communications fundamentally undermines encryption and introduces significant vulnerabilities in the digital infrastructure.

Whittaker emphasizes that these vulnerabilities have far-reaching global implications, not just within Europe. She has repeatedly highlighted the issue, stating, “There is no way to implement such proposals without fundamentally undermining encryption and introducing dangerous vulnerabilities.”

On June 17, Whittaker published an official position condemning the EU’s proposed “upload moderation” as a rebranding of client-side scanning that fundamentally undermines end-to-end encryption.

She emphasized that despite attempts to mask the dangers through marketing, these measures expose encrypted communications to mass surveillance, creating vulnerabilities exploitable by hackers and hostile nations. Whittaker urged a cessation of such rhetorical games, reiterating that any form of mandated mass scanning compromises encryption, thereby threatening global security and privacy at a critically unstable geopolitical moment.

The privacy messenger Threema published a blog post saying the EU’s proposed Chat Control bill represents a dangerous mass surveillance initiative that would undermine data security, violate privacy rights, and negatively impact professionals and minors.

Patrick Breyer, the outgoing MEP from the Pirate Party, raised concerns, noting that proponents of chat control have leveraged the period following the European elections, when attention is lower and the European Parliament is in transition, to advance their agenda. Breyer has called on European citizens to take action and urge their politicians to oppose the measures.

Edward Snowden, the NSA whistleblower, criticized the proposal, stating, “EU apparatchiks are trying to legislate a terrible mass surveillance measure, despite universal public opposition (no sane person wants this), by inventing a new word for it – upload moderation – and hoping no one finds out what it is until it’s too late.”

What happens next?

With the EU Council withdrawing the vote on the Chat Control proposal today, the legislative process faces new uncertainty. The proposal will return to the drawing board, as the European Commission[1] and the European Parliament continue to deliberate on the best way forward.

The discussions will resume after the summer, once the new Parliament is seated and Hungary assumes the Council presidency from Belgium in July. Hungary has already committed to developing a comprehensive legislative framework to prevent and combat online child sexual abuse and revising the directive against the sexual exploitation of children.

The forthcoming negotiations are anticipated to be highly contentious, especially since the European Parliament has firmly opposed any measures that would circumvent end-to-end encryption. The Member States and the Parliament have until April 2026 to agree. This deadline is crucial, as an existing exemption allowing social networks to self-moderate content will expire, potentially eliminating current safeguards against sharing sensitive images.

In the meantime, privacy advocates and digital rights organizations will likely continue to voice their concerns, urging EU citizens to remain vigilant and engaged in the debate over digital privacy and surveillance. The next steps will involve intense negotiations and potential revisions to address the complex issues at stake.

[footnote #1]: On June 20, at the European Data Protection Supervisor (EDPS) 20th anniversary summit, EU Commissioner for Justice Vera Jourová stated that the European Commission’s proposal for the Child Sexual Abuse Regulation (CSAR) would break encryption. This marks the first time the European Commission has publicly acknowledged that the CSAR proposal would compromise encryption, a significant departure from the stance maintained over the past three years by Home Affairs Commissioner Ylva Johansson, who consistently claimed that the proposal would not affect encryption.

Cyber Security: A Pre-War Reality Check

Posted on May 14 2024

This is a lightly edited transcript of my presentation today at the ACCSS/NCSC/Surf seminar ‘Cyber Security and Society’. I want to thank the organizers for inviting me to their conference & giving me a great opportunity to talk about something I worry about a lot. Here are the original [slides with notes](https://berthub.eu/prewar/ncsc accss surf keynote bert hubert-notes.pdf), which may be useful to view together with the text below. In the notes there are also additional URLs that back up the claims I make in what follows.

So, well, thank you so much for showing up.

And I’m terribly sorry that it’s not going to be a happy presentation.

This is also sort of an academic environment, and this is not going to be an academic talk. This is not going to be subtle. But I’m trying to alter, to modulate your opinion on the world of cyber security a little bit.

Cyber security and society, a pre-war reality check

We’re already worried enough about cyber security. Is anyone here not worried about cyber security? And you could go home now, otherwise. Okay, that’s good. So you can all stay.

First, some important words from Donald T:

“I know it sounds devastating, but you have to get used to the fact that a new era has begun. The pre-war era.”

And this comes from Donald Tusk, the Polish Prime Minister from 2007 to 2014.

And at the time, he, and the Baltic states, said that Russia was a real threat. And everyone’s like, yeah, yeah, it’ll last. And we’ll just do so much business with them that we will not get bombed. And that did not work.

And now Donald Tusk is again the Prime Minister of Poland. And he’s again telling us that, look, we are in a bad era and we are underestimating this.

We are used to thinking about cyber security in terms of can we keep our secrets safe? Are we safe against hackers or ransomware or other stuff? But there is also a war dimension to this. And this is what I want to talk about here.

So briefly, Nicole already mentioned it, I’ve done a lot of different things, and this has given me varied insights into security. I’ve worked with Fox-IT for a long while. PowerDNS should not be a well-known company. But it delivered services to KPN, Ziggo, British Telecom, Deutsche Telekom. And they all run their internet through the PowerDNS software.

And through that, I got a lot of exposure to how do you keep a national telecommunications company secure.

And can the national telecommunications companies keep themselves secure?

And that was useful.

I spent time at intelligence agencies, I spent time regulating intelligence agencies. And that may be also useful to talk about a little bit. Through that regulatory body, for nearly two years, I got a very good insight into every cyber operation that the Dutch government did. Or every cyber operation that was done on the Dutch government.

I cannot tell you anything about that stuff. But it was really good calibration. You know what kind of stuff is going on. Uniquely to the Netherlands is that this board, which regulates the intelligence agencies, actually has two judges, the little guy on the left and on the right:

And in the middle, there was someone with different experience. That’s what the law says. They couldn’t get themselves to say someone with technical experience. It was a bridge too far. But at least they said we can have someone with different experience.

And this is unique in Europe, that there is an intelligence agency that is being regulated with an actual technical person in there. And we’ll come to why that is important later.

So everyone is of course saying, look, the cyber security world is just terrible and doomed. And someone is going to shut off our electricity and kill our internet and whatever. Or disable a hospital. And so far, not a lot of this stuff has actually been happening.

In 2013, Brenno de Winter wrote a book called The Digital Storm Surge, in which he said, look, we haven’t had any real cyber incidents that really speak to the imagination. So we’ve had, of course, the printer is down. The printer is always down.

We don’t actually rely on computers that much, because they break all the time. So we do not have a lot of life and death situations involving computers.

Brenno, in 2013, predicted that we would only take cyber security seriously once we had the kind of incident where lots of self-driving cars, who can avoid pedestrians, that you flip one bit. And they all start aiming at pedestrians.

And you get like thousands of people dead because all kinds of cars decide to drive over people. And he mentioned there that before the sinking of the Titanic, there was no regulation for how to build ships.

So you could just build a ship and if it looked good, people assumed that it would also be good. And only after the Titanic, they started saying, oh, we need to have steel that’s this thick, and you can have the steam engine, not here, it must be there. So he said the Titanic was the regulatory event for ship building.

And in 2013, Brenno said we have not had anything serious yet, and we will only get serious legislation once the Titanic sinks. And it didn’t sink.

However, the EU got vision.

his is the most optimistic slide in the whole presentation.

For some reason, the EU decided that this couldn’t go on. And so they launched like six or seven new laws to improve the state of our cybersecurity.

And this is like the sinking of the Titanic. So we’re not properly realizing how much work this is going to be. Because the thing is, they’ve written all these laws already, and only one of them is sort of semi-active right now, and the rest is still coming.

So this is our post-Titanic environment, and this might improve the situation of cybersecurity somewhat. Because it’s like terrible.

So some real cyber incidents, real stuff that broke war.

This is the former president of Iran, Mahmoud Ahmadinejad. And here he is admiring his uranium ultracentrifuge facilities.

And this was the famous Stuxnet operation, where apparently the West was able to disable the ultracentrifuges used to create highly enriched uranium.

And not only did they disable it, like the factory is down now, it tore itself to shreds physically.

So this is one of the few sort of military cyber attacks that we know about.

This is like one third of them. The other one that happened was just before Russia invaded Ukraine, they managed to disable the Viasat modems. And this is an interesting case. These modems are used for satellite communications. And they were able to attack these modems so that they physically disabled themselves.

It was not like the denial of service attack on the network. No, they managed to wipe the firmware of all these modems in such a way that it could not be replaced.

The reason we know about this stuff so well is it turns out there were lots of windmills that also had these modems.

In Germany, apparently 4,000 of these modems stopped working. And there were 4,000 wind turbines that could no longer be operated. So this was a military cyber attack that happened as Russia was invading Ukraine. And it was of great benefit to them because it disabled a lot of military communications in Ukraine.

But this is the kind of thing that can happen, only that it’s quite rare.

Earlier, Russia disabled a lot of the electricity networks in Ukraine using a similar kind of attack. And it turned out that the Ukrainians were so good (and their systems so simple and robust) that they had a disruption of like only six hours, which is really impressive.

And I want you to imagine already what would happen if we had such an attack on a Dutch power company. They’re very nimble [irony, they are not]. I mean, try asking a question about your invoice.

So I’m going to talk about rough times. And I started my presentation with Donald Tusk telling us we are in a pre-war era, and I truly believe that. But it’s a difficult thing to believe. I also do not want to believe it. I also want to be like, no, this stuff is over there in Ukraine. It’s not here. But even if you think there’s only a 10% chance, then it’s quite good to already think about this kind of stuff.

Even if you are such a diehard pacifist that you are convinced that it’s never going to happen, you can just imagine that I’m talking about robustness in the face of climate change.

Because also then you want to have your stuff that works.

So there are three things I identified, that you really care about in a war, in a chaotic situation where there’s no power.

You want infrastructure that is robust, that does not by itself fall over.

If we look at modern communications tools, like, for example, Microsoft 365, that falls over like one or two days a year without being attacked. It just by itself already falls over. That’s not a robust infrastructure in that sense.

Limited and known dependencies.

Does your stuff need computers working 5,000 kilometers away? Does your stuff need people working on your product 5,000 kilometers away that you might no longer be able to reach?

So, for example, if you have a telecommunications company and it’s full of telecommunications equipment and it’s being maintained from 5,000 kilometers away, if something goes wrong, you better hope that the connection to the people 5,000 kilometers away is still working, because otherwise they cannot help you.

The third one, when things go wrong, you must be able to improvise and fix things. Truly own and understand technology.

For example, you might not have the exact right cable for stuff, and have to put in an unofficial one.

You might have to fix the firmware yourself. You must really know what your infrastructure looks like.

Let’s take a look at these three aspects of modern communications methods. And we’re going to start with one of my very favorite machines, and I hope you will love this machine as much as I do.

This is the sound-powered phone. So a sound-powered phone is literally what it is. It’s a piece of metal. It probably has, like, five components in there. And out comes a wire. Even the wire is actually in some kind of steel tube. And this thing allows you to make phone calls without electricity.

So if your ship is on fire, and you need to call to the deck and say, “Hey, the ship is on fire,” this thing will actually work, unlike your voice-over-IP setup, which, after the first strike on your ship, and there’s been a power dip, and all the servers are rebooting, this thing will always work.

If you try to break it, you could probably strike it with a hammer. It will still work. It’s very difficult to disable this machine. Attempts have been made to disable it, because it’s so ridiculously simple that people think we must make progress, and we must have digital phones. And, well, this machine is still going strong. And people have tried to replace it, but in war-fighting conditions, this is the kind of machine that you need. This one can make calls to ten different stations, by the way. It’s even quite advanced. And they can make phone calls over cables that are 50 kilometers long. So it’s a very impressive machine.

And now we’re going to head to some less impressive things.

This was the Dutch Emergency Communication Network (Mini-noodnet). There is not much known about this Emergency Communication Network, although Paul might know a few things. [Paul confirms that he does] Because a lot of this stuff is sort of semi-classified, and they’re not really telling anyone about it.

But this was a copper wire network through 20 bunkers in the Netherlands, which was independent completely from the regular telephone network. It was a very simple telephone network, but it was supposed to survive war and disasters. And it had these 20 bunkers. It had guys like this guy running it. And it was fully redundant. You can see that because the top rack has B on it, and the other one has A on it. It was actually fully redundant. It was really nice stuff.

And of course, we shut it down.

Because it’s old stuff, and we need to have modern stuff. And it’s very sad. Because it has now been replaced by this:

They tried to sort of renew this emergency telephone network, but no one could do it anymore. And then they said, “Look, we’re just going to ask KPN.” And we have DSL modems, and we use the KPN VPN service. And this (the Noodcommunicatievoorziening) is now supposed to survive major incidents.

And of course, it will not.

Because every call that you make through this emergency network passes through all of KPN, like 20 different routers. And if something breaks, then this is likely the first thing that will break.

During a power outage a few years ago, there was an attempt to use the system, and it turned out that didn’t work. Because the power was out. Yeah, it’s embarrassing, but that’s what happened.

So we’ve made the trip from this wonderful thing to this pretty impressive thing to this thing. And then we have Microsoft Teams. Which is a very…

I know there are Microsoft people in the room, and I love them. When it works, it’s great. I mean, it exhausts the battery of my laptop in 20 minutes, but it’s very impressive.

And you have to realize that it works like almost always. Maybe not always audio and stuff, but quite often it will work.

So we’ve made this trip from here (sound powered phone) to here (Teams). And that’s not good. And I want to show you, (big WhatsApp logo). This is the actual Dutch government emergency network.

Which is interesting in itself, because it’s actually sort of really good at these short text-based messages. So if you want to have a modern emergency network, it could look a lot like WhatsApp. In terms of concept. Except that we should not have chosen the actual WhatsApp to do this stuff.

Because if the cable to the US is down, I can guarantee you WhatsApp is also down. So this is an emergency network that is itself not super redundant. But it’s very popular in times of disaster.

We know this because after a disaster, people do an investigation to figure out how did the communications go. And you have all these screenshots of these WhatsApp groups. So I’m not knocking it because it actually works.

Unlike this thing (the modern Voip NCV). It’s not that expensive though. They just renewed it. It’s like six million euros a year. It’s not bad.

So how bad is losing communications? The Dutch road management people (Rijkswaterstaat) have a very good Mastodon account and also a Twitter account, I assume.

Where they will almost every day tell you, look, there’s a bridge, and it won’t close. And then they say, and I find this fascinating, they say, yeah, we called the engineer. So it says here, de monteur. We called de monteur.

It is like they have one of these guys who sits there with a van, and they’re waiting for a call,

I assume they have multiple ones.

But still, you could disrupt all of the Netherlands if you just put the bridges open. So if you have any kind of war kind of situation, you’re trying to mobilize, you’re trying to get the tanks from A to B, apparently you can just shut down the bridge.

And it happens a lot. And then you need to reach the engineer. But you have to use a phone to do that. Because I assume that this engineer sits there waiting until the phone rings. And let’s say the phone does not ring, because the phone network is down, then your bridge stays open.

But also you have to find the phone number of the engineer, of course, and that might well be hiding out in an Excel sheet in your cloud environment. So that means that the effective chain to get this bridge fixed, the bridge fixed in 2024, likely includes a completely working cloud environment and a phone environment, and then hoping that the guy with the van manages to get there, and that he does not have an electric van, which also needs a cloud to drive.

The picture on the left is, of course, well known. It’s used to illustrate that all the world of digital infrastructure often depends on just one person, which is bad enough.

But actually my thesis is this entire stack is way too high.

So if you want to run a modern society, we need all the power to be on everywhere. We need the cables to the US to be working. We need the cloud to be working. We need the phone to be working.

That’s a far cry from this lovely machine (the sound powered phone), which always works.

So I’m a bit worried that if we have panic, if we have flooding or an invasion or an attack or whatever.

I think that our infrastructure will not hold up.

I also want to mention this one. This is the Botlek Bridge. This is a modern bridge. And this bridge has failed 250 times. And in its initial years, it would fail like 75 times a year.

And when this fails, then the consequences are huge because it’s the one way that truck traffic can get from A to B. And it has failed in total hundreds of times. And for years, no one could figure out why.

So it would just block. It would no longer go up and down. And a whole task force, they took one of the engineers and they put them in a van over there. And they made them live there. They had live-in engineers here to just work on this thing if it broke. And through that work, they managed to sort of halve the downtime of this bridge.

It has its own website, this bridge, to keep track of the outages. And it has its own SMS service where it will send you text messages if it is broken (“Sms ‘BBRUG AAN’ naar 3669”, not kidding).

Because it was broken that much. Then after many years, they found out how that happened. And the story was, there is a system in there that manages the state, the sensors, and that server had a rotten ethernet cable or port.

And during that two-year period, everyone thought, it cannot be the computer. No one came and said, shall we just replace all the cables and ethernet ports for once and see what happens? We lacked the expertise.

And this is the third component I mentioned in the things that you really care about. Do you have sufficient ownership and knowledge of your own infrastructure that you can repair it?

And here, that apparently took more than three years. Maybe they just solved it by accident because someone needed that cable for their other computer.

I don’t know. But it’s super embarrassing. This is a sign that you do not have control over your own infrastructure.

That you have a major bridge and for three years long, you do not manage to find out what is wrong with it. And I worry about that.

Now it’s time for a little bit of good news. This is another big infrastructure project in the Netherlands. It’s the Maeslantkering.

And it protects us against high water. It’s a marvelous thing. It’s very near my house. Sometimes I just go there to look at it because I appreciate it so much. This machine is, again, this is the sound-powered phone infrastructure.

So you see here these two red engines that are used to push the thing close. That’s literally all they do. They only push it close. And when I visited, they said that actually, even if these engines didn’t work, they had another way of pushing it close. Because you actually need to close it when the water is really high.

And it doesn’t even need to close completely. It’s a completely passive thing. It has no sensors. So this shows that it could also be done. You can make simple infrastructure, and this is actually one of the pieces that works. They tried to mess it up by giving people some kind of weird, newly-Dutch-invented computer in here, which turned out to be bullshit. But that only takes the decision if it should close or not.

It’s a very lovely machine. So I would love to see more of this. I’d love to see more of this and less of this (Botlek bridge). Even though the pictures are marvelous.

So where are we actually with the cybersecurity? How are things going? Could we stand up to the Russian hackers? Not really.

Four years ago, we had this big discussion about 5G and if we should use Chinese infrastructure for our 5G telephony.

And everyone talking about that, politicians, thought that was a big choice that had to be made then.

And the reality was, when this decision was being taken, the Chinese were literally running all our telecommunications equipment already. But that is such an unhappy situation that people were like, “La, la, la, la, la.”

They were pretending that up to then, we were in control of our telecommunications infrastructure and we were now deciding to maybe use Chinese equipment. And that maybe that Chinese equipment could backdoor us.

But the reality was (and still partially is), they were actually running our infrastructure. If they wanted to harm us, the only thing they had to do was to stop showing up for work.

And this is still a very inconvenient truth. So I wrote this like four years ago, and it got read at the European Commission. Everyone read it. And people asked me, even very senior telco people, they said, “No, it’s not true.” And so I asked them, “So where are your maintenance people then?” So you can go to, for example, kpn.com and their job vacancies. And you will see that they never list a job vacancy that has anything to do with 5G. Because they are not running it.

And if we realized earlier that in a previous century, we had 20 bunkers with our own independent telecommunications infrastructure, because we realized that telecommunications was like really important. And now we have said, “No, it’s actually fine.” It’s being run straight from Beijing. That’s a bit of a change.

So things are not good. People want to fix this, and they are making moves to fix the situation, but we aren’t there yet.

Google, Microsoft, AWS

So these are our new overlords. This is the cloud. This is the big cloud. This is apparently, according to Dutch government and semi-government agencies, these are the only people still able to do IT.

We had a recent situtation in the Netherlands where the maintainers of .nl, and I know you’re here, decided that no one in Europe could run the IT infrastructure the way they wanted it anymore, and that they had to move it very far away.

At this point, I want to clarify, some very fine people are working here (in the cloud) I’m not saying here that these are all terrible people. I AM saying there are many thousands of kilometers away, and may not be there for us in a very bad situation.

But apparently this is the future of all our IT. And I’ve had many talks in the past few weeks on this subject, and everyone in industry is convinced that you can no longer do anything without these three companies.

And that leads to this depressing world map, where we are in the middle, and we sort of get our clouds from the left, and the people maintaining that come from the right.

And we make cheese, I think. Really good cheese. And art. And handbags. Actually, one of the biggest Dutch companies, or European companies, is a handbag company. Very excellent. Louis Vuitton. It’s apparently a Dutch company. I didn’t know that either, but for tax reasons. We’re very good at tax evasion here, by the way.

And interestingly, it’s good to look at this exciting arrow here, because we see a lot of telecommunications companies are now moving to Ericsson and Nokia equipment, which is great.

But the maintenance on your Ericsson equipment is not done by a guy called Sven.

The maintenance is actually coming from the fine people from far away. These are actually maintaining our infrastructure.

The problem is they’re very far away. The other problem is that both China, where a lot of the infrastructure actually still comes from, and India, are very closely aligned to Russia.

So we have effectively said, we’ve outsourced all our telecommunications stuff, so this is where the servers are being operated from, and these are the people that are actually maintaining the servers. And all of these places are geopolitically worrying right now, because we don’t know who wins the elections. It could be a weird guy.

And both India and China are like, “Oh, we love Russia.” How much fun would it be if our telcos were being attacked by Russian hackers, and we hope that Infosys is going to come to our rescue?

They might be busy. They could well have other important things to do.

In any other case, we are not going to save our own telecommunications companies, because we are not running them ourselves.

Oh, again, to cheer you up a little bit. This is a map of Europe, and this is within this small area. This is where all the high-tech chip-making equipment in the whole world gets made. It is not that we are completely helpless. I just said we were very good with cheese. Actually, we’re also very good with high-end optics and making chip making equipment and stuff. So it’s not that we’re completely helpless. It’s just that we’ve chosen to focus on handbags and extreme UV optics, and not running our own vital infrastructure.

So what’s the situation? Joost Schellevis, he’s a Dutch journalist, and he recently decided on a weekend to just scan the Dutch Internet to see if he could find anything broken with it. And within a weekend of work, he found 10,000 places that were just open for hackers. And this turned into a news item on the Dutch national news, and people said, “Yeah, yeah, yeah, that’s how it is.” That’s not the sort of war-like situation, that if a random journalist – and Joost is very good – but if a random journalist can just sit there in a weekend and find 10,000 places he can hack, things are not good.

I know the NCSC and other places are working on it and improving it, and they can now scan for such weaknesses. But until quite recently, journalists could scan for these things, and the Dutch government could not, because of legal reasons.

So it’s not good. The other thing I want to focus – and that’s really worrying – if we want to improve our security, it would be nice if we could tell companies, “You just need to install the right equipment. Just get good equipment, and you will be secure.” And that’s not the world we’re living in right now.

And all these places are not secure right now. So if you tell people, “Get a good firewall,” I currently have no advice for you, because all the “good ones” are actually not good. Most big security vendors right now are delivering terribly insecure products, with hundreds of issues per year.

You could not really recommend this based on just the statistics. Yet we are still doing it, because that’s the stuff that we used to buy. Again, this is a peacetime choice. In peacetime, you say, “Hey, I buy this stuff because it’s certified, because we bought it last year, and it was fine then, too.” Well, actually, it was not fine then, too, but we just – and we just keep on buying shitty stuff.

And we get away with this for now. But Ukraine does not get away with this,

And just for your calibration, we are sort of – we are no longer really impressed by it, but if you look at the weekly or monthly security updates that come to us from the big security vendors, they just go out, “Yeah, we have 441 new security problems for you this month. “And there’s Oracle, and then there’s Microsoft. “Yeah, we have 150.” And this repeats sort of every month. And I’m not going to pick on Microsoft or Oracle specifically, but it is – we’ve sort of assumed that it’s okay if you just say, “Yeah, we have 1,000 new security vulnerabilities to deal with every month from our different vendors.” We cannot have this and assume that things will be good. Yet that is what we do.

And I love this one. So you might think that, look, the hackers have become really good, really advanced. That’s why we keep finding all these security issues. And it turns out that’s not the case.

The security issues that are being found are still extremely basic. So this is, for example, help desk software that people use so that the help desk can take over your computer and stuff. And it turns out that if you connected to this appliance and you added one additional slash at the end of the URL, it would welcome you as a new administrator, allowing you to reset the password.

And this is not even – I mean, this is par for the course, because, for example, here we have GitLab, which people use to securely store their source code because they don’t want to put it on the public Internet, so they put it on their own Internet. And it has a “forgot your password” link. And it turns out that if you provide it with two email addresses and you click on “forget your password,” it will send a reset link to the second email address.

But it checked only the first email address to see if you were really the administrator. And this was in GitLab for like six months.

Many of the recent security incidents are of this level. There are, of course, very advanced attacks as well, but quite a lot of this stuff is childishly simple things.

Ivanti, if you work for the Dutch government, you will very frequently see this screen when you log in. The U.S. government has disallowed the use of this software. They have said, “You can no longer use this software.” And the Dutch government says, “Well, we put another firewall in front of it, and it’s good now.”

You can see that above in the circle. This is the elite hacking technique. Dot, dot, slash. And it still works, 2024.

So the situation is not good.

So let’s move to the cloud and fix all these things.

Again, I want to apologize to the Microsoft people because I should have diversified my hate a little bit.

Microsoft said, “Yeah, it seems that we’ve been sort of compromised, but we’re on top of it.”

And then after a while, they said, “Well, yeah, actually…”

The one fun thing, if you really want to know how it is with the security of a company, you should go to their stock exchange information because there you have to admit all your problems. And if you do not admit your problems there, the board of directors goes to jail, which makes them remarkably honest. It’s very good. If you read this from most vendors, you just cry because it’s like, “Yeah, we know. Basically everything we do is broken,” it says there. Here at the Microsoft one, Microsoft says, “Yeah, turns out when we sort of looked again, we were sort of still hacked.”

Oh, okay.

And then came the Cyber Safety Review Board in the US, which has awesome powers to investigate cyber incidents, and you really must read this report.

Microsoft is actually a member of this board, which is what makes it interesting that they were still doing a very good investigation. And they said, “Yeah, it’s actually sort of… We’re full of Chinese hackers, and we’re working on it. Work in progress.”

So if you just say, “Let’s just move to the cloud,” your life is also not suddenly secure.

That’s what I’m saying.

And meanwhile, we have decided in Europe to move everything to these clouds. The Dutch government has just managed to come up with a statement that they said that there are a few things that they will not move to the cloud. And these are the classified things and the basic government registrations.

So that’s the kind of thing that if you add something to the basic registration, you can create people.

And they said, “That’s not going to the cloud.” But basically, everything else is on the table. And we have no choice with that really anymore, because what happens, if you used to run your own applications, if you used to run your own IT infrastructure, and then you say, “We’re going to move everything to the cloud,” what happens to the people that were running your IT infrastructure? They leave. You often don’t even have to fire them, because their work gets so boring that they leave by themselves.

And that means that you end up with organizations that have started moving all the things to the cloud.

And now, if you don’t pay very close attention, you will end up with no one left that really knows what’s going on. And that means that you have to actively say:

“Okay, we know that we’re going to outsource almost everything, but we’re going to retain this limited number of staff, and we’re going to treat them really well, so that we at least, in theory, still know what is going on.”

This is not happening. So the good technical people are leaving everywhere. They actually often start working for one of these clouds, at which points they’re out of reach, because you never hear from Amazon how they do things.

This is a something we are messing up, And this is making us incredibly vulnerable, because we now have these important places that have no one left that really knows what the computer is doing.

Belle, in her opening, she mentioned, “How could you be a manager of a subject that you don’t know anything about?” And I think that it’s very good that you mentioned that, because in many other places, this is apparently not a problem.

So you could be the director of whatever cloud strategy, and you’re like, “Hey, I studied law.” And of course, it’s good that you study law, but it’s good also to realize it might be nice if you have a few people on the board that actually know what a computer does.

And this is one of the main reasons why this is happening. Our decision-making in Europe, but especially in The Netherlands, is incredibly non-technical.

So you can have a whole board full of people that studied history and art and French, and they sit there making our cloud decisions. And they simply don’t know.

And if there had been more nerds in that room, some of these things would not have happened. And that is also a call to maybe us nerds, although you don’t really look that nerdy, but do join those meetings.

Because quite often, we as technical people, we’re like, “Ah, these meetings are an interruption of my work, and I’m not joining that meeting.” And while you were not there, the company decided to outsource everything to India.

And again, there’s nothing against India, but it’s very far away.

This stuff cannot go on like this. This is a trend, a trend where we know ever less about what we are doing, where we are ever more reliant on people very far away.

The trend has already gone too far, but it’s showing no sign of stopping. It is only getting worse.

And this is my worst nightmare.

Ukraine was already at war for two years and battle-hardened. So anything that was simple to break was already broken by the Russians. Then after two years, the Russians managed to break Kyivstar, one of the biggest telecommunications companies of Ukraine, This was a very destructive attack. But the Ukrainians (in and outside Kyivstar) are good enough that in two days they were back up and running, because these people were prepared for chaos.

They knew how to restore their systems from scratch. If we get an attack like this on VodafoneZiggo or on Odido, and they don’t get external help, they will be down for half a year, because they don’t know anything about their own systems.

And I’m super worried about that, because we are sitting ducks. And we’re fine with that.

So just a reminder, when times are bad, you are much more on your own, and no one has time for you.

If something goes wrong, remember the corona crisis when we couldn’t make these personal protective equipment, these face masks.

We couldn’t make them. And we had to beg people in China if they please had time to make a few for us. Can you imagine in a war situation that we have to beg India to please, or in a different situation where we have to beg the Donald Trump administration, if they would please, please fix our cloud issues here?

It’s a worrying thought, being that dependent. And we’re not good on any of these fronts right now.

So we’re rounding off. Is there a way back? Can we fix it?

And I made a little attempt myself.

I needed to share images with people, and I did not want to use the cloud, so I wanted to have an image sharing site. And I found out that the modern image sharing site, like Imgur, is five million lines of code and complexity.

That means it’s exceptionally vulnerable, because those five million lines will have a lot of vulnerabilities.

But then I decided, I wrote my own solution, a thing of 1,600 lines of code, which is, yeah, it’s like thousands of times less than the competition.

And it works. It’s very popular. The IEEE picked it up. They even printed it in their paper magazine. I got 100 emails from people saying that it’s so nice that someone wrote a small piece of software that is robust, does not have dependencies, you know how it works.

But the depressing thing is, some of the security people in the field, they thought it was a lovely challenge to audit my 1,600 lines of code. And they were very welcome to do that, of course. And they found three major vulnerabilities in there.

Even though I know what I’m doing. I’m sort of supposed to be good at this stuff. And apparently, I was good at this stuff because I invited them to check it. And they found three major issues. And it makes me happy that you can still make this small, robust code. But it was depressing for me to see that even in 1,600 lines, you can hide three serious security vulnerabilities.

What do you think about 5 million lines? That’s basically insecure forever. So this was a little attempt to fight my way back. And at least many people agreed with me. That’s the most positive thing I can say about that.

But in summary, the systems that support our daily lives are way too complex and fragile. They fail by themselves.

So when a big telco has an outage, it is now always a question, is this a cyber thing or is it just an incompetence thing? It could both be true.

Maintenance of our technology is moving further and further away from us.

So if you look at the vacancies, the job vacancies, telecommunications companies, they’re not hiring anything, anyone that does anything with radio networks.

Our own skills are wilting. We are no longer able to control our own infrastructure. We need help from around the world to just keep the communications working.

And that is the current situation. But now imagine this in wartime, it’s all terrible.

Why did it happen? Non-technical people have made choices and have optimized for stuff being cheap. Or at least not hassle. And that’s only going to be fixed if we have more technical thinking going on.

But I have no solutions for making that happen.

And with that, I’m afraid I have no more slides to cheer you up, and I want to thank you very much for your attention.

“Menace contre l’État” : le Kenya s’attaque au scan de l’iris pratiqué par Worldcoin

Le projet lancé par Sam Altman, l’un des fondateurs d’OpenAI, veut promouvoir une nouvelle cryptomonnaie sécurisée par des données biométriques, à savoir le dessin de l’iris. Au Kenya, elle aurait scanné l’iris de 350 000 personnes en échange d’une somme d’argent en monnaie virtuelle.

Publié le 12 octobre 2023 à 16h32 Lecture 1 min.

Début août encore, le quotidien kényan The Standard publiait des photos des longues files d’attente qui se formaient à Nairobi. De nombreux habitants s’étaient rassemblés en différents endroits de la capitale pour faire scanner leur iris en échange d’une somme d’argent en cryptomonnaie. L’opération était l’œuvre de Worldcoin, fondé en 2019 par Sam Altman, cofondateur d’OpenAI. Son objectif est de lancer une nouvelle monnaie virtuelle associée à un système d’identification biométrique anonyme.

Mais ce projet semble peu apprécié des autorités locales. Après que le gouvernement a ordonné, le 2 août, la suspension provisoire des scans effectués par Worldcoin, des parlementaires kényans ont publié un rapport, fin septembre, réclamant l’arrêt définitif de ses activités, explique le journal britannique The Daily Telegraph. Ils invoquent une “menace contre l’État” et accusent Worldcoin d’“espionnage”.

Ces derniers émettent des doutes sur la manière dont ces données biométriques sont stockées et craignent de les voir échangées illégalement contre de l’argent. Le rapport parlementaire attire aussi l’attention sur le risque que représente l’émergence d’une monnaie décentralisée pour le système financier du pays.

“Nouvelle fièvre mondiale”

The Daily Telegraph précise que plusieurs millions de personnes à travers le monde ont déjà accepté de passer devant le scanner de Worldcoin.

“L’appareil, qui a la forme d’un ballon de football, scanne l’iris des individus pour confirmer leur identité et leur créer un compte.”

Au Kenya, les personnes ayant participé à l’opération ont reçu en récompense 25 jetons non fongibles de la nouvelle cryptomonnaie worldcoin, qu’ils pouvaient ensuite échanger en monnaie physique. La valeur de ces 25 jetons se situe aujourd’hui autour de 40 euros.

Worldcoin a été accusé de tirer profit des conditions de vie précaires de populations pauvres pour mettre en place son projet. “Confrontés qu’ils sont à un coût de la vie très élevé, à un chômage important et à des salaires qui ne bougent pas, les Kényans ont bondi sur cette occasion de gagner de l’argent sans rien faire, grâce au projet Worldcoin, qui a déclenché une nouvelle fièvre mondiale”, écrit The Standard.

Selon les informations du journal kényan Nation, qui cite les travaux du comité national chargé de la cybersécurité, plus de 350 000 Kényans auraient fait scanner leur iris.

23andMe says private user data is up for sale after being scraped

Records reportedly belong to millions of users who opted in to a relative-search feature.

Dan Goodin - 10/7/2023, 1:58 AM

Genetic profiling service 23andMe has commenced an investigation after private user data was scraped off its website

Friday’s confirmation comes five days after an unknown entity took to an online crime forum to advertise the sale of private information for millions of 23andMe users. The forum posts claimed that the stolen data included origin estimation, phenotype, health information, photos, and identification data. The posts claimed that 23andMe’s CEO was aware the company had been “hacked” two months earlier and never revealed the incident. In a statement emailed after this post went live, a 23andMe representative said that "nothing they have posted publicly indicates they actually have any 'health information.' These are all unsubstantiated claims at this point."

23andMe officials on Friday confirmed that private data for some of its users is, in fact, up for sale. The cause of the leak, the officials said, is data scraping, a technique that essentially reassembles large amounts of data by systematically extracting smaller amounts of information available to individual users of a service. Attackers gained unauthorized access to the individual 23andMe accounts, all of which had been configured by the user to opt in to a DNA relative feature that allows them to find potential relatives.

In a statement, the officials wrote:

We do not have any indication at this time that there has been a data security incident within our systems. Rather, the preliminary results of this investigation suggest that the login credentials used in these access attempts may have been gathered by a threat actor from data leaked during incidents involving other online platforms where users have recycled login credentials.

We believe that the threat actor may have then, in violation of our terms of service, accessed 23andme.com accounts without authorization and obtained information from those accounts. We are taking this issue seriously and will continue our investigation to confirm these preliminary results.

The DNA relative feature allows users who opt in to view basic profile information of others who also allow their profiles to be visible to DNA Relative participants, a spokesperson said. If the DNA of one opting-in user matches another, each gets to access the other’s ancestry information.

The crime forum post claimed the attackers obtained “13M pieces of data.” 23andMe officials have provided no details about the leaked information available online, the number of users it belongs to, or where it’s being made available. On Friday, The Record and Bleeping Computer reported that one leaked database contained information for 1 million users who were of Ashkenazi heritage, all of whom had opted in to the DNA relative service. The Record said a second database included 300,000 users who were of Chinese heritage who also had opted in.

The data included profile and account ID numbers, display names, gender, birth year, maternal and paternal haplogroups, ancestral heritage results, and data on whether or not each user has opted in to 23andme’s health data. Some of this data is included only when users choose to share it.

The Record also reported that the 23andMe website allows people who know the profile ID of a user to view that user’s profile photo, name, birth year, and location. The 23andMe representative said that "anyone with a 23andMe account who has opted into DNA Relatives can view basic profile information of any other account who has also explicitly opted into making their profile visible to other DNA Relative participants."

By now, it has become clear that storing genetic information online carries risks. In 2018, MyHeritage revealed that email addresses and hashed passwords for more than 92 million users had been stolen through a breach of its network that occurred seven months earlier.

That same year, law enforcement officials in California said they used a different genealogy site to track down a long-sought suspect in a string of grisly murders that occurred 40 years earlier. Investigators matched DNA left at a crime scene with the suspect’s DNA. The suspect had never submitted a sample to the service, which is known as GEDMatch. Instead, the match was made with a GEDMatch user related to the suspect.

While there are benefits to storing genetic information online so people can trace their heritage and track down relatives, there are clear privacy threats. Even if a user chooses a strong password and uses two-factor authentication as 23andMe has long urged, their data can still be swept up in scraping incidents like the one recently confirmed. The only sure way to protect it from online theft is to not store it there in the first place.

This post has been updated to include details 23andMe provided.

Supprimer les VPN, lever l’anonymat sur Internet… Pourquoi nos politiques proposent-ils des idées irréalistes ?

1 octobre 2023 à 08:21 par Stéphanie Bascou

Pourquoi des députés ont-ils proposé de supprimer les VPN ou de lever l’anonymat à l’occasion du projet de loi SREN ? Outre les méconnaissances technique et juridique déplorées par des spécialistes, ces deux idées seraient un savant mix de plusieurs éléments : l’absence d’auditions d’experts, une culture du compromis inexistante, la volonté de se faire un nom… le tout mettant en danger nos libertés fondamentales.

« C’était le concours Lépine de l’idée la plus clivante ». Ces dernières semaines, les propositions destinées à « mettre fin au Far West du numérique » se sont multipliées à l’occasion du projet de loi SREN (visant à sécuriser et à réguler l’espace numérique) en discussion à l’Assemblée nationale. Face à plusieurs cas tragiques de suicides d’adolescents victimes de cyberharcèlements, certains députés ont proposé, dans des amendements au projet de loi, des mesures chocs comme lever l’anonymat qui régnerait sur le Web ou supprimer les VPN… Ces mesures, irréalisables techniquement ou dangereuses du point de vue de nos droits fondamentaux, ont suscité la levée de boucliers de défenseurs des libertés fondamentales. Des informaticiens ont pris soin de déconstruire une à une ces propositions, déplorant des idées déconnectées des réalités, comme chez nos confrères de France 3.

« Quand on dit que ce qui est interdit dans le monde physique doit l’être dans le numérique. C’est trop simple, trop lapidaire et pas nuancé », a martelé en commission le député MoDem Philippe Latombe, mardi 19 septembre. Et si la majorité de ces idées a finalement été retirée des amendements du projet de loi, la question demeure : pourquoi les Parlementaires sont-ils allés vers le « trop simple » et techniquement irréalisable, voire peu souhaitable ?

Le monde de l’Internet libre contre le monde de l’Internet régulé

Premier constat : ce n’est pas la première fois que ce type de mesures — aux objectifs plus que louables, mais décorrélés de la façon dont fonctionne le Web — finissent sur la place publique. Oui, il faut tout faire pour mettre fin au cyberharcèlement, et oui, il faut protéger davantage les mineurs. Mais le problème est que « les députés (sont) toujours aussi nuls sur les lois numériques », regrette ce blogueur anonyme, le 19 septembre dernier.

Lors de la loi Avia (2020) ou la loi Hadopi (2009), des débats similaires ont eu lieu. « À chaque fois que vous avez une nouvelle loi sur Internet, il y a deux mondes qui s’affrontent : le monde d’un Internet libre et celui d’un Internet régulé », commente Eric Barbry, avocat associé du Cabinet Racine. « Entre les deux, il y a ceux qui essayent des voies pour réguler le tout dans des conditions satisfaisantes. Mais vous ne pouvez pas empêcher une frange de la classe politique de vouloir aller le plus loin possible et donc amener vers l’interdiction de l’anonymat » en ligne, ajoute l’avocat spécialisé en droit du numérique.

Le rapporteur du projet de loi et député Renaissance Paul Midy a ainsi défendu l’idée d’associer un compte d’un réseau social à une identité numérique, prônant « la fin de l’anonymat au profit du pseudonymat ». Le système fonctionnerait sur le même principe qu’une plaque d’immatriculation. Pourtant, l’anonymat n’existe pas sur le Web : les enquêteurs parviennent toujours à retrouver les auteurs de cyberharcèlement ou de menace de mort, même si cela prend souvent bien trop de temps.

Le député Renaissance Mounir Belhamiti a, de son côté, défendu l’idée de supprimer les VPN alors qu’ils sont très utilisés, par les policiers, les journalistes, les ingénieurs en cybersécurité ou les entreprises. Dans certains pays, les VPN sont un moyen de contourner la censure sur le Web. Face au tollé, ce parlementaire a finalement rétropédalé. D’autres mesures contenues dans le projet de loi, comme le bannissement des cyberharceleurs des réseaux sociaux, se heurtent aussi à la faisabilité technique, car cela reviendrait à obliger les plateformes à surveiller activement le fait que tel internaute ne se recrée pas de compte. Mais alors, pourquoi avoir émis de telles idées ?

« On se croit expert du numérique parce qu’on a un compte TikTok »

« La majorité des gens, nos politiciens sont dans ce cas-là, se croient plus ou moins experts de l’usage des outils numériques parce qu’ils s’en servent, ou parce qu’ils ont un compte TikTok », souligne Benjamin Bayart, militant pour les droits numériques et cofondateur de la Quadrature du Net. Mais « cela ne veut pas dire qu’ils ont compris comment ça marche, ni ses effets sur la société. Quand on change les outils avec lesquels les humains communiquent, on change la façon dont la société se fabrique », ajoute-t-il. « Sans parler du fait qu’en plus, techniquement, ils ne comprennent rien à la manière dont fonctionnent les ordinateurs. C’est ce qui fait qu’ils se disent “on va interdire les VPN” sans avoir la moindre idée de ce à quoi ça touche », poursuit-il.

« La plupart des experts de ces questions avec qui je me suis entretenu m’ont tous dit qu’ils n’avaient pas été auditionnés (par les députés, ndlr), ou qu’ils n’avaient jamais fait partie des débats. Donc je me demande en fait sur qui on s’est appuyé pour émettre ce genre de propositions », s’interroge Tariq Krim, ancien co-président du Conseil du numérique, entrepreneur et initiateur du mouvement Slow Web.

Les députés ne sont pas censés être spécialistes de tout. Mais lorsqu’ils doivent prendre des décisions, en particulier dans des domaines qu’ils ne maîtrisent pas, il est généralement attendu qu’ils s’appuient sur des experts du sujet en question. Mais même quand ces auditions ont lieu, le bât blesse. « Les parlementaires devraient s’adresser aux chercheurs qui travaillent sur ces sujets depuis des années. Ils devraient éviter tous ceux qui ont des choses à vendre, comme la première startup qui passe et qui dit “regardez j’ai la solution qui va super bien marcher dans le Web3, je crois qu’elle va permettre d’identifier tout le monde” », tacle Laurent Chemla, informaticien et cofondateur de Gandi. Même son de cloche pour l’avocat en droit du numérique Alexandre Archambault, qui décrit un législateur qui « n’auditionne que les proches ou les gens qui sont d’accord avec lui ».

« La France peut dicter des choses à Copains d’avant et Doctissimo, mais c’est tout »

Les juristes semblent aussi avoir manqué à l’appel, puisque les députés sont repartis d’une page blanche, alors qu’ils étaient censés, avec ce projet de loi, transposer un règlement européen, le DSA (« Digital Services Act » ou règlement européen sur les services numériques). Ils auraient dû se cantonner à des dispositions à la marge, comme nommer les autorités nationales de contrôle. Imposer davantage d’obligations aux réseaux sociaux ou aux plateformes du Web, « cela relève (désormais, depuis le DSA) soit exclusivement de la Commission européenne, soit du pays d’établissement (le pays dans lequel une entreprise a son siège européen, souvent l’Irlande pour les géants du numérique) – donc la France peut dicter des choses à Copains d’avant et Doctissimo, mais c’est tout », résume Maître Alexandre Archambault. Ces deux plateformes ont leur siège social en France.

Cela ne veut pas dire que le « DSA soit gravé dans le marbre. La Commission européenne dit simplement : si on veut améliorer la protection des mineurs ou mieux lutter contre les contenus haineux ou la désinformation, mettons-nous autour d’une table et voyons comment améliorer les choses – mais au niveau européen. Mais si chaque pays le fait en ordre dispersé, chacun dans son coin – comme le fait la France – c’est intenable », ajoute-t-il. C’est le sens « *d*es observations très sévères de la Commission européenne du 2 août dernier, qui visent directement le projet de loi SREN ». L’auteur de ces observations, Thierry Breton, le commissaire européen au Marché intérieur , dit en substance : « vous ne pouvez pas contraindre les entreprises du Web à davantage d’obligations que ce que le droit européen prévoit. Ce n’est ni fait ni à faire, ça participe à la fragmentation du droit de l’Union, on s’y opposera. Et là, vous avez nos parlementaires qui n’en tiennent pas compte et qui sont dans une fuite en avant », poursuit Maître Archambault, déplorant « une nouvelle loi de circonstances, dictée par l’émotion ».

« La seule façon qu’ils ont d’exister, c’est de faire le pitre »

Mais alors, pourquoi avoir prôné ces mesures de suppression des VPN ou d’anonymat ? Chez la majorité des experts que nous avons interrogée, la même explication est donnée. Les Parlementaires se livreraient à « un concours Lépine des mesures les plus clivantes » parce que ce serait, pour eux, une façon de se faire un nom, regrette Maître Archambault. « La seule manière qu’ils ont d’exister, c’est de faire le pitre. En France, le pouvoir législatif est extrêmement faible, on l’a vu avec la réforme des retraites. Et donc les députés font n’importe quoi pour exister », abonde Benjamin Bayart. « D’autant qu’à l’Assemblée nationale, on ne cherche pas à trouver des compromis, comme c’est le cas au Parlement européen, où pour qu’un texte passe, il faut qu’on trouve un consensus entre plusieurs groupes. Ce qui veut dire que toutes les solutions un peu trop aberrantes vont être écartées, ce qui n’est pas le cas en France », ajoute-t-il.

Résultat, le rapporteur de la loi, Paul Midy, était peu connu jusqu’alors. Mais avec sa sortie médiatique sur la levée d’anonymat, il est passé dans tous les médias. Et cela a eu une conséquence : l’idée d’avoir à s’identifier avec une pièce d’identité pour utiliser les réseaux sociaux, comme celle de supprimer les VPN, ont été largement partagées. Et elles pourraient finir par infuser dans la société, s’alarme Laurent Chemla.

Pour le militant des libertés numériques, « on essaie de pousser des idées qu’on sait irréalisables pour amener petit à petit dans l’esprit du public l’idée qu’il faut effectivement réguler la parole publique, réguler les réseaux sociaux, empêcher les gens d’avoir une liberté d’expression totale. À force de répéter, depuis plus de 27 ans, qu’Internet est une zone de non-droit, on arrive à faire passer dans l’esprit du public que oui, c’est vrai, il y a un problème avec Internet, que ce n’est pas normal que n’importe qui puisse dire n’importe quoi. Donc il y a cette volonté de faire évoluer l’opinion publique vers plus de contrôle de la parole des citoyens, et pour ça, on va proposer des choses qu’on sait irréalistes, qui petit à petit amènent à ce type de propositions », analyse-t-il.

Car avec la technologie, il y a désormais une possibilité de traçage qui n’existait pas jusqu’alors, reconnaît Pierre Beyssac, porte-parole du Parti Pirate et cofondateur de Gandi. « Lorsqu’on établit une connexion réseau ou mobile, il faut savoir où est l’utilisateur. Il est donc tentant pour la police, qui connaît ce fonctionnement technique, d’exploiter cette technologie pour lutter contre le crime et la délinquance ». Mais ce n’est pas parce que cette possibilité existe qu’il faut l’utiliser.

Car « si on y réfléchit, cela reviendrait à vouloir rendre impossible tout ce qui pourrait être illégal sur internet », abonde Laurent Chemla. Or, « dans la vie réelle, ça n’est pas impossible de commettre des délits, ou des crimes, c’est puni a posteriori, mais ça n’est pas rendu impossible a priori, sinon on aurait une caméra derrière la tête de tous les citoyens en permanence », souligne l’informaticien. « Sur Internet, on a l’impression que toutes ces mesures (contrôle d’identité des internautes, suppression des VPN) ont un objectif : rendre tous les crimes, tous les délits, toutes les dérives impossibles a priori, et ça, c’est délirant, on ne peut pas faire ça », estime-t-il.

« On se dit, puisqu’on peut surveiller tout le monde, on surveille tout le monde »

Et si beaucoup comprennent l’argumentaire des policiers qui disent : « “si on ne nous laisse pas surveiller la population et accéder à toutes les données numériques auxquelles on peut accéder en surveillant les gens, ça rend les enquêtes plus compliquées”, il faut rappeler que dans la vie réelle aussi, les enquêtes sont compliquées », insiste Laurent Chemla. « J’avais regardé les chiffres sur les vols de bagnoles, il y a 6 % de résolution et 94 % de vols qui restent impunis. Et pourtant, on ne cherche pas à empêcher complètement les vols de bagnole en mettant des caméras dans tous les garages. Mais évidemment, vu que c’est numérique, on se dit, puisqu’on peut surveiller tout le monde, on surveille tout le monde », souligne-t-il.

On serait passé de « tout le monde est innocent jusqu’à preuve du contraire » à « tout le monde est coupable jusqu’à preuve du contraire », regrette Benjamin Bayart, au sujet par exemple de l’accès des mineurs aux sites pornographiques. « Au “il ne faut pas que les mineurs accèdent à du porno”, la seule réponse qu’on a, c’est : “il va falloir que la totalité des adultes prouvent qu’ils sont adultes à chaque clic qu’ils font” », note-t-il.

« Par défaut, vous êtes suspect »

Comme nous vous l’expliquions en mars dernier, une autre proposition de loi (instaurant une majorité numérique et visant à lutter contre la haine en ligne), promulguée en juillet dernier, évoque, pour les sites pornographiques, la mise en place, pour s’assurer de la majorité d’un utilisateur, d’une solution technique – qui n’existe pas encore. Il s’agirait de passer par un tiers de confiance qui délivrerait un jeton et qui confirmerait la majorité de l’utilisateur au site en question, vraisemblablement à chaque connexion.

Problème : cela fait des mois que cette solution serait expérimentée, sans qu’aucun retour ne fuite. Seule nouvelle récente de cette « expérimentation » : Jean-Noël Barrot, le ministre délégué chargé du Numérique, a concédé à demi-mot que cela ne fonctionnait pas pour l’instant à 100 %. « Je ne dis pas que ça marche à plein tube », déclarait-il le 20 septembre dernier, chez nos confrères de Tech&Co. Pour beaucoup, la solution évoquée dans la loi et expérimentée connaîtra la même trajectoire que celle observée au Royaume-Uni et en Australie. Ces deux pays avaient aussi voulu mettre en place un contrôle d’âge similaire, avant d’y renoncer, faute d’avoir trouvé une solution qui fonctionne.

Or, avec un tel système, « il y a cette idée qui s’instille dans la tête des gens que c’est à vous de prouver que vous êtes innocent parce que par défaut, vous êtes suspect. Et il vous faut le prouver en permanence, pas le prouver une et une seule fois, mais le prouver tout le temps, tout le temps, tout le temps », répète Benjamin Bayart.

Alors comment faire pour éviter ce changement de paradigme et voir à nouveau ces propositions trop rapides et parfois dangereuses finir dans le débat public ? Comment préserver nos libertés, tout en luttant contre le cyberharcèlement et en protégeant mieux les mineurs ?

Pourquoi il y a 120 magistrats dédiés aux problématiques numériques à Berlin, alors qu’à Paris, ils ne sont que six ?

Côté Parlement, il faudrait redonner du pouvoir aux députés, avance Benjamin Bayart. Et que ces derniers fassent davantage de contrôle de l’action publique, comme d’autres pays le font, estime Maître Archambault. « Plutôt que de passer par des nouvelles lois, on fait des commissions d’enquête, en demandant par exemple pourquoi il y a 120 magistrats dédiés aux problématiques numériques à Berlin, alors qu’à Paris, ils ne sont que… six. Pourquoi il faut trois ans – soit une éternité – pour que les harceleurs de Mila ou de Hoschi soient condamnés, alors qu’elles ont la chance d’être entourées de bons conseils ? »

Que les politiques écoutent davantage les experts, que les médias couvrent plus les cas de condamnation de cyberharceleurs, et qu’il y ait bien plus de moyens alloués à la justice et à la prévention du cyberharcèlement font partie des pistes d’amélioration citées. Mettre en place de grandes campagnes nationales, comme on l’a fait avec l’alcool dans les années 80, où on est passé « de la répression à la prévention », est également mentionné.

Dans ce débat, il ne faut surtout pas perdre de vue nos droits fondamentaux

Il faudrait aussi pouvoir lever plus facilement l’anonymat en cas de harcèlement en ligne ou de propos injurieux ou diffamatoires, explique Maître Barbry. Il s’agit d’un point de procédure qui a son importance. « Pour la suppression des contenus, on a de plus en plus recours aux moyens proposés les plateformes en ligne, mais c’est très aléatoire et nettement insuffisant. Et avoir la possibilité d’identifier les personnes est devenu très compliqué. Or, le seul moyen de réparer un préjudice, c’est d’avoir quelqu’un en face de vous qui répond de ses actes », relève-t-il. La raison ? Un changement des règles qui impose désormais, quand on cherche à savoir qui est derrière un compte de cyberharceleur, de passer par une procédure accélérée au fond et non plus en référé. « La procédure est plus juste d’un point de vue procédural, mais bien plus longue et complexe pour les victimes », résume-t-il.

Pour Pierre Beyssac, il faut désormais accepter que « le monde d’aujourd’hui avec les réseaux n’est plus celui d’autrefois. Il faut essayer de trouver des solutions adaptées, en évitant de céder à la tentation d’utiliser la technologie pour réduire nos libertés », souligne l’informaticien à la tête d’Eriomem. « Notre vie de tous les jours étant de plus en plus appuyée sur ces réseaux, nos droits fondamentaux vont en dépendre de plus en plus », estime-t-il. « *I*l est donc essentiel de les défendre bec et ongle, et de *t*out faire pour ne pas se tirer une balle dans le pied, sur la société que l’on veut construire ».

Et maintenant, l’interdiction de certains VPN en France sur smartphone ?

Julien Lausson : L'amendement qui assume son inefficacité

Certains VPN pourraient être exclus de l’App Store et de Google Play en France. Un amendement souhaite conditionner leur visibilité sur les boutiques d’applications pour smartphone au bon respect de la loi.

Nouvel assaut contre les VPN à l’Assemblée nationale, alors que le projet de loi sur la sécurisation et la régulation de l’espace numérique (dite loi SREN) entre en débat en séance publique à partir du 4 octobre. En effet, des députés du groupe Horizon et apparentés (centre droit) soutiennent un nouvel amendement qui entend exclure certains VPN de l’App Store (iOS) et de Google Play (Android).

L’objectif affiché de l’amendement est d’empêcher les internautes d’accéder à des applications de VPN qui permettraient « l’accès à un réseau Internet non soumis à la législation et règlementation française ou européenne ». Mais, considérant que les fournisseurs de ces VPN pourraient ne pas jouer le jeu, les députés misent donc sur Google et Apple pour faire le tri.

En effet, la proposition de mise à jour législative entend confier aux deux sociétés américaines la mission de faire la police sur chaque store. Ainsi, Google Play et l’App Store doivent s’assurer de ne garder que les applications en conformité avec la législation. Sinon, la boutique fautive s’exposera à une amende pouvant atteindre 1 % de son chiffre d’affaires mondial.

Ce n’est pas la première fois que la question des VPN est abordée dans le cadre du projet de loi SREN. En commission, un autre amendement — retiré depuis — avait été déposé pour interdire l’utilisation d’un VPN pour interagir activement sur un réseau social. En clair, l’utiliser pour consulter le site communautaire, oui. S’en servir pour publier ou commenter, non.

L’amendement, qui figure parmi le bon millier déposé en séance publique, et qui suit les 952 examinés en commission, doit encore être débattu, à supposer qu’il ne soit pas déclaré irrecevable par les services de l’Assemblée nationale. Les VPN font par ailleurs l’objet de deux autres amendements, mais qui demandent la production de rapports (amendements 662 et 916).

Des faiblesses techniques déjà relevées

Signalé sur X par le journaliste Marc Rees, l’amendement fait face à des limites techniques notables. D’abord, il n’adresse en aucune façon la possibilité de se servir d’un VPN sur son ordinateur. Or, les solutions du marché fournissent tout le nécessaire pour se connecter à un réseau privé virtuel depuis un PC sous Windows, Mac ou Linux.

Autre enjeu : il est possible d’installer une application en zappant la boutique officielle. Cela demande un peu d’huile de coude, et tout le monde ne saura pas (ou n’osera pas) installer un APK sur son smartphone, mais cela reste une manipulation accessible. Sur un strict plan de sécurité informatique, ce n’est toutefois pas le plus conseillé, si l’on ignore ce que l’on fait.

On peut installer une application mobile sans passer par une boutique officielle

Toujours est-il que c’est cette méthode qui est utilisée pour récupérer des applis avant l’heure (Threads, ChatGPT, Mario Kart), par exemple pour ne pas être soumis à un quelconque blocage géographique… C’est aussi d’ailleurs comme cela que l’on peut installer une vieille version d’une application mobile, pour assurer une compatibilité ou retrouver une fonctionnalité.

Les limites techniques apparaissent d’ailleurs admises par les parlementaires eux-mêmes, qui se disent « conscients de l’impossibilité technique d’encadrer le recours à des VPN, notamment dans un but de contournement de la loi ». Il s’agirait moins de proposer un amendement applicable que de soulever le sujet « afin, à terme, de trouver une solution technique pertinente et efficace. »

Le profilage de nos données personnelles a de réelles conséquences sur nos vies

Pourquoi cette offre d’emploi n’est-elle jamais arrivée jusqu’à vous ? Pourquoi n’obtenez-vous pas ce crédit ? La faute à vos données personnelles. Au-delà du profilage publicitaire, elles sont désormais utilisées pour déterminer votre façon de travailler, votre profil psychologique ou si vous êtes trop dépensier. Il est temps de reprendre le contrôle, affirme cette journaliste dans “New Scientist”.

En 2021, un vendredi, je suis entrée dans un hôtel d’Exeter, en Angleterre, à 17 heures, 57 minutes et 35 secondes. Le lendemain matin, j’ai conduit pendant neuf minutes pour me rendre à l’hôpital voisin. J’y suis restée trois jours. Le trajet de retour, qui dure normalement une heure quinze, m’a pris une heure quarante. Pourquoi cette vitesse ralentie ? Parce que je transportais mon nouveau-né à l’arrière.

Il ne s’agit pas d’un extrait de mon journal intime. C’est ce que Google sait du jour de la naissance de ma fille, rien qu’avec mon historique de géolocalisation.

Et les données personnelles amassées par d’autres entreprises ce week-end-là leur permettent d’en savoir beaucoup plus encore. Netflix se souvient que j’ai regardé plusieurs comédies légères, dont Gilmore Girls et Comment se faire larguer en 10 leçons. Instagram a noté que j’avais liké un post sur l’accouchement déclenché et que je ne me suis pas reconnectée pendant une semaine.

Et alors ? Nous savons tous aujourd’hui que la moindre de nos activités en ligne est suivie et que les données collectées sont extrêmement détaillées et s’accumulent en continu. D’ailleurs, peut-être appréciez-vous que Netflix et Instagram connaissent si bien vos goûts et préférences.

“Il y a de quoi être horrifié”

Pourtant, les enquêtes et procès se multiplient et dressent un tableau où la collecte de nos données a une incidence nettement plus insidieuse que ce que la plupart d’entre nous imaginent. En me penchant sur le sujet, j’ai découvert que la collecte de mes données personnelles pouvait avoir des conséquences sur mes perspectives professionnelles, mes demandes de crédit et mon accès aux soins.

Autrement dit, cette pratique a potentiellement des répercussions sur ma vie dont je n’ai même pas idée. “C’est un immense problème, et chaque jour il y a de quoi être horrifié”, résume Reuben Binns de l’université d’Oxford.

On pourrait croire qu’avec la mise en place en 2018 du RGPD (Règlement général sur la protection des données) – la loi européenne qui permet aux internautes de mieux contrôler la collecte et l’utilisation de leurs données personnelles –, les questions de vie privée ont été essentiellement résolues. Après tout, il suffit de ne pas accepter les cookies pour ne pas être pisté, non ? Alors que je tiens ce raisonnement devant Pam Dixon, représentante du World Privacy Forum, elle part dans un grand éclat de rire incrédule. “Vous croyez vraiment ça ? me lance-t-elle.

95 % des sites en infraction

Des centaines d’amendes ont déjà été infligées pour manquement au RGPD, notamment contre Google, British Airways et Amazon. Mais pour les spécialistes, ce n’est que la partie émergée de l’iceberg. Selon une étude menée l’an dernier par David Basin, de l’école polytechnique de Zurich, près de 95 % des sites Internet pourraient être en situation d’infraction.

Alors que la loi devait aider les citoyens à mieux comprendre de quelles données ils autorisent la collecte, plusieurs études montrent que les politiques de confidentialité des marques sont devenues de plus en plus complexes, et non l’inverse. Et si vous vous croyez protégé par les bloqueurs de publicité et les VPN qui masquent votre adresse IP, détrompez-vous. Bon nombre de ces services vendent également vos données.

Nous commençons à peine à mesurer l’ampleur et la complexité du problème. Une poignée de grandes entreprises – Google, Meta, Amazon et Microsoft – pèsent lourd dans l’équation, reconnaît Isabel Wagner, chercheuse en cybersécurité à l’université de Bâle, en Suisse. Mais derrière eux se cache une myriade d’acteurs, des centaines, voire des millions d’entreprises, qui achètent, vendent, hébergent, pistent et analysent nos données personnelles.

Qu’est-ce que cela signifie pour une personne ordinaire comme moi ? Pour le savoir, je me suis rendue à Lausanne, à HestiaLabs, une start-up fondée par Paul-Olivier Dehaye, mathématicien et principal lanceur d’alerte dans le scandale de Cambridge Analytica. Ce cabinet de conseil politique avait illégalement utilisé des données d’utilisateurs Facebook pour faire pencher l’élection présidentielle de 2016 en faveur de Donald Trump. L’enquête de Paul-Olivier Dehaye sur Cambridge Analytica a révélé jusqu’où s’étendait le pouvoir d’influence des vendeurs et acheteurs de données. C’est pour changer cela qu’il a créé HestiaLabs.

Avant notre rendez-vous, je demande à plusieurs entreprises de me fournir les données personnelles qu’elles ont enregistrées sur moi – une démarche plus laborieuse qu’on ne serait en droit de le croire depuis le RGPD. Puis, je retrouve Charles Foucault-Dumas, responsable de projet à HestiaLabs, dans les bureaux de la société, un modeste espace de coworking en face de la gare de Lausanne. Installés face à son ordinateur, nous chargeons mes données sur son portail.

Mes données s’affichent devant moi sous la forme d’une carte indiquant tous les endroits où je suis allée, tous les “j’aime” que j’ai distribués et toutes les applications ayant contacté une régie publicitaire. Sur les lieux que je fréquente régulièrement, comme la crèche de ma fille, des centaines de points de données forment de grosses taches colorées. Mon adresse personnelle est marquée par un énorme point, impossible à manquer. C’est édifiant. Et un peu terrifiant.

Fan de rugby, de chats et du festival Burning Man ?

Le plus surprenant est de découvrir quelles applications contactent des services tiers en mon nom. La semaine dernière, le comportement le plus coupable – 29 entreprises contactées – est venu d’un navigateur Internet qui se vante précisément de respecter votre vie privée. Mais, finalement, qu’il s’agisse d’un simple outil de prise de notes ou d’une appli de courses en ligne, à peu près toutes les applications de mon téléphone sollicitent en permanence des entreprises pendant que je vis ma vie.

En règle générale, une entreprise qui vend un produit ou un service s’adresse à une agence de communication faisant le lien avec des plateformes de vente, d’achat et d’échanges d’espaces publicitaires, elles-mêmes connectées à des régies publicitaires chargées de placer les annonces sur un média. Chaque fois que vous allez sur un site Internet ou que vous survolez un message sur un réseau social, toute cette machinerie se met en route – et produit plus de 175 milliards d’euros par an.

Quelles données personnelles ces entreprises s’échangent-elles ? Pour le savoir, il faudrait que je pose la question à chacune d’entre elles. Et même dans le cas de celles que j’ai pu contacter avec l’aide d’HestiaLabs, la réponse n’est pas toujours évidente.

Prenons l’exemple d’Instagram. Le réseau social liste 333 “centres d’intérêt” associés à mon profil. Certains sont pour le moins surprenants : le rugby, le festival Burning Man, le marché immobilier et même “femme à chats”. Ami lecteur, sache que je n’ai jamais eu de chat.

D’autres sont plus justes, et sans surprise : un certain nombre d’entre eux sont liés à la parentalité, qu’il s’agisse de marques comme Huggies ou Peppa Pig, de discussions sur les lits de bébé ou le sevrage. J’en viens à me demander de quelle manière ces données n’ont pas seulement influencé mes achats mais aussi la vie de ma fille. Sa fascination pour les aventures d’une famille de petits cochons roses est-elle entièrement naturelle ou nous a-t-on “servi” ces vidéos en raison de certaines de mes données personnelles transmises par Instagram ? Tous ces messages sur le sevrage sont-ils apparus spontanément sur mes réseaux sociaux – influant sur la façon dont j’ai initié ma fille à la nourriture solide – ou ai-je été ciblée ? Impossible de reconstruire les liens de cause à effet. J’ignore complètement si mes “centres d’intérêt” m’ont désignée pour d’éventuels démarchages.

Les échanges de données personnelles forment un écheveau quasiment impossible à démêler. Il n’est pas rare que des données soient copiées, segmentées et ingurgitées par des algorithmes et des systèmes d’apprentissage automatique. Résultat, explique Pam Dixon, même avec une législation comme le RGPD, nous n’avons pas accès à la totalité de nos données personnelles. “Il y a un double niveau à ce problème. Il existe une première strate, constituée par les données que nous pouvons retrouver, poursuit-elle. Et une seconde que l’on ne voit pas, que nous n’avons légalement pas le droit de voir, personne.”

Au-delà du ciblage publicitaire

De récents rapports offrent toutefois quelques aperçus. En juin, une enquête du journal américain The Markup a révélé que ce type de données cachées permettait aux publicitaires de nous catégoriser en fonction de nos affinités politiques, de notre état de santé et de notre profil psychologique. Suis-je une “maman accro à son portable”, une “bonne vivante”, “une facilement découragée” ou une “woke” ? Je n’en sais rien. Ce que je sais, c’est que toutes ces étiquettes sont effectivement utilisées par les régies publicitaires en ligne.

Il est perturbant d’apprendre que je suis ainsi étiquetée sans savoir pourquoi ni comment. Une part de moi se demande si c’est vraiment grave. Car je comprends l’intérêt d’avoir des publicités qui tiennent compte de mes préférences, ou d’ouvrir mon application de navigation et de voir apparaître les musées et les restaurants où je suis déjà allée ou qui sont susceptibles de me plaire. Mais, croyez-moi, la désinvolture avec laquelle nous acceptons ce marché est l’un des moyens les plus sûrs de faire grincer des dents un spécialiste de la vie privée.

D’une part, commence Pam Dixon, les utilisations de ces données vont bien au-delà du ciblage publicitaire. Il suffit d’un détail aussi insignifiant que l’enseigne où vous faites vos courses (être client d’une chaîne discount est un indicateur de faible revenu) ou l’achat d’un produit de sport (signe que vous faites de l’exercice) pour modifier votre profil de candidat à l’entrée d’une université ou le montant de votre prime d’assurance médicale. “On ne parle pas que de publicité ici, insiste-t-elle. C’est la vie réelle.”

Aux États-Unis, de récentes lois ont levé le voile sur les pratiques de certaines entreprises. Adopté en 2018 dans le Vermont, le Data Broker Act a ainsi révélé que les courtiers en données enregistrés dans cet État – mais également présents dans d’autres – vendaient des données personnelles à de potentiels employeurs ou bailleurs, souvent via des intermédiaires. En juillet, le bureau américain de protection financière du consommateur a découvert que des données cachées servaient à “noter” les consommateurs, un peu de la même manière que les banques vous attribuent une note financière globale lorsque vous faites une demande de prêt. Reuben Binns explique :

“Il y a les choses que vous faites, les sites que vous visitez, les applications que vous utilisez, tous ces services peuvent alimenter des plateformes qui vérifient si vous êtes un bon candidat à la location et quelles conditions de crédit vous proposer.”

À HestiaLabs, je comprends que j’ai peut-être moi aussi été affectée par ces pratiques dans mon quotidien, pas seulement à travers le ciblage publicitaire mais également par la façon dont mes données sont traitées par les algorithmes. En effet, sur LinkedIn, un des présupposés liés à mon profil indique que je ne suis ni “une personnalité de leader” ni “un manager senior”. Alors que j’ai dirigé une équipe de 20 personnes à la BBC et qu’avant cela j’ai été rédactrice en chef de plusieurs sites web de la chaîne – autant d’informations que j’ai spécifiquement compilées sur mon profil LinkedIn. Cela a-t-il une incidence sur mon évolution professionnelle ? Lorsque je pose la question à un représentant de la plateforme, on m’assure que ces “présupposés” ne sont aucunement utilisés “pour sélectionner les offres d’emploi qui [me] sont proposées sur ce réseau”.

Une protection de la vie privée qui laisse à désirer

Pourtant, plusieurs actions en justice ont révélé que, sur Facebook, des données étaient utilisées afin de cacher aux femmes certaines offres d’emploi dans le secteur des technologies. En 2019, la maison mère du réseau, Meta, a supprimé cette possibilité pour les annonceurs. Sauf qu’il est très facile de trouver d’autres moyens d’exclure les femmes, soulignent les spécialistes, par exemple en ciblant les profils comportant des intérêts associés à des stéréotypes masculins. “Ces préjudices ne sont pas visibles sur le moment pour l’utilisateur. Ils sont souvent très abstraits et peuvent intervenir très tard dans le processus de filtrage”, explique Isabel Wagner.

Plus le volume de données collectées augmente, plus la liste des problèmes signalés dans les médias s’allonge. Des applications de suivi d’ovulation – ainsi que des SMS, des courriels et des recherches sur Internet – ont été utilisées pour lancer des poursuites contre des femmes s’étant fait avorter aux États-Unis depuis la suppression de l’[arrêt Roe vs Wade](https://www.courrierinternational.com/article/carte-le-nombre-d-avortements-augmente-aux-etats-unis-malgre-l-arret-de-la-cour-supreme#:~:text=La décision de la Cour,avortements pratiqués dans le pays.) l’an dernier.

Des prêtres ont vu leur homosexualité dévoilée après qu’ils ont utilisé l’application de rencontre Grindr. Un officier russe a été tué lors de son jogging matinal après avoir été suivi, présume-t-on, par l’intermédiaire des données publiques de son compte Strava. La protection des données vise à empêcher ce genre de problèmes. “Mais de toute évidence la mise en œuvre laisse fortement à désirer”, soupire Reuben Binns.

Le problème tient en partie au manque de transparence des entreprises. Nombre d’entre elles optent pour des systèmes “protégeant la vie privée” où les données d’une personne sont segmentées en plusieurs points de données qui sont disséminés dans différents serveurs ou localement chiffrés. Paradoxalement, cela complique surtout la tâche pour l’utilisateur qui souhaite accéder à ses propres données et comprendre comment elles sont utilisées.

Du point de vue de Paul-Olivier Dehaye, le fondateur d’HestiaLabs, il ne fait aucun doute que les entreprises peuvent et doivent nous rendre le pouvoir sur nos données. “Si vous allez sur un site maintenant, une multitude d’entités en seront informées dans la seconde et sauront qui vous êtes et sur quel site vous avez commandé une paire de baskets il y a deux semaines. Dès lors que l’objectif est de vous inonder de mauvaises pubs, les entreprises sont capables de résoudre tous les problèmes. Mais demandez-leur vos données, et elles ne savent plus rien faire. Mais il existe un moyen de mettre cette force du capitalisme à votre service plutôt qu’au leur.”

J’espère qu’il a raison. Alors que je marche dans les rues de Lausanne après avoir quitté les bureaux d’HestiaLabs, je vois un homme devant la vitrine d’un magasin de couteaux, son téléphone portable dépassant de sa poche, puis une femme tirée à quatre épingles, un sac Zara dans une main et son portable dans l’autre. Un peu plus loin, un homme parle avec animation dans son téléphone devant le commissariat de police.

Pour eux comme pour moi, tous ces instants sont aussi brefs qu’insignifiants. Mais pour les entreprises qui collectent nos données, ce sont autant d’occasions à saisir. Des opportunités monnayables. Et tous ces points de données ne disparaîtront peut-être jamais.

Reprendre le contrôle

Suivant les conseils de Paul-Olivier Dehaye et des autres spécialistes que j’ai interrogés, je décide en rentrant chez moi de faire le tri dans mon téléphone et de supprimer les applications dont je ne me sers pas. Je me débarrasse également de celles que j’utilise peu et qui contactent un peu trop d’entreprises ; je les utiliserai depuis mon ordinateur portable à la place. (J’utilise un service appelé “TC Slim” qui m’indique quelles entreprises sont en lien avec mes applications.) J’installe également un nouveau navigateur qui respecte réellement – semble-t-il – ma vie privée. Les applications et navigateurs open source et non commerciaux sont généralement de bonnes solutions, explique Isabel Wagner, car leurs développeurs ont moins d’intérêt à collecter vos données.

J’ai également commencé à éteindre mon téléphone lorsque je ne m’en sers pas. Car la plupart des téléphones continuent à transmettre vos données de géolocalisation même lorsque vous coupez la connexion wifi et les données mobiles ou activez le mode avion. Sur mon compte Google, j’ai décoché l’option de sauvegarde des lieux, même si pour le moment une sorte de nostalgie m’empêche de demander la suppression de tous mes historiques.

On peut également modifier notre façon de payer. Pam Dixon qui préconise d’avoir plusieurs cartes bancaires et de choisir “minutieusement” lesquelles utiliser sur Internet. Pour les achats susceptibles d’envoyer un signal “négatif”, dans un magasin discount par exemple, préférez les paiements en liquide. Elle recommande également d’éviter les sites et applications liés à la santé. “C’est un terrain miné en général”, résume-t-elle. Malgré toutes les mesures que vous prendrez, les entreprises trouveront toujours des moyens de contourner vos garde-fous. “C’est un jeu où on ne peut que perdre”, conclut Paul-Olivier Dehaye. Raison pour laquelle la solution ne relève pas des seuls individus. “Nous avons besoin d’un véritable changement sociétal”, confirme Reuben Binns.

Si suffisamment de gens parviennent individuellement à faire entendre leur voix, nous pourrons faire évoluer le système, espère Paul-Olivier Dehaye. La première étape consiste à faire une demande d’accès à vos données personnelles. “Faites comprendre aux entreprises que si elles font un pas de travers vous ne leur ferez plus confiance, résume-t-il. À l’ère des données, si vous perdez la confiance des gens, votre entreprise est condamnée.”

How Mastercard sells its ‘gold mine’ of transaction data

Mastercard knows where people shop, how much they spend, and on what days - and it sells that information online.

R.J. Cross - Director, Don't Sell My Data Campaign, U.S. PIRG Education Fund; Policy Analyst, Frontier Group

Today, many of the companies we interact with on a daily basis have found a new revenue stream: selling their customers’ data. There are huge markets for personal data, bought by companies ranging from advertisers and tech companies, to hedge funds and data brokers.

Credit card data in particular is extremely valuable. Knowing how much people spend, where and on what day says a lot about consumers’ financial situations, their personal lives and the decisions they might make in the future.

In the last decade, Mastercard has increasingly capitalized on the transaction data it has access to in the course of being a payment network. Mastercard sells cardholder transaction data through third party online data marketplaces and through its in-house Data & Services division, giving many entities access to data and insights about consumers at an immense scale.

Mastercard is far from the only company engaged in data sales, nor is it necessarily the worst actor. But in its position as a global payments technology company, Mastercard has access to enormous amounts of information derived from the financial lives of millions, and its monetization strategies tell a broader story of the data economy that’s gone too far.

Mastercard sells data on third party data marketplaces

Mastercard sells bundles of cardholder transaction data to third party companies on large online data marketplaces. Here, third parties can access and use information about people’s spending to target advertisements to individuals, build models that predict consumers’ behavior, or prospect for new high-spending customers.

For example, Mastercard’s listing on Amazon Web Services Data Exchange states that companies can access data like the amount and frequency of transactions, the location, and the date and time. Mastercard creates categories of consumers based on this transaction history, like identifying “high spenders” on fast fashion or “frequent buyers” of big ticket items online, and sells these groupings, called “audiences”, to other entities. These groups can be targeted at the micro-geographic level, and even be based on AI-driven scores Mastercard assigns to consumers predicting how likely they are to spend money in certain ways within the next 3 months.

The data Mastercard monetizes on these marketplaces is in aggregated and anonymized bundles. Aggregating and anonymizing consumer data helps cut down on some of the risks associated with data monetization, but it does not stop reaching people on an individual level based on data. High-tech tools connected to these third party data marketplaces allow companies to target and reach selected individuals based on traits like past spending patterns or geographic location.

Mastercard is a listed data provider on many of the major online data marketplaces. In addition to Amazon Web Services Data Exchange, Mastercard has listings on Adobe’s Audience Marketplace, Microsoft’s Xandr, LiveRamp, and Oracle’s BlueKai, among others. Selling data on even one of these makes consumer transaction behavior available to a significant number of entities.

Mastercard has established its own data sales division

In addition to data sales on third party marketplaces, Mastercard also has its own Data & Services division. Here, Mastercard advertises access to its databases of more than 125 billion purchase transactions through its more than 25 data services products. Some products give companies the chance to pay for cybersecurity and fraud detection tools. Others are focused on the monetization of consumer information for AI-driven consumer modeling and highly-targeted advertising.

For example, Intelligent Targeting enables companies to use “Mastercard 360° data insights” for identifying and building targeted advertising campaigns aimed at reaching “high-value” potential customers. Companies can target ads to selected consumers with profiles similar to Mastercard’s models – people it predicts are most likely to spend the most money possible.

Another data services product, Dynamic Yield, offers dashboard tools allowing companies to “capture person-level data” of website or app users, do A/B consumer testing, and “algorithmically predict customers’ next purchase with advanced deep learning and AI algorithms”. One of Dynamic Yield’s data products, Element, advertises that companies can “[l]everage Mastercard’s proprietary prediction models and aggregated consumer spend insights to deliver differentiating personalization that caters to each users’ unique habits and expectations like never before.” While the transaction data Mastercard offers may be aggregated, it’s clearly used to identify targets and reach them at the individual level.

Another example is SessionM, Mastercard’s customer data management platform product, allowing companies to combine their first-party data with data from other sources to create “360 degree” profiles of consumers that can be updated in real time based on purchases.

“That gold mine of data”: Mastercard has been building its data monetization capabilities for over a decade

In the last 15 years, Mastercard’s data monetization strategies have been a growing part of its revenue stream. In 2008, Mastercard’s then head of Global Technology and Operations said in an interview that a big question for Mastercard was how to “leverage that gold mine of data that occurs when you have 18.7 billion transactions that you’re processing.” By 2013 the company had established an in-house data monetization division – then called Information Services – and was approaching online advertising and media desks about opportunities to leverage its then reportedly 80 billion consumer purchases data. In 2018, Bloomberg reported that Mastercard and Google made a deal to provide credit card data for Google’s ad measurement business.

Recently, corporate acquisitions have helped drive Mastercard’s data revenue growth. In 2019, MasterCard acquired the AdTech platform SessionM, and in 2021 bought the AI company Dynamic Yield from McDonald’s. We briefly outline both platforms in the section above.

Selling data can harm consumers

Almost every company we interact with collects some amount of data on us. Often it’s more information than they really need – and it’s often used for secondary purposes that have nothing to do with delivering the service we’re expecting to get. This way of doing business unnecessarily increases the risks for regular people whose data has become a commodity, often without their knowledge.

Security and scams

When companies engage in data harvesting and sales to third parties, it increases the personal security risks for consumers. The more companies that hold a person’s data, the more likely it is that information will end up exposed in a breach or a hack. Once exposed, consumers are much more likely to become the victim of identity theft or financial fraud, and experience serious damage to their credit score.

Data sales also increase the odds scammers will gain access to personal data, allowing for the construction of targeted predatory schemes. Data brokers that often rely on other companies’ collection of consumer data have furnished scammers looking to find ideal victims with data, like identifying patients with dementia for targeting with fake lottery scams.

Annoying and invasive targeted advertising

Data sales often flow into the advertising industry, fueling the inundation of people’s screens with ads they didn’t ask to see that range from annoying to creepily invasive. In the 1970s, the average American saw between 500-1,600 ads a day; today, powered by data-driven online advertising, it’s now estimated at 5,000 ads daily, spanning across traditional ads on TV, radio and billboards, and targeted digital ads on websites, social media, podcasts and emails.

Advertising often encourages consumers to spend more money on purchases unlikely to shore up their financial health in the long-term. Americans currently owe more than $1 trillion in credit card debt – a record high. In today’s market with rising interest rates, endless data-driven appeals to spend more money play an increasingly unhelpful and potentially dangerous role in people’s lives.

While consumers have official government channels for opting out of junk calls and junk mail, there’s little consumers can do to protect their screens from unnecessary annoying, distracting and invasive ads they didn’t ask to see and didn’t give permission to have their data fuel.

Even aggregated and anonymized data can cause harm

Some tools companies use to protect privacy are not as secure as they sound, like aggregation and anonymization. A 2015 MIT study found this was the case with anonymized credit card data. Using an anonymized data set of more than 1 million people’s credit card transactions made over 3 months, MIT researchers could identify an individual 90% of the time using the transaction information of just 4 purchases. Data that’s provided in batches also has its limitations. For instance, providing data by micro-geography, like zip+4, can in some cases end up being so specific as to point to a specific address.

Additionally, just because data is aggregated and anonymized does not mean consumers aren’t being singled out for their purchasing habits. Using high-tech automated tools, anonymized and aggregated data can be used to reach specific consumers with tailored messages or help predict a given individual’s behavior.

Mastercard should commit to a limited use data policy

Companies have taken data harvesting and sales too far. The collection and sale of people’s data is almost entirely unregulated, and virtually every major company has begun monetizing customer data in ways people are not expecting.

Mastercard should commit to a policy of limited data use by implementing the principles of data minimization and purpose specification. This would mean collecting only the data necessary for providing the services cardholders are expecting to get – access to a safe and reliable credit card – and using the data only for that purpose.

PIRG has launched a coalition with Accountable Tech, American Civil Liberties Union, Center for Digital Democracy, Electronic Freedom Foundation, the Electronic Privacy Information Center, Oakland Privacy and Privacy Rights Clearinghouse asking Mastercard to commit to a limited data use policy.

Mastercard has served as people’s credit card long before it was able to use and sell transaction data in all of the ways that modern technology enables. Growing its profit margin is not a compelling reason for Mastercard to contribute to the massive marketplaces for data.

Passing new consumer data laws and having strong enforcement will be key to curtailing today’s invisible economy for people’s data. This is an urgent task. In the meantime, companies should voluntarily implement limited use data policies, and bring their business models back in line with consumer expectations.

The A.I. Surveillance Tool DHS Uses to Detect ‘Sentiment and Emotion’

Joseph Cox Joseph Cox Aug 24, 2023

Internal DHS and corporate documents detail the agency’s relationship with Fivecast, a company that promises to scan for “risk terms and phrases” online.

Customs and Border Protection (CBP), part of the Department of Homeland Security, has bought millions of dollars worth of software from a company that uses artificial intelligence to detect “sentiment and emotion” in online posts, according to a cache of documents obtained by 404 Media.

CBP told 404 Media it is using technology to analyze open source information related to inbound and outbound travelers who the agency believes may threaten public safety, national security, or lawful trade and travel. In this case, the specific company called Fivecast also offers “AI-enabled” object recognition in images and video, and detection of “risk terms and phrases” across multiple languages, according to one of the documents.

Marketing materials promote the software’s ability to provide targeted data collection from big social platforms like Facebook and Reddit, but also specifically names smaller communities like 4chan, 8kun, and Gab. To demonstrate its functionality, Fivecast promotional materials explain how the software was able to track social media posts and related Persons-of-Interest starting with just “basic bio details” from a New York Times Magazine article about members of the far-right paramilitary Boogaloo movement. 404 Media also obtained leaked audio of a Fivecast employee explaining how the tool could be used against trafficking networks or propaganda operations.

The news signals CBP’s continued use of artificial intelligence in its monitoring of travelers and targets, which can include U.S. citizens. In May, I revealed CBP’s use of another AI tool to screen travelers which could link peoples’ social media posts to their Social Security number and location data. This latest news shows that CBP has deployed multiple AI-powered systems, and provides insight into what exactly these tools claim to be capable of while raising questions about their accuracy and utility.

“CBP should not be secretly buying and deploying tools that rely on junk science to scrutinize people's social media posts, claim to analyze their emotions, and identify purported 'risks,'” Patrick Toomey, deputy director of the ACLU's National Security Project, told 404 Media in an email.

404 Media obtained the documents through Freedom of Information Act requests with CBP and other U.S. law enforcement agencies.

One document obtained by 404 Media marked “commercial in confidence” is an overview of Fivecast’s “ONYX” product. In it Fivecast says its product can be used to target individuals or groups, single posts, or events. As well as collecting from social media platforms big and small, Fivecast users can also upload their own “bulk” data, the document says. Fivecast says its tool has been built “in consultation” with Five Eyes law enforcement and intelligence agencies, those being agencies from the U.S., United Kingdom, Canada, Australia, and New Zealand. Specifically on building “person-of-interest” networks, the tool “is optimized for this exact requirement.”

Related to the emotion and sentiment detection, charts contained in the Fivecast document include emotions such as “anger,” “disgust,” “fear,” “joy,” “sadness,” and “surprise” over time. One chart shows peaks of anger and disgust throughout an early 2020 timeframe of a target, for example.

The document also includes a case study of how ONYX could be used against a specific network. In the example, Fivecast examined the Boogaloo movement, but Fivecast stresses that “our intent here is not to focus on a specific issue but to demonstrate how quickly Fivecast ONYX can discover, collect and analyze Risks from a single online starting point.”

That process starts with the user inputting Boogaloo phrases such as “civil war 2.” The user then selects a discovered social media account and deployed what Fivecast calls its “‘Full’ collection capability,” which “collects all available content on a social media platform for a given account.” From there, the tool also maps out the target’s network of connections, according to the document.

Lawson Ferguson, a tradecraft advisor at Fivecast, previously showed an audience at a summit how the tool could be used against trafficking networks or propaganda operations. “These are just examples of the kind of data that one can gather with an OSINT tool like ours,” he said. Jack Poulson, from transparency organization Tech Inquiry, shared audio of the talk with 404 Media.

Ferguson said users “can train the system to recognize certain concepts and types of images.” In one example, Ferguson said a coworker spent “a huge amount of time” training Fivecast's system to recognize the concept of the drug oxycontin. This included analyzing “pictures of pills; pictures of pills in hands.”

Fivecast did not respond to a request for comment.

CBP’s contracts for Fivecast software have stretched into the millions of dollars, according to public procurement records and internal CBP documents obtained by 404 Media. CBP spent nearly $350,000 in August 2019; more than $650,000 in September 2020; $260,000 in August 2021; close to $950,000 in September 2021; and finally almost $1.17 million in September 2022.

CBP told 404 Media in a statement that “The Department of Homeland Security is committed to protecting individuals’ privacy, civil rights, and civil liberties. DHS uses various forms of technology to execute its mission, including tools to support investigations related to threats to infrastructure, illegal trafficking on the dark web, cross-border transnational crime, and terrorism. DHS leverages this technology in ways that are consistent with its authorities and the law.”

In the context of why CBP needs to buy Fivecast’s software, the internal CBP documents point to several specific parts of the agency. They are the Office of Field Operations (OFO), the main bulk of CBP which enforces border security; the National Targeting Center (NTC) based out of Virginia which aims to catch travelers and cargo that the agency believes threaten the country’s security; the Counter Network Division (CND) which is part of the NTC; and finally the Publicly Available Information Group (PAIG), which focuses on data such as location information according to other documents I’ve obtained previously.

Yahoo News reported in 2021 that the CND has gathered information on a range of journalists. The Office of the Inspector General made a criminal referral for an official who worked with CND for their role in the monitoring, but they were not charged. A supervisor of that division previously told investigators that at CND “We are pushing the limits and so there is no norm, there is no guidelines, we are the ones making the guidelines.”

“The public knows far too little about CBP's Counter Network Division, but what we do know paints a disturbing picture of an agency with few rules and access to an ocean of sensitive personal data about Americans,” Toomey from ACLU added. “The potential for abuse is immense.”

Révoltes et réseaux sociaux : le retour du coupable idéal

Posted on 28 juillet 2023

Les révoltes qu’ont connues de nombreuses villes de France en réaction à la mort de Nahel ont entraîné une réponse sécuritaire et autoritaire de l’État. Ces évènements ont également réactivé une vieille antienne : tout cela serait dû au numérique et aux réseaux sociaux. On aimerait railler cette rhétorique ridicule si seulement elle n’avait pas pour origine une manœuvre politique de diversion et pour conséquence l’extension toujours plus dangereuse de la censure et du contrôle de l’information.

« C’est la faute aux réseaux sociaux »

Aux premiers jours des révoltes, Emmanuel Macron a donné le ton en annonçant, à la sortie d’une réunion de crise, que « les plateformes et les réseaux sociaux jouent un rôle considérable dans les mouvements des derniers jours ». Aucune mention des maux sociaux et structurels dans les quartiers populaires depuis plusieurs décennies, rien sur l’écœurement d’une population vis-à-vis des violences policières. Non, pour le président, c’est Snapchat, TikTok et les autres réseaux sociaux qui participeraient à « l’organisation de rassemblements violents » et à une « forme de mimétisme de la violence » qui conduirait alors à « une forme de sortie du réel ». Selon lui, certains jeunes « vivent dans la rue les jeux vidéo qui les ont intoxiqués ». Il est vrai que nous n’avions pas vu venir cette sortie d’un autre temps sur les jeux vidéos, tant elle a déjà largement été analysée et démentie par de nombreuses études.

Mais si le jeu vidéo a vite été laissé de côté, les critiques ont toutefois continué de se cristalliser autour des réseaux sociaux, à droite comme à gauche. Benoît Payan, maire de Marseille, a ainsi expliqué que les réseaux sociaux « sont hors contrôle et ils permettent à des bandes organisées qui font n’importe quoi d’être extrêmement mobiles, de se donner des rendez-vous ». Éric Dupond-Moretti, ministre de la Justice, s’est quant à lui taillé un rôle paternaliste et moralisateur, dépolitisant les évènements et essentialisant une jeunesse qui aurait l’outrecuidance d’utiliser des moyens de communication. Selon lui, « les jeunes » utilisent les réseaux sociaux et se « réfugient derrière leurs téléphone portable », se pensant « comme ça en toute liberté dans la possibilité d’écrire ce qu’ils veulent ». Car pour Dupond-Moretti, le jeune doit « rester chez lui » et les parents doivent « tenir leurs gosses ». Et si le jeune veut quand même « balancer des trucs sur Snapchat », alors attention, « on va péter les comptes ».

En substance, il menace d’identifier les personnes qui auraient publié des vidéos de violences pour les retrouver, quand bien même ces contenus seraient totalement licites. À l’image d’un surveillant courant avec un bâton après des enfants, dépassé par la situation, le ministre de la Justice se raccroche à la seule branche qui lui est accessible pour affirmer son autorité. Les récits de comparution immédiate ont d’ailleurs démontré par la suite la violence de la réponse judiciaire, volontairement ferme et expéditive, confirmant la détermination à prouver son ascendant sur la situation.

Le clou du spectacle a été prononcé par Emmanuel Macron lui-même le 4 juillet, devant plus de 200 maires, lorsqu’il a évoqué l’idée de « réguler ou couper » les réseaux sociaux puisque « quand ça devient un instrument de rassemblement ou pour essayer de tuer, c’est un vrai sujet ». Même avis chez Fabien Roussel « quand c’est chaud dans le pays », car celui-ci préfère « l’état d’urgence sur les réseaux sociaux que sur les populations ». Pour rappel, couper Internet à sa population est plutôt apprécié par les régimes autoritaires. En 2023, l’ONG Access Now a recensé que ce type de mesure avait été utilisé en Inde, Birmanie, Iran, Pakistan, Éthiopie, Russie, Jordanie, Brésil, Chine, Cuba, Irak, Guinée et Mauritanie.

Quelques semaines plus tard, le président annonçait le projet : restaurer un « ordre public numérique », ranimant la vieille idée sarkoziste qu’Internet serait une « zone de non-droit ».

La censure au service de l’ordre

L’ensemble de ces réactions révèle plusieurs des objectifs du gouvernement. D’abord, il attaque les moyens de communication, c’est-à-dire les vecteurs, les diffuseurs, les tremplins d’une expression populaire. Ce réflexe autoritaire est fondé sur une erreur d’appréciation majeure de la situation. Comme avec Internet à sa création, l’État semble agacé que des moyens techniques en perpétuelle évolution et lui échappant permettent aux citoyens de s’exprimer et s’organiser.

Depuis sa création, La Quadrature l’observe et le documente : le réflexe du blocage, de la censure, de la surveillance traduit en creux une incapacité à comprendre les mécanismes technologiques de communication mais surtout révèle la volonté de limiter la liberté d’expression. En démocratie, seul un juge a l’autorité et la légitimité pour décider si un propos ou une image enfreint la loi. Seule l’autorité judiciaire peut décider de retirer un discours de la sphère publique par la censure.

Or, sur Internet, cette censure est déléguée à des entités privées dans un cadre extra-judiciaire, à rebours de cette protection historique. L’expression et l’information des utilisateur·rices se heurtent depuis des années aux choix de plateformes privées auto-désignées comme entités régulatrices du discours public. Ce mécanisme de contrôle des moyens d’expression tend en effet à faire disparaître les contenus militants, radicaux ou alternatifs et à invisibiliser l’expression de communautés minoritaires. Alors que ce modèle pose de sérieuses questions quant à la liberté d’expression dans l’espace démocratique, c’est pourtant bien sur celui-ci que le gouvernement compte pour faire tomber les vidéos de violences et de révoltes.

Ensuite, cette séquence démontre l’absence de volonté ou l’incompétence de l’État à se confronter aux problématiques complexes et anciennes des quartiers populaires et à apporter une réponse politique et sociale à un problème qui est uniquement… politique et social. L’analyse des évènements dans les banlieues est complexe, difficile et mérite qu’on se penche sur de multiples facteurs tels que le précédent de 2005, l’histoire coloniale française, le rapport des habitant·es avec la police ou encore le racisme et les enjeux de politique de la ville. Mais ici, le gouvernement convoque les réseaux sociaux pour contourner la situation. Comme à chaque crise, la technologie devient alors le *usual suspect* préféré des dirigeants : elle est facile à blâmer mais aussi à maîtriser. Elle apparaît ainsi comme une solution magique à tout type de problème.

Rappelons-nous par exemple de l’application TousAntiCovid, promue comme l’incarnation du progrès ultime et salvateur face à la crise sanitaire alors qu’il s’agissait uniquement d’un outil de surveillance inefficace. La suite a montré que seules des mesures sanitaires étaient de toute évidence à même de résorber une épidémie. Plus récemment, cette manœuvre a été utilisée pour les Jeux Olympiques, moment exceptionnel par ses aspects logistiques, économiques et sociaux mais où la réponse politique apportée a été de légaliser un degré supplémentaire de surveillance grâce à la technologie, la vidéosurveillance algorithmique.

Ici, le gouvernement se sert de ces deux phénomènes pour arriver à ses fins. Désigner les réseaux sociaux comme le coupable idéal lui permet non seulement de détourner l’opinion publique des problématiques de racisme, de pauvreté ou de politique des quartiers mais également de profiter de cette séquence « d’exception » pour asseoir sa volonté de contrôle d’Internet et des réseaux sociaux. Ainsi, les ministres de l’Intérieur et du Numérique ont convoqué le 30 juin les représentants de TikTok, Snapchat, Twitter et Meta pour leur mettre une « pression maximale », selon les mots du ministre du Numérique Jean-Noël Barrot, et renforcer ainsi la main mise et l’influence politique sur ces infrastructures de communication.

Une collaboration État-plateformes à son paroxysme

Comment le gouvernement peut-il alors faire pour réellement mettre les réseaux sociaux, des entreprises privées puissantes, sous sa coupe ? Juridiquement, il dispose de leviers pour demander lui-même le retrait de contenus aux plateformes. Certes cette censure administrative est en théorie aujourd’hui réservée à la pédopornographie et à l’apologie du terrorisme, mais cette dernière, notion vague et indéfinie juridiquement, a notamment permis d’exiger le blocage du site collaboratif et militant Indymedia ou de faire retirer une caricature de Macron grimé en Pinochet. Ces pouvoirs ont d’ailleurs été récemment augmentés par l’entrée en vigueur du règlement « TERREG », qui permet à la police d’exiger le retrait en une heure d’un contenu qualifié par elle de « terroriste ». Cependant, il ne semble pas que le gouvernement ait utilisé ces dispositions pour exiger le retrait des vidéos de révoltes. D’ailleurs, et peut-être plus grave, il n’en a probablement pas eu besoin.

Conscient des limites juridiques de son pouvoir, l’État peut en effet miser sur la coopération des plateformes. Comme nous l’avons évoqué, celles-ci ont le contrôle sur l’expression de leurs utilisateur·ices et sont en mesure de retirer des vidéos de révoltes et d’émeutes quand bien même ces dernières n’auraient absolument rien d’illégal, simplement en invoquant leurs larges pouvoirs issus des conditions générales d’utilisation.

D’un côté, les autorités peuvent compter sur le zèle de ces réseaux sociaux qui, après avoir longtemps été accusés de mauvais élèves et promoteurs de la haine en ligne, sont enclins à se racheter une image et apparaître comme de bons soldats républicains, n’hésitant pas à en faire plus que ce que demande la loi. Twitter par exemple, qui a pendant longtemps résisté et ignoré les demandes des autorités, a drastiquement changé sa discipline depuis l’arrivée d’Elon Musk. Selon le media Rest of World qui a analysé les données du réseau, Twitter ne refuse quasiment plus aucune injonction de blocage ou réquisition de données d’identification provenant des différents États dans le monde.

Concernant les récents évènements en France, le ministre Barrot a ainsi confirmé que les « demandes » du gouvernement avaient été « entendues ». Le Commandement de la Gendarmerie dans le cyberespace exposait fièrement que 512 demandes de retrait avaient été adressées aux modérateurs de réseaux sociaux, quand Olivier Veran annonçait quant à lui que « ce sont plusieurs milliers de contenus illicites qui ont été retirés, plusieurs centaines de comptes qui ont été supprimés, plusieurs dizaines de réquisitions auxquelles les plateformes ont répondu ».

Et en effet, Snapchat ne se cachait pas d’avoir fait plus que le nécessaire. Un porte-parole affirmait à l’AFP faire de la « détection proactive » notamment sur la carte interactive qui permet de retrouver des contenus en fonction des lieux et « et plus particulièrement le contenu lié aux émeutes » qui serait supprimé s’il « enfreint [leurs] directives ». La responsable des affaires publiques de l’entreprise assumait quant à elle devant l’Assemblée nationale avoir travaillé avec le ministère de l’Intérieur pour filtrer les contenus et ne laisser en ligne que ceux mettant en scène des personnes se plaignant des violences. Les représentants de Tiktok ont pour leur part [annoncé](https://www.latribune.fr/technos-medias/internet/les-reseaux-sociaux-retirent-des-milliers-de-contenus-illicites-lies-aux-emeutes-968771.html#:~:text=Mis en cause par de,des données personnels de policiers) : « Nous menons une modération automatique des contenus illicites, renforcée par des modérateurs humains. En raison de la nécessité urgente en France, nous avons renforcé nos efforts de modération ».

De l’autre côté, si les réseaux sociaux refusent de se plier à ce jeu diplomatique, alors le gouvernement peut menacer de durcir leurs obligations légales. Aujourd’hui, les réseaux sociaux et hébergeurs bénéficient d’un principe européen d’irresponsabilité, créé dans les années 2000 et reposant en France sur l’article 6 de la loi pour la confiance dans l’économie numérique (LCEN). Ils ne sont responsables de contenus que s’ils ont connaissance de leur caractère illicite et ne les ont pas retiré « promptement ». Mais alors que les soirées d’émeutes étaient toujours en cours dans les villes de France, le sénateur Patrick Chaize profitait de l’examen du projet de loi Espace Numérique pour proposer un amendement qui voulait modifier ce régime général et imposer aux plateformes le retrait en deux heures des contenus « incitant manifestement à la violence ».

Si cet amendement a finalement été retiré, ce n’était pas en raison de désaccords de fond. En effet, Jean-Noël Barrot a, dans la foulé de ce retrait, annoncé le lancement d’un « groupe de travail » interparlementaire pour réfléchir à une « évolution législative » de l’encadrement des réseaux sociaux. Sont envisagées pour l’instant des restrictions temporaires de fonctionnalités telles que la géolocalisation, des mesures de modération renforcées ou encore la levée de l’anonymat, éternelle marotte des parlementaires. Demande constante de la droite française depuis de nombreuses années, cette volonté de lier identité virtuelle et identité civile est cette fois-ci défendue par le député Renaissance Paul Midy. De quoi agiter le chiffon rouge de futures sanctions auprès de plateformes qui rechigneraient à en faire suffisamment.

L’impasse de la censure

Déjà voté au Sénat, le projet de loi « Espace Numérique » devrait être discuté à la rentrée à l’Assemblée. Outre plusieurs dispositions problématiques sur lesquelles nous reviendrons très prochainement, ce texte a comme objet initial de faire entrer dans le droit français le Digital Services Act (ou DSA). Ce règlement européen adopté en 2022 est censé renouveler le cadre juridique des acteurs de l’expression en ligne.

Contrairement à ce qu’affirmait avec aplomb Thierry Breton, commissaire européen en charge notamment du numérique, ce texte ne permettra en aucun cas d’« effacer dans l’instant » les vidéos de révoltes ni d’interdire d’exploitation les plateformes qui n’exécuteraient pas ces injonctions. Non, ce texte donne principalement des obligations ex ante aux très grosses plateformes, c’est-à-dire leur imposent des efforts sur leur fonctionnement général (transparence des algorithmes, coopération dans la modération avec des tiers certifiés, audits…) pour prévenir les risques systémiques liés à leur taille et leur influence sur la démocratie. M. Breton est ainsi prêt à tout pour faire le SAV du règlement qu’il a fait adopter l’année dernière, quitte à dire des choses fausses, faisant ainsi réagir plus de soixante associations sur ces propos, puis à rétropédaler en catastrophe en voyant le tollé que cette sortie a déclenché.

Cependant, si ce texte ne permet pas la censure immédiate rêvée par le commissaire européen français, il poursuit bien la dynamique existante de confier les clés de la liberté d’expression aux plateformes privées, quitte à les encadrer mollement. Le DSA légitime les logiques de censure extra-judiciaire, renforçant ainsi l’hégémonie des grandes plateformes qui ont développé des outils de reconnaissance et de censure automatisés de contenus.

Des contenus terroristes aux vidéos protégées par le droit d’auteur en passant par les opinions radicales, c’est tout un arsenal juridique européen qui existe aujourd’hui pour fonder la censure sur internet. En pratique, elle permet surtout de donner aux États qui façonnent ces législations des outils de contrôle de l’expression en ligne. On le voit en ce moment avec les vidéos d’émeutes, ces règles sont mobilisées pour contenir et maîtriser les contestations politiques ou problématiques. Le contrôle des moyens d’expression finit toujours aux mains de projets sécuritaires et anti-démocratiques. Face à ce triste constat, de la même manière que l’on se protège en manifestation ou dans nos échanges militants, il est nécessaire de repenser les pratiques numériques, afin de se protéger soi-même et les autres face au risque de détournement de nos publications à des fins répressives (suppression d’images, de vidéos ou de messages, flouter les visages…).

Enfin, cette obsession de la censure empêche surtout de se confronter aux véritables enjeux de liberté d’expression, qui se logent dans les modèles économiques et techniques de ces plateformes. À travers leurs algorithmes pensés pour des logiques financières, ces mécanismes favorisent la diffusion de publications violentes, discriminatoires ou complotistes, créant un tremplin rêvé pour l’extrême droite. Avec la régulation des plateformes à l’européenne qui ne passe pas par le questionnement de leur place prépondérante, celles-ci voient leur rôle et leur influence renforcé·es dans la société. Le modèle économique des réseaux sociaux commerciaux, qui repose sur la violation de la vie privée et la monétisation de contenus problématiques, n’est en effet jamais empêché, tout juste encadré.

Nous espérons que les débats autour du projet de loi Espace Numérique seront enfin l’occasion de discuter de modèles alternatifs et de penser la décentralisation comme véritable solution de la régulation de l’expression en ligne. Cet idéal n’est pas utopique mais existe bel et bien et grandit de jour en jour dans un écosystème fondé sur l’interopérabilité d’acteurs décentralisés, refusant les logiques de concentration des pouvoirs de censure et souhaitant remettre les utilisateurs au cœur des moyens de communications qu’ils utilisent.

« La France est l’un des pays les plus envoûtés par le mysticisme technosécuritaire »

Entretien avec Olivier Tesquet

Activation des objets connectés à distance, surveillance des journalistes, expérimentation de la reconnaissance faciale… Depuis quelques mois, les projets de lois liberticides se multiplient. Et même si tous n’aboutissent pas, le discours technosécuritaire est de plus en plus hégémonique. Entretien.

Début juin, le Sénat adoptait l’article 3 de la loi Justice, qui prévoit la possibilité d’activer à distance des objets connectés (téléphone, ordinateur…) pour récupérer des informations dans le cadre d’enquêtes1. Dans la foulée, il tentait de repêcher des dispositions sécuritaires écartées de la loi JO 20242 en validant, le 12 juin, l’expérimentation sur trois ans de la reconnaissance faciale en temps réel dans l’espace public. Au niveau européen, le Media Freedom Act, officiellement en faveur de la liberté de la presse, permettra de piéger les téléphones des journalistes au moyen de logiciels espions afin de les surveiller3. On fait le point avec Olivier Tesquet, journaliste à Télérama spécialisé dans les technologies numériques et la surveillance, auteur de plusieurs ouvrages sur le sujet4.

On pensait avoir échappé à la reconnaissance faciale, écartée de la loi JO 2024. Elle revient par une autre porte ?

« Dans le cadre de la loi JO 2024, la ligne rouge concernant la reconnaissance faciale s’était révélée plus difficile à franchir que prévu pour le gouvernement. En adoptant cette proposition de loi visant à créer un cadre d’expérimentation pour la reconnaissance faciale, le Sénat prépare le terrain en fabriquant de l’acceptabilité. Et même si cette proposition de loi a peu de chance d’être votée par l’Assemblée, c’est un calcul stratégique : on banalise les discours, les arguments et les technologies en question, on fabrique du consentement et l’on prépare les esprits au déploiement de ces technologies comme s’il était inéluctable.

« Quand les technologies sont sorties de la boîte, c’est extrêmement difficile de les y remettre »

C’était la même histoire avec l’usage des drones dans le cadre du maintien de l’ordre. L’ancien préfet de police Didier Lallement les utilisait sur le terrain, le Conseil d’État a d’abord dit “non”, suivi par le Conseil constitutionnel qui a censuré ces dispositions dans la loi Sécurité globale. Mais ils ont finalement réussi à en légaliser l’usage par le biais d’un autre véhicule législatif, la loi sur la responsabilité pénale. Il y a un “effet cliquet” : quand les technologies sont sorties de la boîte, c’est extrêmement difficile de les y remettre. »

Les arguments semblent toujours les mêmes : la lutte antiterroriste, et la nécessité d’encadrer des technologies « déjà-là ».

« Ce sont deux éléments assez stables de l’obsession technosécuritaire : la légalisation a posteriori, où on légifère à l’envers afin d’autoriser des technologies déjà en usage ; et la lutte contre le terrorisme. Ce sont deux arguments-massues auxquels il est très difficile de s’opposer, et qui sont utilisés quasi systématiquement lorsqu’il s’agit du déploiement de technologies sécuritaires, alors même que rien ne prouve qu’elles soient efficaces par rapport à leurs objectifs.

« On prépare les esprits au déploiement de ces technologies comme s’il était inéluctable »

Ce qui est encore plus curieux, c’est que moins une technologie fonctionne, plus on va tenter de la perfectionner et plus on va la déployer dans des versions encore plus intrusives : on impose la vidéosurveillance partout et, face aux doutes et critiques, on passe à la vidéosurveillance algorithmique puis à la reconnaissance faciale, sans savoir si elles sont efficaces. On est sortis du domaine de la rationalité scientifique pour rentrer dans celui de l’irrationalité quasi religieuse. »

À qui profite cette croyance dans le pouvoir magique de la technologie ?

« Elle profite évidemment aux industriels qui fabriquent ces technologies, qui en tirent d’importants bénéfices5. Ensuite, pour les politiques, le discours sécuritaire est devenu un rituel d’accession au pouvoir, un élément stable de leurs programmes, car c’est un discours rémunérateur. L’actuel maire de Nice, Christian Estrosi, en est un exemple chimiquement pur : il a fait campagne sur la sécurité, a fait de Nice une ville pionnière dans la vidéosurveillance, et entretient ce discours comme une forme de rente lui garantissant une longévité politique. C’est le genre de programme qui permet de prétendre agir, avec des installations visibles et valorisables, et qu’importe si la technologie n’a pas fait la preuve de son efficacité, voire a fait la démonstration de son inefficacité. »

Dans l’émission *C Ce soir* à laquelle tu as participé, la spécialiste des enjeux géopolitiques des technologies Asma Mallah expliquait qu’on est passé d’un droit à la sûreté à un droit à la sécurité6. Quelle est la différence ?

« La Déclaration des droits de l’homme et du citoyen de 1789 affirme le droit à la sûreté, c’est-à-dire le droit d’être protégé contre l’arbitraire de l’État. Depuis une quarantaine d’années, celui-ci a été travesti par les gouvernements successifs, droite et gauche confondues, en “droit à la sécurité”, qui est la possibilité pour l’État de violer de manière arbitraire les libertés des citoyens. »

Dans les considérants de la dissolution des Soulèvements de la Terre, on retrouve notamment pour argument le fait de laisser son téléphone mobile chez soi ou de le mettre en « mode avion » afin d’éviter le bornage. Est-il devenu interdit de se protéger ?

« C’est un exemple supplémentaire de la manière dont l’État utilise la notion floue de terrorisme à des fins politiques ; ici, la répression contre les mouvements écologistes qui, même si elle n’est pas nouvelle (rappelons-nous la débauche de moyens technologiques pour pas grand-chose à Bure), s’aggrave. On va vers une criminalisation de la furtivité : l’utilisation de certains outils, comme Tails ou une messagerie chiffrée, est considérée comme suspecte. C’est comme quand, en manifestation, apporter du sérum physiologique ou se protéger physiquement deviennent des éléments incriminants. D’un côté, le pouvoir se raidit, devient de plus en plus violent, se dote d’outils de plus en plus intrusifs ; de l’autre, on dénie aux citoyens la possibilité de se protéger contre l’arbitraire de ce pouvoir. »

Au niveau européen, le contrôle technologique des frontières semble faire exception à toute réglementation…

« Historiquement, les stratégies de surveillance de la police, même avant l’irruption de la technologie, ont toujours ciblé les catégories de population considérées comme “dangereuses” : les pauvres, les nomades, les ouvriers, les vagabonds… et aujourd’hui, les personnes exilées. Et l’Union européenne se comporte comme un laboratoire de recherche et de développement technosécuritaire, qui installe et teste littéralement in vivo ces dispositifs7 sur des personnes auxquelles on dénie déjà un certain nombre de droits fondamentaux. L’AI Act (règlement sur l’intelligence artificielle) en est un bon exemple. Adopté par le Parlement européen mi-juin afin de réglementer les systèmes de surveillance algorithmique, notamment en les classant en fonction des “risques” qu’ils posent, il renonce à agir sur les technologies sécuritaires déjà utilisées aux frontières.8 »

Mis bout à bout, tout cela dessine un contexte inquiétant. C’est comme si rien ne pouvait contrer la logique technosécuritaire à l’œuvre.

« En 2008, des personnalités de tous bords politiques s’étaient indignées du projet Edvige, qui visait à ficher les opinions politiques, syndicales et religieuses des Français à partir de l’âge de 13 ans. Aujourd’hui, même si certains tirent la sonnette d’alarme9, plus grand monde ne prend position. La digue est en train de céder, et la France fait partie des pays les plus envoûtés par cette espèce de mysticisme technosécuritaire, comme le chef de file de cette course en avant. C’est pour cela qu’il faut poser collectivement des diagnostics et imposer un débat politique – et non technique – sur ce sujet. Il faut s’organiser, faire du bruit et, comme disait Günther Anders, inquiéter son voisin comme soi-même. »

1 Le projet de loi d'orientation et de programmation de la justice (LOPJ), actuellement en discussion à l'Assemblée, prévoit notamment l'activation à distance des caméras, des micros et de la géolocalisation d'objets connectés, pour toute personne impliquée dans un crime ou délit puni d'au moins 10 ans de prison.

2 Voir « Olympiades du cyberflicage », CQFD n° 218 (mars 2023).

3 . Voir l'article d'Olivier Tesquet « L'espionnage des journalistes bientôt autorisé par une loi européenne ? », Télérama (21/06/2023).

4 Notamment À la trace (2020) et État d'urgence technologique (2021), aux éditions Premier Parallèle.

5 Voir l'article « Vidéosurveillance biométrique : derrière l'adoption du texte, la victoire d'un lobby », site La Quadrature du Net (05/04/2023).

6 . « I.A. : vers une société de surveillance ? », C Ce soir (France 5, 15/06/23).

7 Citons ItFlows (prédiction des flux migratoires) et iBorderCtrl (reconnaissance des émotions humaines lors des contrôles).

8 « “AI Act” : comment l'UE investit déjà dans des intelligences artificielles à “haut risque” pour contrôler ses frontières », Le Monde (22/06/2023).

9 Dans son rapport annuel publié mi-juin, la Commission nationale de contrôle des techniques de renseignement (CNCTR) s'inquiète des progrès de l'espionnage des milieux politiques et syndicaux. Voir l'article « Les services de renseignement s'intéressent de plus en plus aux militants », Politis (16/06/2023).

Veesion, la start-up illégale qui surveille les supermarchés

Posted on4 juillet 2023

Nous en parlions déjà il y a deux ans : au-delà de la surveillance de nos rues, la surveillance biométrique se déploie aussi dans nos supermarchés pour tenter de détecter les vols en rayons des magasins. À la tête de ce business, la start-up française Veesion dont tout le monde, même le gouvernement, s’accorde sur l’illégalité du logiciel mais qui continue à récolter des fonds et des clients en profitant de la détresse sociale

La surveillance biométrique de l’espace public ne cesse de s’accroître. Dernier exemple en date : la loi sur les Jeux Olympiques de 2024 qui vient légaliser officiellement la surveillance algorithmique dans l’espace public pour certains événements sportifs, récréatifs et culturels (on en parlait ici). En parallèle, des start-up cherchent à se faire de l’argent sur la surveillance d’autres espaces, notamment les supermarchés. L’idée est la suivante : utiliser des algorithmiques de surveillance biométrique sur les caméras déjà déployées pour détecter des vols dans les grandes surfaces et alerter directement les agents de sécurité.

L’une des entreprises les plus en vue sur le sujet, c’est Veesion, une start-up française dont on parlait déjà il y a deux ans (ici) et qui vient de faire l’objet d’un article de Streetpress. L’article vient rappeler ce que LQDN dénonce depuis plusieurs années : le logiciel déjà déployé dans des centaines de magasins est illégal, non seulement selon l’avis de la CNIL, mais aussi, selon nos informations, pour le gouvernement.

Le business illégal de la détresse sociale

Nous avions déjà souligné plusieurs aspects hautement problématiques de l’entreprise. En premier lieu, un billet publié par son créateur, soulignant que la crise économique créée par la pandémie allait provoquer une augmentation des vols, ce qui rendait nécessaire pour les magasins de s’équiper de son logiciel. Ce billet avait été retiré aussitôt notre premier article publié.

D’autres déclarations de Veesion continuent pourtant de soutenir cette idée. Ici, c’est pour rappeler que l’inflation des prix, en particulier sur les prix des aliments, alimenteraient le vol à l’étalage, ce qui rend encore une fois nécessaire l’achat de son logiciel de surveillance. Un business s’affichant donc sans gêne comme fondé sur la détresse sociale.

Au-delà du discours marketing sordide, le dispositif est clairement illégal. Il s’agit bien ici de données biométriques, c’est-à-dire de données personnelles relatives notamment à des caractéristiques « physiques ou « comportementales » (au sens de l’article 4, par. 14 du RGPD) traitées pour « identifier une personne physique de manière unique » (ici, repérer une personne en train de voler à cause de gestes « suspects » afin de l’appréhender individuellement, et pour cela analyser le comportement de l’ensemble des client·es d’un magasin).

Un tel traitement est par principe interdit par l’article 9 du RGPD, et légal seulement de manière exceptionnelle et sous conditions strictes. Aucune de ces conditions n’est applicable au dispositif de Veesion.

La Quadrature du Net n’est d’ailleurs pas la seule à souligner l’illégalité du système. La CNIL le redit clairement (à sa façon) dans l’article de Streetpress quand elle souligne que les caméras de Veesion « devraient être encadrées par un texte » . Or ce texte n’existe pas. Elle avait exprimé le même malaise au Monde il y a quelques mois, quand son directeur technique reconnaissait que cette technologie était dans un « flou juridique » .

Veesion est d’ailleurs tout à fait au courant de cette illégalité. Cela ressort explicitement de sa réponse à une consultation de la CNIL obtenu par LQDN où Veesion s’alarme de l’interprétation du RGPD par la CNIL qui pourrait menacer « 500 emplois en France » .

Plus surprenant, le gouvernement a lui aussi reconnu l’illégalité du dispositif. Selon nos informations, dans le cadre d’une réunion avec des professionnels du secteur, une personne représentant le ministère de l’Intérieur a explicitement reconnu que la vidéosurveillance algorithmique dans les supermarchés était interdite.

La Technopolice rapporte toujours autant d’argent

Tout cela ne semble pas gêner l’entreprise. Sur leur site , ils annoncent équiper plus de 2500 commerçants, dans 25 pays. Et selon les informations de Streetpress, les clients en France sont notamment Leclerc, Carrefour, G20, Système U, Biocoop, Kiabi ou encore la Fnac. Des enseignes régulièrement fréquentées donc par plusieurs milliers de personnes chaque jour.

Autre point : les financements affluent. En mars, la start-up a levé plus de 10 millions d’euros auprès de multiples fonds d’investissement. Sur le site Welcome to the Jungle, la start-up annonce plus de 100 salariés et plus de 5 millions de chiffre d’affaires.

La question que cela pose est la même que celle que nous rappelons sur ce type de sujets depuis 3 ans : que fait la CNIL ? Pourquoi n’a-t-elle pas fait la moindre communication explicite sur ce sujet ? Nous avions fait il y a deux ans une demande de documents administratifs à cette dernière, elle nous avait répondu qu’il s’agissait d’un dossier en cours d’analyse et qu’elle ne pouvait donc pas nous transmettre les documents demandés. Rien depuis.

Une telle inaction a des conséquences lourdes : outre la surveillance illégale imposée sur plusieurs milliers de personnes, la CNIL vient ici normaliser le non-respect du RGPD et faciliter la création d’une industrie de la Technopolice en laissant les investissements affluer.

Comment encore considérer la CNIL comme une autorité de « protection » de nos libertés quand la communication qui en émane sur ce sujet est qu’elle veut « fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe » ?

Surveillance illégale, détresse sociale, financement massif… Toutes les Technopolices se ressemblent, qu’elles soient en supermarché ou sur notre espace public. Mais pour une fois que tout le monde est d’accord sur l’illégalité d’une de ses représentantes, espérons que Veesion soit arrêtée au plus vite.

Qui a tué le CYBERPUNK ?

Transcript de la vidéo Qui a tué le CYBERPUNK ? du vidéaste Bolchegeek

Une émission de Benjamin Patinaud avec Kate la Petite Voix , basée sur les travaux de Raphaël Colson et les tables rondes du festival Les Intergalactiques

vous voyez le délire un détective hacker taciturne qui déambule dans la nuit pluvieuse au milieu de loubard au bras bionique shooté à la réalité virtuelle sous une forêt de gratte-ciel frappée du logo de méga Corporation illuminés par les néons les écrans et les phares des voitures volantes.

Envoyez les synthés bien mélancoliques et le saxo porno, une narration intérieure du genre, cette ville cette techno cata boursouflé de Baï au crack au sein duquel des crypto Romulus et Rémus se nourrissent goulûment d'un cyberflu de métadata

Cette ville ce n'est pas la Mégacité des Doges non, mais c'est ma ville c'est néo-Limoges.
Enfin voilà vous connaissez le cliché Cyberpunk

Le Cyberpunk semble faire ces dernières années un retour en force, ce sous genre est-il en passe de redevenir l'avenir de la SF le plus à même de parler de notre présent auquel il semble étrangement ressembler, ou s'agit-il d'une mode passagère le revival d'un
truc un peu ringard pour de sombres raisons marketing bien moins pertinentes ?

Aujourd'hui Retour vers le Futur d'un imaginaire qu'on peut croire mort et enterré

Par Benjamin PATINAUD & Kath

Origines

En 1980 Bruce Baden n'est pas le nom le plus célèbre du panthéon de la science-fiction, ce développeur informatique du Minnesota aujourd'hui âgé de 68 ans à quelques œuvres à son actif dont des novalisations comme celle du film steampunk Wild Wild West et du FPS spatial Rebel Moon rising, à l'époque il écrit une nouvelle au titre quant à lui bien plus connue cyberpunk cette histoire publiée seulement en 1983 avant de devenir un roman suit les aventures d'un protagoniste d'un nouveau genre un hacker.

Elle reste surtout dans les mémoires pour avoir donné naissance au terme qui désignera bientôt tout un mouvement une fois popularisé par un article du Washington Post en 84.

Mais le mouvement lui-même prend racine ailleurs. Racines c'est bien le terme avec un S s'il vous plaît tant le cyberpunk éclos subitement d'un peu partout, de la littérature au cinéma, de l'est à l'ouest en pur fruit des années 80 naissantes.

Dans le continuum créatif c'est jamais facile de définir un point d'origine on attribue souvent la paternité du genre à William Gibson avec sa nouvelle Johnny mnémonique de 1982 l'histoire d'un trafiquant de données avec un disque dur dans la tronche.

Simultanément à l'autre bout du monde katsuiro Otomo accouche du manga Akira, toujours la même année sort au cinéma Tron et sa réalité virtuelle vidéo ludique mais aussi et surtout Blade Runner.

Le film de Ridley Scott avait alors pas très bien marché en plus de recevoir un accueil plus que mitigé de la critique. Il a depuis été réévalué comme une œuvre culte et nul ne peut nier son influence imposant les bases de toute une esthétique de SF néo noir.

Il s'agit pourtant de l'adaptation d'une nouvelle de Philippe K.Dick les Android rêvent-ils de moutons électriques a qui on
doit les noms de la chaîne Nexus 6 et de la maison d'édition les moutons électriques, écrite en 1968 elle précède donc largement le mouvement qui nous intéresse, ce qui lui vaut le qualificatif de proto-cyberpunk.

Car avant de rentrer de plein pied dans ses foutues années 80 la SF est passé par l'effervescence des années 60-70 marquée par les contre-cultures des mouvements d'émancipation dans tous les sens et une volonté générale de retourner la table.

Nombre d'auteurs de cette période comme Michael Moorcock, Ursula K. Le Guin et évidemment Dick avait sauté à pieds joint dans ce train lancé à toute vitesse bien décidés à dépoussiérer eux aussi les codes de la vieille SF à papa.

C'était parti pour une nouvelle vague de SF avec des formes littéraires plus expérimentales mettant en scène des antihéros têtes brûlées débarrassées de la foi aveugle envers l'avenir.

Bonjour le sexe la drogue, mais aussi les questions de classe et d'aliénation la défiance envers l'ordre social les nouvelles technologies et l'avenir en général avec la perspective d'un effondrement civilisationnel, et oui comme on l'a expliqué dans notre vidéo pour l'Huma sur la montée du post-apo le 20e siècle avait déjà sévèrement douché les espoirs naïfs en un progrès technique avançant main dans la main avec un progrès social.

Esprit de ces décennies oblige, cette nouvelle vague donne tout de même corps à des utopies nouvelles comme avec la société
anarchiste dans Les Dépossédés ou celle de Star Trek, c'est cet esprit là qui se mange de plein fouet les années 80, la contre-révolution conservatrice et l'hégémonie du rêve ultralibéral, la foi en la mondialisation, la fin des trentes glorieuses. La contre-offensive des grandes entreprises et la victoire du discours managérial.

Les années fric, le tournant de la rigueur, there is no alternative, la fin de l'histoire bref la réaction.

Une réaction sans pitié à ces années 60-70 qui l'emporte pour les décennies à venir. Dont acte la SF qui intègre elle aussi ce nouveau logiciel sans partager son enthousiasme béat.

Les futurs se font entièrement dystopiques, privatisés et policier dirigé par des méga corporation de la tech toute puissante et où les inégalités sociales se creusent avec leur lot de précarité, d'insécurité et de systèmes D du turfu, ou tout État de droit ayant disparu il
reste pour les classes possédantes l'impunité et pour les classes laborieuses la criminalité comme face d'une même pièce.

Toute la société se résume pour paraphraser Gibson a une expérience accélérée de darwinisme social, les personnages plus des abusés roublard et individualiste pioche dans les figures dites anti-politiques qu'on trouvait dans le western et surtout dans le polar noir

Les figures du cyberpunk sont qualifiées de détectives de cow-boy et de samouraïs d'un genre nouveau les errances bioethniques à la kerwax se déplace dans les ruelles de mégalopole tentaculaire d'où la nature a définitivement disparu.

L'exploration new age de paradis artificiels a été remplacé par des réalités virtuelles, quant à l'espoir de changement il a été écrasé par les gratte-ciel.

Si les détectives et les hackers jouent contre ces sociétés brutales détournant ces technologies a leur avantage c'est dans un espoir de survie ou de tirer leur épingle du jeu, car évidemment les années 80 c'est aussi l'avènement de nouvelles technologies porteuses d'autant de promesses que de crainte.

Le Time choisi l'ordinateur comme son homme de l'année 1982 succédant ainsi à Regan puis un Lech Walesa annonciateur de la fin du bloc soviétique et précédent a nouveau Reagan.

Le silicium de l'électronique donne son célèbre nom à la Silicon Valley, l'informatique
s'apprête à révolutionner nos vies et le jeu vidéo s'empare de la culture populaire.

N'oublions pas que les nerds et les geeks qui prennent alors le pouvoir respectivement dans ses industries émergentes et sur la culture
populaire proviennent eux-mêmes des contre-culture.

Voilà la recette du nom cyber pour l'aspect technologique ici l'informatique et punk pour les racines contre culturelles pas
n'importe quelle racine puisque le punk est le mouvement qui débarque à la toute fin des années 70 et proclame *NO FUTURE à partir de là comme sa maman les années 80 le cyberpunk semble ne jamais vouloir complètement disparaître.

Le livre considérait comme le fondement absolu du genre sort en 1984 No Romancer toujours de William Gibson, seul et unique a remporter le triptyque de prix Nebula Philippe K.Dick et le Hugo. En gros niveau SF c'est comme remporter à la fois la Palme d'Or l'Oscar et dépouillé les Golden Globes.

D'ailleurs si ces classiques vous intéresses s'ils ont été réédités avec une traduction entièrement retravaillée par Laurent kesci au Diablo Vauvert

ah et tiens qu'est-ce qu'on trouve aussi chez ce bien bel éditeur mon livre sur les méchants le syndrome magnéto disponible chez vos libraire préféré oh là là c'est pas fou ça ?

Bref le héros du Neuromancien évidemment un hacker chose amusante le daron du cyberpunk ne bite absolument rien en informatique bien qu'il soit depuis devenu un twitos prolifique qui relay toute la journée des trucs de boomer de gauche comme un vieux fourneau.

Lui il est plutôt du genre à avoir vadrouillé dans les années 70 en testant pas mal de produits ironie absolue il a écrit neuromenser sur une bonne vieille machine à écrire signe de son impact culturel après la littérature le cinéma et le manga le genre envahit la BD en général la télé l'animation le jeu de rôle et même le jeu vidéo.

Au Japon il perpétue ses formes particulières au non subtil de extreme japanes cyberpunk sous l'influence de la scène underground et notamment punk bien sûr, ils mettent en scène leur propre imaginaires de low life high-tech c'est-à-dire vide bas-fonds et haute technologie dans des esthétiques urbaines et industrielles avec comme particularité une passion pour le body, horror les corps mutants artificiels ou transformés par la technologie.

Pourtant et contrairement à ce que sa longévité laisse penser le cyberpunk devient très vite un imaginaire à un peu daté dont les anticipations manquent un paquet de cibles la réalité virtuelle se résumait alors à ce qu'on sera amené à appeler les casques à vomi pour se connecter en permanence on préfère aux implants cérébraux les ordinateurs de poche, pas de voiture volante à l'horizon c'est internet la vraie révolution technologique qui emporte nos sociétés.

Bravo vous êtes sur Internet vous allez voir c'est facile

Dès les années 90 on est déjà dans l'âge d'or du post-cyberpunk qui joue de son esthétique maintenant bien établie et ajoute plus d'ironie et détourne ses codes ne décrivant plus nécessairement un avenir high-tech dystopique les auteurs historiques se lassent eux-mêmes du genre et beaucoup passa à autre chose

Dès 1987 le cyberpunk était devenu un cliché d'autres auteurs l'avaient changé en formule la fascination de la pop culture pour cette vision fade du cyberpunk sera peut-être de courte durée, le cyberpunk actuel ne répond à aucune de nos questions à la place il offre des fantasmes de pouvoir, les mêmes frissons sans issue que procurent les jeux vidéo et les blockbusters ils laissent la nature pour morte accepte la violence et la cupidité comme inévitable et promeut le culte du solitaire.

Bon en Occident on essaie beaucoup de transcrire cette imaginaire au cinéma mais c'est pas toujours probant, bon alors par contre au Japon le genre continue lui de péter la forme enfin ça c'est jusqu'à ce qu'un signe noir sorte de nulle part pour terminer la décennie

Matrix marque un tournant dans le cinéma de SF même de l'industrie du cinéma en général en fait il fournit une synthèse de ce qu'il précède tout en proposant une approche renouvelée en un coup de tonnerre culturel, et pourtant matrix n'a pas tant ressuscité le cyberpunk qu'offert un baroud d'honneur tenez même la mode de Matrix-like qui a suivi le carton du film non retiennent même pas spécialement laspect cyberpunk.

Nous voilà dans l'hiver nucléaire pour le cyberpunk doublé comme on l'a expliqué par le post-apo comme son papa le punk il n'est pas mort il s'est dilué et ça on y reviendra on délaisse le cyber au profit de nouvelles technologies comme avec le nanopunk ou le biopunk

C'est seulement a partir des années 2010 qu'on voit le cyberpunk sortir petit à petit de son bunker pour aboutir à ce qui semblent être un véritable revival et si pour savoir qui a tué le cyberpunk il fallait d'abord se demander qui l'a ressuscité et surtout pourquoi

Revival

notre Prophète le cyberpunk reviendrait-il sur terre pour nous guider, on en perçoit des signaux faibles tout au long de la décennie jusqu'à une apothéose pourquoi ce soudain revival ? est-il le signe que le genre va retrouver un avenir ?

en parlant d'une autre et s'imposer à nouveau comme majeur dans la SF contemporaine les raisons paraissent sautées aux implants oculaires intensément d'imaginaire semble coller plus que jamais au problématiques actuelles c'est la thèse plutôt convaincante défendue par le bien nommé cyberpunks not dead de Yannick RUMPALA.

Le cyberpunk nous apparaît désormais comme familier, on vit dans une société je ne vous apprends rien une société où le technocapitalisme étant son règne et ses promesses plus encore que dans les années 80, des technologies organisées autour d'interface homme machine interface par lesquelles passent notre rapport au monde

Alors certains on a préféré pour le moment donner des extensions à nos corps et nos esprits plutôt que des puces et un plan cybernétique même si la Silicon Valley investit sa R&D comme jamais pour nous promettre que cette fois c'est la bonne qu'en plus juré ça n'est pas la pire idée dans la longue et triste histoire de l'humanité.

Une technologie de plus en plus absorbée par les corps et des corps de plus en plus absorbés par la technologie, le cyber c'est effectivement greffé textuellement dans les cyberguères, la cybersécurité, et la cybersurveillance, la domotique, les algorithmes et les IA explosent faisant désormais partie de notre quotidien. L'informatique en général devient totalisante en s'étendant à chaque aspect de nos vies l'enjeu n'est plus de contrer la technologie comme des ludiques modernes mais de la maîtriser l'utiliser à nos propres fins la détourner après tout les hackers bien réels font désormais partie des figures de contestation, les mégalopoles ont poussé de partout comme des champignons et l'urbanisation n’est pas près de s'arrêter.

Presque 60% de la population vit aujourd'hui dans une ville population qu'on estime pouvoir doubler d'ici 2050 des villes comme lieu de déshumanisation, d'atomisation et d'anonymat.

La marche de l'histoire tend vers la privatisation du monde le capitalisme sous sa forme dite financière c'est dématérialiser en des flux des données des opérations informatiques automatisées comme dans Johnny Memonic les données elles-mêmes deviennent une richesse prisée il s'est également des territorialisé à franchi des frontières et des régulations se fondant désormais sur des multinationales ce capitalisme tardif annoncé par Ernest Mandel 10 ans avant l'avènement du cyberpunk et désormais partout et donc nulle part.

Les structures collectives les institutions publiques et les corps intermédiaires disparaissent petit à petit rendu impuissant ou jeté en pâture aux puissances privées le cyberpunk puise dans les changements structurels et philosophiques des entreprises dans les années 80 son ére des méga corporations nous la vivons comme annoncé.

Fini le capitalisme industriel à la pap, les grands groupes tenus par quelques grandes familles, et des conseils d'actionnaires
anonymes démultiplient leurs activités pas étonnant que le genre présente souvent un avenir entre americanisation et influence thématique asiatique en miroir de ses principaux pays producteurs d’œuvres que sont les USA et le Japon, ce dernier avec son miracle économique faisait alors office de précurseur, à la fois fleuron de la tech et organisé autour des Keiretsu héritière des Zaibatsu qui ont tant inspiré Gibson.

D'énormes normes conglomérats familiaux implantés dans de multiples secteurs à coups de fusion acquisition

Le sang Zaibatsu c'est l'information pas les individus. La structure est indépendante des vies individuelles qui la composent. L'entreprise devenue forme de vie

New Rose Hotel, William Gibson (1986)

Ces entreprises omnipotentes deviennent des organismes tentaculaires non plus des services mais des marques à l'identité propre

Dans une société de contrôle on nous apprend que les entreprises ont une âme ce qui est bien la nouvelle la plus terrifiante du monde

Gilles Deleuze, Pourparlers (1990)

Les élites elles continuent dans leur séparatisme si elles ne sont pas encore parvenues à rester en orbite ou sur d'autres planètes elles
vivent coupées du reste d'entre nous dans les ghettos du gotha, les Gated community, au-delà du monde et des frontières qui s'imposent encore à l'inverse à la masse des déplacés et des plus pauvres.

Ils se projettent dans leur propre ville apatrides au milieu de l'océan ou du désert sans plus jamais toucher terre, littéralement hors sol evadé du reste de la société autant que de la fiscalité. Se plaçant tout comme leur richesse accaparée offshore

Des élites en rupture avec l'humanité elle-même via des rêves d'immortalité et de transhumanisme, séparé du genre humain par le gouffre béant des inégalités ou la classe moyenne disparaît comme le prolétariat renvoyait à un précariat ou un lumpenprolétariat pour être un peu old school, avec pour seul perspective la survie quotidienne.

Entre eux et des riches toujours plus riches plus rien, aucun optimisme aucune issue aucun contre modèle à chercher dans ce monde cyberpunk car la précarité c'est le NO FUTURE,

La précarité affecte profondément celui ou celle qui la subit en rendant tout l'avenir incertain, elle interdit toute anticipation rationnelle et en particulier, ce minimum de croyance et d'espérance en l'avenir qu'il faut avoir pour se révolter, surtout collectivement contre le présent, même le plus intolérable.

Pierre Bourdieu, Contre-feux (1998)

On parle parfois de techno-féodalisme à autre nom pour les rêves mouillés des libertariens, un terme en apparence paradoxal ou la concentration de richesse et des technologies toujours plus puissantes toutes deux libérée de leurs entraves amènent à une régression sociale rappelant la féodalité un monde de technobaron et de cyber-serfs même si nos rues ne regorgent finalement pas de cyborgs les verrous moraux ont sauté pour ouvrir la voie à une conquête de nouveaux marchés par une technologie débarrassée des considérations éthiques et prolonger la marchandisation de tout jusqu'au plus profond des corps et des esprits.

Donnez-le vous pour dit désormais c'est le Far West sauf que la frontière a été repoussée vers de nouveaux territoires c'est nous.

La technologie n'apporte plus le bonheur collectif elle renforce au contraire les injustices en profitant à quelques-uns. Le cyberpunk décrit littéralement un monde d'après, post-humain, post-national, post-politique, monde d'après qui serait notre présent.

Serait-il alors effectivement le meilleur genre de SF pour faire le bilan de notre époque et en imaginer les perspectives ?

Coup dur du coup vu qu'il en a pas de perspective mais pas étonnant qui s'impose à nouveau à nous et de beaux jours devant lui à moins que ...

Rétrofutur

Si tout ce que je viens de dire est tout à fait vrai il faudrait pas oublier une caractéristique cruciale de ce revival

Survival il s'inscrit dans un phénomène bien plus large qui définit beaucoup notre moment culturel tout particulièrement dans la pop culture la nostalgie des années 80

Parce qu'il représente notre futur mais parce qu'il représente le futur des années 80, ça ça change tout et l'ironie de la chose et pire que vous le pensez car figurez-vous que le cyberpunk alors qu'il commençait à être délaissé par ses créateurs à très vite donner naissance à des sous genres dont vous avez sûrement entendu parler à commencer par le steampunk popularisé par le roman de 1990 the different engine sous les plumes de Bruce Sterling et ce bon William Gibson.

On pourra y ajouter tout un tas d'autres dérivés du même tonneau comme le diesel-punk, laser-punk, l'atome-punk ou
en fait tout ce que vous voulez. Le principe reste le même remplacer cyber par n'importe quel autre technologie dont va découler tout un univers. Mais ces héritiers ont une particularité il s'agit le plus souvent de rétro-futurisme le plus connu le steampunk donc donne une science-fiction victorienne partant des débuts de l'industrialisation pousser plus loin les perspectives de la vapeur

Attention si ce genre s'inspire d'auteur de l'époque comme Jules Verne ça ne fait pas de vingt mille lieues sous les mers une œuvre steampunk car ce n'est pas du rétrofuturisme. A ce moment-là c'est juste la SF de l'époque celle à laquelle revient le steampunk en imaginant non plus un futur mais une uchronie, une histoire alternative ou le monde aurait pris une direction différente, et ça marche en fait avec n'importe quoi je vais prendre des exemples bien de chez nous qui illustrent bien ça.

Le château des étoiles c'est une fort belle BD de Alex Alice débutant en 1869, bon alors l'esthétique c'est complètement un délire steampunk faut se calmer à inventer un sous genre à chaque variante mais on pourrait presque dire etherpunk du fait de sa technologie centrale en effet une partie de la science de l'époque postulait l'existence d'une matière constituant le vide spatial. l'ether évidemment maintenant on sait que pas du tout mais le château des étoiles part de cette science de l'époque imagine qu'elle avait raison et en fait découler une science-fiction un futurisme mais du passé un rétro futurisme.

L'intérêt n'est donc plus la prospective et l'exploration de futurs possibles mais l'exploration d'époque passé et de futurs qu'elles auraient pu croire possible. Sauf que non comme on le constate tous les jours d'ailleurs ces sous genre accorde souvent une grande importance au contexte historique traditionnellement on trouvera dans cette SF des événements mais aussi des personnages bien réels qui côtoient des personnages fictifs souvent issus de la culture de l'époque.

Autre oeuvre que Cocorico, la Brigade Chimérique de Serge Lehman et Fabrice Colin prend le parti du radium punk où les découvertes de Marie Curie donnent naissance dans de guerre à des genres de super héros européens tous en réalité issus de la littérature populaire de l'époque. Le contexte historique et politique y est central on y aperçoit André Breton où Irène Joliot-Curie autant que des personnages issus de la littérature populaire de l'époque qui viennent en incarner des phénomènes réels. Le génie du mal allemand docteur Mabuse ou Gog personnage du roman éponyme de l'écrivain fasciste Giovanni Papini pour les forces de l'Axe. L'URSS de Staline qui pioche ses agents en exosquelette dans nous autres un roman de science-fiction soviétique tandis que le nyctalope dont on doit les aventures foisonnantes à l'écrivain collabo Jean de La Hire devient protecteur de Paris

Bien que la démarche soit la même la période couverte ici ne correspond plus au steampunk mais plutôt à un autre genre le diesel punk même si elle fait le choix d'une autre technologie avec le radium. Qui dit époque différente dit problématique différente si le steampunk aborde les débuts de l'industrialisation et se prête aux questions de classe de progrès ou de colonialisme on développe plutôt ici le contexte d'entreux de guerre les tensions en Europe la montée des fascismes ou le communisme vous voyez le truc le rétrofuturisme peut servir à explorer des problématiques du passé qui résonnent dans le présent enfin quand c'est bien fait quoi comme par exemple avec frostpunk qui mobilise le steampunk pour évoquer les bouleversements climatiques en revenant à leur point d'origine qui est l'industrialisation parce que le problème justement c'est que ce côté rétro peut se limiter à une nostalgie pour une esthétique et une époque fantasmée et à une approche purement référentielle.

Non mais il suffit de voir le steampunk lorsque c'est résumé à mettre des rouages sur un haut de forme à tous porter ces mêmes de lunettes Gogole et à se faire appeler Lord de Nicodémus Phinéas Kumberclock aventuriers en montgolfière évacuant toutes les thématiques à un peu gênantes pour pouvoir fantasmer une ére victorienne sans regard critique.

Voilà la terrible ironie du cyberpunk genre ultramarquant d'une époque sont suffixe à couche de rétrofuturisme sans en être un lui-même avant d'en devenir un son tour une uchronie des années 80 où le cyber est une technologie datée au charme désuet vers laquelle on aime revenir comme une culture doudou.

Je vais reprendre un exemple très symptomatique pour bien comprendre ça dans Blade Runner on peut voir partout les logos Atari parce
qu'on est en 1982 et que le jeu vidéo c'est le truc du cyber futur et que le jeu vidéo, bah c'est Atari mais quand en 2017 Blade Runner 2049 force encore plus sur Atari ça représente plus du tout le futur c'est une référence nostalgique. Résultat ce qu'on reprend c'est une esthétique et des codes figés y compris dans des thématiques dont on sait plus forcément trop quoi faire.

La pertinence s'est émoussé la charge subversive s'est épuisée c'est marrant d'ailleurs vous noterez que les dérivés se sont construits avec le suffixe punk pour dire c'est comme le cyberpunk sauf qu'au lieu d'être cyber c'est inséré autre technologie alors que bah il y a absolument plus aucun rapport avec le punk parce qu'au final c'est pas le cyber qu'on a perdu c'est le punk

Punk is dead

Si on y réfléchit bien ce destin est tout à fait logique le punk justement bah ça a été une contre-culture pertinente à un moment et depuis bah c'est une esthétique et un état d'esprit un peu daté un peu folklo qui renvoie une époque. Dans la pop culture ça s'est dilué dans un imaginaire rétro des années 80 pour fournir des cyborgas crête de la chair à canon pour beat them all à l'ancienne et des A tagués dans des ronds

Alors le punk c'est pas les c'est pas que les Sex Pistols franchement c'est beaucoup plus c'est beaucoup de groupes c'est des groupes comme crasse qui existent encore aujourd'hui qui sont des anarchistes convaincus qui ont jamais signé sur une grosse boîte qui sort des des disques qui font quasiment au même point ils les prête pas mais ils en sont pas loin ça c'est un groupe c'est vraiment aussi un groupe très emblématique mais qui a jamais été très médiatisé parce que c'était pas ce qu'ils recherchaient. Il y a eu des gens qui ont surfé sur la vague punk, les Sex Pistols ce qui était vraiment un groupe punk mais qui a après été développé comme un comme un produit marketing comme Plastic Bertrand pour nous pour pour les Français les Belges on en rigolait pas mais c'est le plus grand groupe punk et à côté il y avait les Béru ou les bibliques qui étaient pas du tout des groupes qui sont rentrés dans ce système là donc ça c'est pour l'histoire du punk mais effectivement oui les sexpistols, il y a une récupération et puis il y avait aussi le fait que cette contre-culture et ben elle devient moins la contre-culture à partir du moment où elle s'intègre dans la culture générale

Punk : Tout est dans le suffixe ?

Avec Lizzie Crowdagger, Karim Berrouka, Léo Henry, et Alex Nikolavitch.

C'était la contre-culture d'une culture qui décrétait la fin de l'histoire, une contre-culture qui disait nos futurs et à partir du moment où il y a nos futurs et ben il lui reste quoi à la SF bah il lui reste la perspective de fin du monde avec la domination du post-apo qu'on a abordé sur l'humain vous pouvez enchaîner là-dessus à la fin de cette vidéo ou se tourner vers les futurs du passé quand on envisageait qu'il y en aurait un et donc le rétrofuturisme.

Le cyber lui il est bel et bien là dans nos vies mais où est le punk où est la contre-culture, finalement ça m'étonne pas qu'on se retrouve plus dans des imaginaires comme heure très loin du cyberpunk plus banal plus clinique qui ressemble plus à ce qu'on a ce qui m'avait fait dire un jour en live on vit vraiment dans la dystopie la plus nulle du monde quoi.

C'est vraiment la en fait c'est la COGIP cyberpunk c'est vraiment en fait on a on a la dystopie sans avoir les costumes cool et les néons partout quoi

Alors j'ai envie d'appeler ça du COGIP-punk parce que de fait ouais l'idéologie managériale de l'époque a bel et bien fini par infuser toutes les strates de la société de l'entreprise à l'économie en général et à la sphère politique jusque dans notre quotidien et nos modes de vie. A la place des bras bioniques dans des blousons noirs avec mot câblés on a des happiness manager radicalisés sur Linkedin...

Le bonheur au travail ce n'est pas qu'une question de cadre de travail, bien sûr nous avons une table de ping-pong, ou une salle de sieste, un espace jus de fruits, un espace smoothie, un espace smoothie à la banane, un vélo elliptique pour 400, des iPad pour faire du yoga tous les matins le break face meeting convivial de 8h30 et l'occasion d'appeler chaque collaborateur par son prénom pour vérifier qu'il est bien là ouvert aux autres et dans l'instant présent de 8h30 pétantes

Chief Happiness Dictator par Karim Duval (2020)

alors moi je trouve ça aussi abyssalement dystopique et ça me terrifie mais ça a même pas le mérite d'être stylé d'où la pétance nostalgique pour le cyberpunk à l'ancienne d'ailleurs le dessinateur boulet avait proposé dans une super BD le concept de Fornica-punk il y a même le Giscard-punk pour à peu près la même chose parce que non soyons honnêtes on vit pas dans Neuromance pas même dans Black Mirror on vit dans dava

défenseur acharné de l'éducation financière dès le plus jeune âge nous n'aurons de cesse de vous offrir tips après tips, quoi qu'il en coûte pour vous sortir en fin de cette pauvreté confort qui vous gangrène, car le tabou sur l'argent est un sacré fléau dans le monde actuel un génocide qui ne dit pas son nom

DAVA - Qui sommes-nous DAVA (2017)

le futur cyberpunk a fini par apparaître pour beaucoup consciemment ou non comme un avenir impossible on y croit plus pourquoi faire avec quelles ressource comment vous voulez que ça se casse pas la gueule avant

Bon il y en a qui croit encore c'est vrai et c'est intéressant à observer on l'a dit les Zinzins de la Silicon Valley sont aussi le produit de ces contre-culture et mater ce qui sont devenus à ça c'est clair le devenir cyberpunk il force à mort dessus pour reprendre la blague

j'ai écrit le cybercule de l'Apocalypse comme un avertissement envers une humanité qui court droit à la catastrophe [Musique]
je suis heureux de vous annoncer que nous avons créé le cybercule de l'Apocalypse issu du roman visionnaire ne créez pas le
cybercule de l'Apocalypse

Je déconne à peine le terme metaves vient lui-même du roman post cyberpunk snow crash de Neil Stephenson en même temps soyons tout à fait honnêtes l'imaginaire cyberpunk cristallise certes des craintes mais aussi une fascination ce que j'aime appeler le syndrome Jurassic Park. Le film montre qu'il faut surtout pas ressusciter des dinosaures mais on veut le voir parce que il y a des dinosaures de ans et il nous donne à rêver qu'on puisse en croiser un jour. Mais où est passé la veine punk du détournement du hacking de la débrouille
du Do It Yourself et des espaces alternatifs à faire vivre dans les interstices d'une société épouvantable. La façon pour les prolos et les marginaux de la propriété de conserver la maîtrise de ces outils si aliénant.

Et ben non du cyberpunk on a gardé des patrons savants fous qui torturent des singes pour leur coller des neuralink mais qui sont mais alors persuadés d'être les héros.

Si vous voulez savoir je suis un genre d'anarchiste utopique comme l'a si bien
décrit Iaine Banks (auteur de SF)

Elon Musk (Twitter, évidemment)

C'est logique en même temps pour les hyper riches le cyberpunk a toujours été en quelque sorte une utopie résultat et nous font des trucs du futur qui marchent pas en plus d'être dangereux et cerise sur le gâteau dans des versions nulles à chier, c'est peut-être ça le truc qui saute aux yeux quand on voit ce qui reste à quel point c'est parodies humaines ont un imaginaire pauvre.

Leur univers intérieur c'est le désert sans même parler des aspects plus concrets de tout ça, regardez la gueule de méta regardez la gueule des NFT, regardez la gueule de Dubaï de NEOM, de the line.

Mais ici je le répète ces gens sont des amputés de l'imaginaire c'est eux qui sont aux manettes et prétendent concevoir notre futur leur utopie c'est non seulement des dystopies pour la très grande majorité d'entre nous mais en plus elles sont éclatées.

Pour le coup pas étonnant qu'un film comme Matrix est fait autant de bruit avec son approche au final il reprenait les idées cyberpunk pour dire que la matrice ben c'était le monde dans lequel on vivait un monde déjà COGIP-punk

attendez les gars calmez-
vous c'est parce que vous croyez je vous jure je sais rien je suis sûr que cet
c'est quelque chose il bluff [Musique]

Avec ça matrix n'a pas tant relancé le Cyberpunk qui l'avait clos bon et au-delà de ce qu'on peut penser du dernier film la démarche de Lana dit à peu près tout

Dans la première trilogie notre regard était prospectif nous avions compris que les ordinateurs et le virtuel allaient devenir de plus en plus important je voyais donc pas l'intérêt de revenir agiter les mêmes idées 20 ans plus tard

Lana Wachowski, Premiere (2021)

Alors bon le cyberpunk a-t-il vraiment un avenir en dehors d'un revival année 80 qui lui-même j'espère va s'essouffler. Cyberpunk peut-être pas tout à fait dead mais cyberpunk finito

Plot twist : Fin ?

Ca c'est la conclusion que j'aurais faite à la base mais laissez-moi vous raconter une petite histoire je faisais un tour comme d'hab au festival de SF les intergalactiques où j'ai pu participer à un paquet de table rondes et sur une en particulier il y a eu un déclic, la table se déroule sous l'égide de l'essayiste Raphaël Colson spécialiste du genre qui m'a aidé à écrire cette vidéo en bonne partie basée sur ces travaux il faut être honnête.

Dans les intervenants on retrouve Yann Minh un artiste multicasquette, alors lui c'est totalement un Cyberpunk à l'ancienne qui fait vivre le truc à fond. A côté on a deux auteurs de SF Michael Roch et Boris Quercia. Dans la discussion forcément ça parle de tous ces trucs de Zuckerberg, de Musk, les cryptos, vous avez compris ce que j'en pense. Et puis il y a ces deux auteurs qui écrivent la à l'heure actuelle des œuvres cyberpunk ou inspiré du cyberpunk.

Je parlais de renouveau je pense qu'il y a effectivement une réappropriation qui se fait dans la marge évidemment sur les sur les bases de ce que fait l'auteur du Neuromancien ou le cyberpunk devient un outil pour lutter contre un pouvoir politique, parler des marges de l'Occident ou justement le né- néolibéralisme extrême est déjà en oeuvre c'est faire preuve que le que le cyberpunk n'est pas mort on le présente qu'on le présente dans un récit futuriste mais c'est la réalité présente de de ce qui se passe. Moi j'ai des collègues aux Antilles mes collègues ont bossé dans des choses sur les effets spéciaux de films comme Le Hobbit, comme John Carter de mars etc etc... Et en fait souvent on se fait des visios et ils me disent Mike je vais je vais être obligé de laisser le visio là parce que je dois aller m'occuper des beufs qui sont dans le champ une heure plus tard ils sont sur leur PC en train de faire de la FX pour des films quoi. Ce rapport un peu un peu dans la dualité c'est ce qui va provoquer peut-être ce nouvel imaginaire, c'est originalité de du cyberpunk cette renaissance. Mais encore une fois on est on est clairement dans un temps présent totalement tarabiscoté.

là-dessus Boris cuersia prend aussi la parole je vous invite à voir la table ronde en entier mais en gros lui aussi il nous raconte une histoire qui vient de son Chili natal celle d'un pauvre type qui mange de la viande bon marché dans la rue et qui se retrouve avec une puce greffée dans le bide parce que cette viande appartenait en fait à un chien quilui-même appartenait à des riches qu'il avait pucer dernier cris et voilà comme on était né le premier cyborg chilien.

aujourd'hui je peux pas séparer la technologie tout ce qui est social parce que finalement on sait pas tout le monde va avoir accès à cette technologie cela ça s'identifie, ça se voit très clairement, en Amérique latine il y a fait mais directement à la à l'ensemble de
la quotidienne d'une personne.

Ces bâtards ils m'ont montré ce que j'avais pas vu et en même temps est-ce que ça devrait me surprendre qu'un vrai renouveau pertinent
du genre viennent d'un auteur des Antilles et d'un autre d'Amérique latine.

Qu'est-ce qu'il y a de plus cyberpunk que le premier pays à avoir adopté des crypto comme monnaie officielles qui nous donne des titres comme au Salvador la méga prison des gangs polluent les rivières je critique cette esthétique nostalgique ce cyberpunk superficiel comme on le retrouve dans une pop culture mainstream qui recycle les mêmes poncifs mais j'en sortais pas tellement pour aller voir ailleurs non plus j'avais mon casque VR de geekos americanisé vissait sur la tronche je pensais voir le code mais je sortais pas de la matrice c'est pas parce que je constatais toujours justement je le pense que la culture populaire mondialisée très dominée par le nord n'avait plus grand chose à dire avec le cyberpunk que d'autres eux n'avaient plus rien à en dire

A LIRE

• Cyberpunk's not dead - Yannick Rumpala (Éditions Le Bélial)

• Tè Mawon - Michael Roch (Éditions La Volte)

• Electrocante / Les rêves qui nous restent - Boris Quercia (Éditions Asphalte)

• Neuromancien / Mona Lisa Disjoncte / Comte Zéro - William Gibson (Éditions Au Diable Vauvert)

Les tables rondes des Intergalactiques :

• Cyberpunk : l'imaginaire d'un techno-futur ? • Cyberpunk : l'ima...

• Punk : tout est dans le suffixe ? • Punk : tout est d...

A Roomba recorded a woman on the toilet. How did screenshots end up on Facebook?

In the fall of 2020, gig workers in Venezuela posted a series of images to online forums where they gathered to talk shop. The photos were mundane, if sometimes intimate, household scenes captured from low angles—including some you really wouldn’t want shared on the Internet.

In one particularly revealing shot, a young woman in a lavender T-shirt sits on the toilet, her shorts pulled down to mid-thigh.

The images were not taken by a person, but by development versions of iRobot’s Roomba J7 series robot vacuum. They were then sent to Scale AI, a startup that contracts workers around the world to label audio, photo, and video data used to train artificial intelligence.

They were the sorts of scenes that internet-connected devices regularly capture and send back to the cloud—though usually with stricter storage and access controls. Yet earlier this year, MIT Technology Review obtained 15 screenshots of these private photos, which had been posted to closed social media groups.

The photos vary in type and in sensitivity. The most intimate image we saw was the series of video stills featuring the young woman on the toilet, her face blocked in the lead image but unobscured in the grainy scroll of shots below. In another image, a boy who appears to be eight or nine years old, and whose face is clearly visible, is sprawled on his stomach across a hallway floor. A triangular flop of hair spills across his forehead as he stares, with apparent amusement, at the object recording him from just below eye level.

The other shots show rooms from homes around the world, some occupied by humans, one by a dog. Furniture, décor, and objects located high on the walls and ceilings are outlined by rectangular boxes and accompanied by labels like “tv,” “plant_or_flower,” and “ceiling light.”

iRobot—the world’s largest vendor of robotic vacuums, which Amazon recently acquired for $1.7 billion in a pending deal—confirmed that these images were captured by its Roombas in 2020. All of them came from “special development robots with hardware and software modifications that are not and never were present on iRobot consumer products for purchase,” the company said in a statement. They were given to “paid collectors and employees” who signed written agreements acknowledging that they were sending data streams, including video, back to the company for training purposes. According to iRobot, the devices were labeled with a bright green sticker that read “video recording in progress,” and it was up to those paid data collectors to “remove anything they deem sensitive from any space the robot operates in, including children.”

In other words, by iRobot’s estimation, anyone whose photos or video appeared in the streams had agreed to let their Roombas monitor them. iRobot declined to let MIT Technology Review view the consent agreements and did not make any of its paid collectors or employees available to discuss their understanding of the terms.

While the images shared with us did not come from iRobot customers, consumers regularly consent to having our data monitored to varying degrees on devices ranging from iPhones to washing machines. It’s a practice that has only grown more common over the past decade, as data-hungry artificial intelligence has been increasingly integrated into a whole new array of products and services. Much of this technology is based on machine learning, a technique that uses large troves of data—including our voices, faces, homes, and other personal information—to train algorithms to recognize patterns. The most useful data sets are the most realistic, making data sourced from real environments, like homes, especially valuable. Often, we opt in simply by using the product, as noted in privacy policies with vague language that gives companies broad discretion in how they disseminate and analyze consumer information.

The data collected by robot vacuums can be particularly invasive. They have “powerful hardware, powerful sensors,” says Dennis Giese, a PhD candidate at Northeastern University who studies the security vulnerabilities of Internet of Things devices, including robot vacuums. “And they can drive around in your home—and you have no way to control that.” This is especially true, he adds, of devices with advanced cameras and artificial intelligence—like iRobot’s Roomba J7 series.
Related Story Roomba testers feel misled after intimate images ended up on Facebook

An MIT Technology Review investigation recently revealed how images of a minor and a tester on the toilet ended up on social media. iRobot said it had consent to collect this kind of data from inside homes—but participants say otherwise.

This data is then used to build smarter robots whose purpose may one day go far beyond vacuuming. But to make these data sets useful for machine learning, individual humans must first view, categorize, label, and otherwise add context to each bit of data. This process is called data annotation.

“There’s always a group of humans sitting somewhere—usually in a windowless room, just doing a bunch of point-and-click: ‘Yes, that is an object or not an object,’” explains Matt Beane, an assistant professor in the technology management program at the University of California, Santa Barbara, who studies the human work behind robotics.

The 15 images shared with MIT Technology Review are just a tiny slice of a sweeping data ecosystem. iRobot has said that it has shared over 2 million images with Scale AI and an unknown quantity more with other data annotation platforms; the company has confirmed that Scale is just one of the data annotators it has used.

James Baussmann, iRobot’s spokesperson, said in an email the company had “taken every precaution to ensure that personal data is processed securely and in accordance with applicable law,” and that the images shared with MIT Technology Review were “shared in violation of a written non-disclosure agreement between iRobot and an image annotation service provider.” In an emailed statement a few weeks after we shared the images with the company, iRobot CEO Colin Angle said that “iRobot is terminating its relationship with the service provider who leaked the images, is actively investigating the matter, and [is] taking measures to help prevent a similar leak by any service provider in the future.” The company did not respond to additional questions about what those measures were.

Ultimately, though, this set of images represents something bigger than any one individual company’s actions. They speak to the widespread, and growing, practice of sharing potentially sensitive data to train algorithms, as well as the surprising, globe-spanning journey that a single image can take—in this case, from homes in North America, Europe, and Asia to the servers of Massachusetts-based iRobot, from there to San Francisco–based Scale AI, and finally to Scale’s contracted data workers around the world (including, in this instance, Venezuelan gig workers who posted the images to private groups on Facebook, Discord, and elsewhere).

Together, the images reveal a whole data supply chain—and new points where personal information could leak out—that few consumers are even aware of.

“It’s not expected that human beings are going to be reviewing the raw footage,” emphasizes Justin Brookman, director of tech policy at Consumer Reports and former policy director of the Federal Trade Commission’s Office of Technology Research and Investigation. iRobot would not say whether data collectors were aware that humans, in particular, would be viewing these images, though the company said the consent form made clear that “service providers” would be.

"It’s not expected that human beings are going to be reviewing the raw footage.”

“We literally treat machines differently than we treat humans,” adds Jessica Vitak, an information scientist and professor at the University of Maryland’s communication department and its College of Information Studies. “It’s much easier for me to accept a cute little vacuum, you know, moving around my space [than] somebody walking around my house with a camera.”

And yet, that’s essentially what is happening. It’s not just a robot vacuum watching you on the toilet—a person may be looking too.

The robot vacuum revolution

Robot vacuums weren’t always so smart.

The earliest model, the Swedish-made Electrolux Trilobite, came to market in 2001. It used ultrasonic sensors to locate walls and plot cleaning patterns; additional bump sensors on its sides and cliff sensors at the bottom helped it avoid running into objects or falling off stairs. But these sensors were glitchy, leading the robot to miss certain areas or repeat others. The result was unfinished and unsatisfactory cleaning jobs.

The next year, iRobot released the first-generation Roomba, which relied on similar basic bump sensors and turn sensors. Much cheaper than its competitor, it became the first commercially successful robot vacuum.

The most basic models today still operate similarly, while midrange cleaners incorporate better sensors and other navigational techniques like simultaneous localization and mapping to find their place in a room and chart out better cleaning paths.

Higher-end devices have moved on to computer vision, a subset of artificial intelligence that approximates human sight by training algorithms to extract information from images and videos, and/or lidar, a laser-based sensing technique used by NASA and widely considered the most accurate—but most expensive—navigational technology on the market today.

Computer vision depends on high-definition cameras, and by our count, around a dozen companies have incorporated front-facing cameras into their robot vacuums for navigation and object recognition—as well as, increasingly, home monitoring. This includes the top three robot vacuum makers by market share: iRobot, which has 30% of the market and has sold over 40 million devices since 2002; Ecovacs, with about 15%; and Roborock, which has about another 15%, according to the market intelligence firm Strategy Analytics. It also includes familiar household appliance makers like Samsung, LG, and Dyson, among others. In all, some 23.4 million robot vacuums were sold in Europe and the Americas in 2021 alone, according to Strategy Analytics.

From the start, iRobot went all in on computer vision, and its first device with such capabilities, the Roomba 980, debuted in 2015. It was also the first of iRobot’s Wi-Fi-enabled devices, as well as its first that could map a home, adjust its cleaning strategy on the basis of room size, and identify basic obstacles to avoid.

Computer vision “allows the robot to … see the full richness of the world around it,” says Chris Jones, iRobot’s chief technology officer. It allows iRobot’s devices to “avoid cords on the floor or understand that that’s a couch.”

But for computer vision in robot vacuums to truly work as intended, manufacturers need to train it on high-quality, diverse data sets that reflect the huge range of what they might see. “The variety of the home environment is a very difficult task,” says Wu Erqi, the senior R&D director of Beijing-based Roborock. Road systems “are quite standard,” he says, so for makers of self-driving cars, “you’ll know how the lane looks … [and] how the traffic sign looks.” But each home interior is vastly different.

“The furniture is not standardized,” he adds. “You cannot expect what will be on your ground. Sometimes there’s a sock there, maybe some cables”—and the cables may look different in the US and China.
family bent over a vacuum. light emitting from the vaccuum shines on their obscured faces.
MATTHIEU BOUREL

MIT Technology Review spoke with or sent questions to 12 companies selling robot vacuums and found that they respond to the challenge of gathering training data differently.

In iRobot’s case, over 95% of its image data set comes from real homes, whose residents are either iRobot employees or volunteers recruited by third-party data vendors (which iRobot declined to identify). People using development devices agree to allow iRobot to collect data, including video streams, as the devices are running, often in exchange for “incentives for participation,” according to a statement from iRobot. The company declined to specify what these incentives were, saying only that they varied “based on the length and complexity of the data collection.”

The remaining training data comes from what iRobot calls “staged data collection,” in which the company builds models that it then records.

iRobot has also begun offering regular consumers the opportunity to opt in to contributing training data through its app, where people can choose to send specific images of obstacles to company servers to improve its algorithms. iRobot says that if a customer participates in this “user-in-the-loop” training, as it is known, the company receives only these specific images, and no others. Baussmann, the company representative, said in an email that such images have not yet been used to train any algorithms.

In contrast to iRobot, Roborock said that it either “produce[s] [its] own images in [its] labs” or “work[s] with third-party vendors in China who are specifically asked to capture & provide images of objects on floors for our training purposes.” Meanwhile, Dyson, which sells two high-end robot vacuum models, said that it gathers data from two main sources: “home trialists within Dyson’s research & development department with a security clearance” and, increasingly, synthetic, or AI-generated, training data.

Most robot vacuum companies MIT Technology Review spoke with explicitly said they don’t use customer data to train their machine-learning algorithms. Samsung did not respond to questions about how it sources its data (though it wrote that it does not use Scale AI for data annotation), while Ecovacs calls the source of its training data “confidential.” LG and Bosch did not respond to requests for comment.

“You have to assume that people … ask each other for help. The policy always says that you’re not supposed to, but it’s very hard to control.”

Some clues about other methods of data collection come from Giese, the IoT hacker, whose office at Northeastern is piled high with robot vacuums that he has reverse-engineered, giving him access to their machine-learning models. Some are produced by Dreame, a relatively new Chinese company based in Shenzhen that sells affordable, feature-rich devices.

Giese found that Dreame vacuums have a folder labeled “AI server,” as well as image upload functions. Companies often say that “camera data is never sent to the cloud and whatever,” Giese says, but “when I had access to the device, I was basically able to prove that it's not true.” Even if they didn’t actually upload any photos, he adds, “[the function] is always there.”
Related Story
labor exploitation concept
How the AI industry profits from catastrophe

As the demand for data labeling exploded, an economic catastrophe turned Venezuela into ground zero for a new model of labor exploitation.

Dreame manufactures robot vacuums that are also rebranded and sold by other companies—an indication that this practice could be employed by other brands as well, says Giese.

But without either an explanation from companies themselves or a way, besides hacking, to test their assertions, it’s hard to know for sure what they’re collecting from customers for training purposes.
How and why our data ends up halfway around the world

With the raw data required for machine-learning algorithms comes the need for labor, and lots of it. That’s where data annotation comes in. A young but growing industry, data annotation is projected to reach $13.3 billion in market value by 2030.

The field took off largely to meet the huge need for labeled data to train the algorithms used in self-driving vehicles. Today, data labelers, who are often low-paid contract workers in the developing world, help power much of what we take for granted as “automated” online. They keep the worst of the Internet out of our social media feeds by manually categorizing and flagging posts, improve voice recognition software by transcribing low-quality audio, and help robot vacuums recognize objects in their environments by tagging photos and videos.

Among the myriad companies that have popped up over the past decade, Scale AI has become the market leader. Founded in 2016, it built a business model around contracting with remote workers in less-wealthy nations at cheap project- or task-based rates on Remotasks, its proprietary crowdsourcing platform.

In 2020, Scale posted a new assignment there: Project IO. It featured images captured from the ground and angled upwards at roughly 45 degrees, and showed the walls, ceilings, and floors of homes around the world, as well as whatever happened to be in or on them—including people, whose faces were clearly visible to the labelers.

Labelers discussed Project IO in Facebook, Discord, and other groups that they had set up to share advice on handling delayed payments, talk about the best-paying assignments, or request assistance in labeling tricky objects.

iRobot confirmed that the 15 images posted in these groups and subsequently sent to MIT Technology Review came from its devices, sharing a spreadsheet listing the specific dates they were made (between June and November 2020), the countries they came from (the United States, Japan, France, Germany, and Spain), and the serial numbers of the devices that produced the images, as well as a column indicating that a consent form had been signed by each device’s user. (Scale AI confirmed that 13 of the 15 images came from “an R&D project [it] worked on with iRobot over two years ago,” though it declined to clarify the origins of or offer additional information on the other two images.)

iRobot says that sharing images in social media groups violates Scale’s agreements with it, and Scale says that contract workers sharing these images breached their own agreements.

“The underlying problem is that your face is like a password you can’t change. Once somebody has recorded the ‘signature’ of your face, they can use it forever to find you in photos or video.”

But such actions are nearly impossible to police on crowdsourcing platforms.

When I ask Kevin Guo, the CEO of Hive, a Scale competitor that also depends on contract workers, if he is aware of data labelers sharing content on social media, he is blunt. “These are distributed workers,” he says. “You have to assume that people … ask each other for help. The policy always says that you’re not supposed to, but it’s very hard to control.”

That means that it’s up to the service provider to decide whether or not to take on certain work. For Hive, Guo says, “we don’t think we have the right controls in place given our workforce” to effectively protect sensitive data. Hive does not work with any robot vacuum companies, he adds.

“It’s sort of surprising to me that [the images] got shared on a crowdsourcing platform,” says Olga Russakovsky, the principal investigator at Princeton University’s Visual AI Lab and a cofounder of the group AI4All. Keeping the labeling in house, where “folks are under strict NDAs” and “on company computers,” would keep the data far more secure, she points out.

In other words, relying on far-flung data annotators is simply not a secure way to protect data. “When you have data that you’ve gotten from customers, it would normally reside in a database with access protection,” says Pete Warden, a leading computer vision researcher and a PhD student at Stanford University. But with machine-learning training, customer data is all combined “in a big batch,” widening the “circle of people” who get access to it.
Screenshots shared with MIT Technology Review of data annotation in progress

For its part, iRobot says that it shares only a subset of training images with data annotation partners, flags any image with sensitive information, and notifies the company’s chief privacy officer if sensitive information is detected. Baussmann calls this situation “rare,” and adds that when it does happen, “the entire video log, including the image, is deleted from iRobot servers.”

The company specified, “When an image is discovered where a user is in a compromising position, including nudity, partial nudity, or sexual interaction, it is deleted—in addition to ALL other images from that log.” It did not clarify whether this flagging would be done automatically by algorithm or manually by a person, or why that did not happen in the case of the woman on the toilet.

iRobot policy, however, does not deem faces sensitive, even if the people are minors.

“In order to teach the robots to avoid humans and images of humans”—a feature that it has promoted to privacy-wary customers—the company “first needs to teach the robot what a human is,” Baussmann explained. “In this sense, it is necessary to first collect data of humans to train a model.” The implication is that faces must be part of that data.

But facial images may not actually be necessary for algorithms to detect humans, according to William Beksi, a computer science professor who runs the Robotic Vision Laboratory at the University of Texas at Arlington: human detector models can recognize people based “just [on] the outline (silhouette) of a human.”

“If you were a big company, and you were concerned about privacy, you could preprocess these images,” Beksi says. For example, you could blur human faces before they even leave the device and “before giving them to someone to annotate.”

“It does seem to be a bit sloppy,” he concludes, “especially to have minors recorded in the videos.”

In the case of the woman on the toilet, a data labeler made an effort to preserve her privacy, by placing a black circle over her face. But in no other images featuring people were identities obscured, either by the data labelers themselves, by Scale AI, or by iRobot. That includes the image of the young boy sprawled on the floor.

Baussmann explained that iRobot protected “the identity of these humans” by “decoupling all identifying information from the images … so if an image is acquired by a bad actor, they cannot map backwards to identify the person in the image.”

But capturing faces is inherently privacy-violating, argues Warden. “The underlying problem is that your face is like a password you can’t change,” he says. “Once somebody has recorded the ‘signature’ of your face, they can use it forever to find you in photos or video.”
AI labels over the illustrated faces of a family
MATTHIEU BOUREL

Additionally, “lawmakers and enforcers in privacy would view biometrics, including faces, as sensitive information,” says Jessica Rich, a privacy lawyer who served as director of the FTC’s Bureau of Consumer Protection between 2013 and 2017. This is especially the case if any minors are captured on camera, she adds: “Getting consent from the employee [or testers] isn’t the same as getting consent from the child. The employee doesn’t have the capacity to consent to data collection about other individuals—let alone the children that appear to be implicated.” Rich says she wasn’t referring to any specific company in these comments.

In the end, the real problem is arguably not that the data labelers shared the images on social media. Rather, it’s that this type of AI training set—specifically, one depicting faces—is far more common than most people understand, notes Milagros Miceli, a sociologist and computer scientist who has been interviewing distributed workers contracted by data annotation companies for years. Miceli was part of a research team that has spoken to multiple labelers who have seen similar images, taken from the same low vantage points and sometimes showing people in various stages of undress.

The data labelers found this work “really uncomfortable,” she adds.

Surprise: you may have agreed to this
Robot vacuum manufacturers themselves recognize the heightened privacy risks presented by on-device cameras. “When you’ve made the decision to invest in computer vision, you do have to be very careful with privacy and security,” says Jones, iRobot’s CTO. “You’re giving this benefit to the product and the consumer, but you also have to be treating privacy and security as a top-order priority.”

In fact, iRobot tells MIT Technology Review it has implemented many privacy- and security-protecting measures in its customer devices, including using encryption, regularly patching security vulnerabilities, limiting and monitoring internal employee access to information, and providing customers with detailed information on the data that it collects.

But there is a wide gap between the way companies talk about privacy and the way consumers understand it.

It’s easy, for instance, to conflate privacy with security, says Jen Caltrider, the lead researcher behind Mozilla’s “*Privacy Not Included” project, which reviews consumer devices for both privacy and security. Data security refers to a product’s physical and cyber security, or how vulnerable it is to a hack or intrusion, while data privacy is about transparency—knowing and being able to control the data that companies have, how it is used, why it is shared, whether and for how long it’s retained, and how much a company is collecting to start with.

Conflating the two is convenient, Caltrider adds, because “security has gotten better, while privacy has gotten way worse” since she began tracking products in 2017. “The devices and apps now collect so much more personal information,” she says.

Company representatives also sometimes use subtle differences, like the distinction between “sharing” data and selling it, that make how they handle privacy particularly hard for non-experts to parse. When a company says it will never sell your data, that doesn’t mean it won’t use it or share it with others for analysis.

These expansive definitions of data collection are often acceptable under companies’ vaguely worded privacy policies, virtually all of which contain some language permitting the use of data for the purposes of “improving products and services”—language that Rich calls so broad as to “permit basically anything.”

“Developers are not traditionally very good [at] security stuff.” Their attitude becomes “Try to get the functionality, and if the functionality is working, ship the product. And then the scandals come out.”

Indeed, MIT Technology Review reviewed 12 robot vacuum privacy policies, and all of them, including iRobot’s, contained similar language on “improving products and services.” Most of the companies to which MIT Technology Review reached out for comment did not respond to questions on whether “product improvement” would include machine-learning algorithms. But Roborock and iRobot say it would.

And because the United States lacks a comprehensive data privacy law—instead relying on a mishmash of state laws, most notably the California Consumer Privacy Act—these privacy policies are what shape companies’ legal responsibilities, says Brookman. “A lot of privacy policies will say, you know, we reserve the right to share your data with select partners or service providers,” he notes. That means consumers are likely agreeing to have their data shared with additional companies, whether they are familiar with them or not.

Brookman explains that the legal barriers companies must clear to collect data directly from consumers are fairly low. The FTC, or state attorneys general, may step in if there are either “unfair” or “deceptive” practices, he notes, but these are narrowly defined: unless a privacy policy specifically says “Hey, we’re not going to let contractors look at your data” and they share it anyway, Brookman says, companies are “probably okay on deception, which is the main way” for the FTC to “enforce privacy historically.” Proving that a practice is unfair, meanwhile, carries additional burdens—including proving harm. “The courts have never really ruled on it,” he adds.

Most companies’ privacy policies do not even mention the audiovisual data being captured, with a few exceptions. iRobot’s privacy policy notes that it collects audiovisual data only if an individual shares images via its mobile app. LG’s privacy policy for the camera- and AI-enabled Hom-Bot Turbo+ explains that its app collects audiovisual data, including “audio, electronic, visual, or similar information, such as profile photos, voice recordings, and video recordings.” And the privacy policy for Samsung’s Jet Bot AI+ Robot Vacuum with lidar and Powerbot R7070, both of which have cameras, will collect “information you store on your device, such as photos, contacts, text logs, touch interactions, settings, and calendar information” and “recordings of your voice when you use voice commands to control a Service or contact our Customer Service team.” Meanwhile, Roborock’s privacy policy makes no mention of audiovisual data, though company representatives tell MIT Technology Review that consumers in China have the option to share it.

iRobot cofounder Helen Greiner, who now runs a startup called Tertill that sells a garden-weeding robot, emphasizes that in collecting all this data, companies are not trying to violate their customers’ privacy. They’re just trying to build better products—or, in iRobot’s case, “make a better clean,” she says.

Still, even the best efforts of companies like iRobot clearly leave gaps in privacy protection. “It’s less like a maliciousness thing, but just incompetence,” says Giese, the IoT hacker. “Developers are not traditionally very good [at] security stuff.” Their attitude becomes “Try to get the functionality, and if the functionality is working, ship the product.”

“And then the scandals come out,” he adds.

Robot vacuums are just the beginning

The appetite for data will only increase in the years ahead. Vacuums are just a tiny subset of the connected devices that are proliferating across our lives, and the biggest names in robot vacuums—including iRobot, Samsung, Roborock, and Dyson—are vocal about ambitions much grander than automated floor cleaning. Robotics, including home robotics, has long been the real prize.

Consider how Mario Munich, then the senior vice president of technology at iRobot, explained the company’s goals back in 2018. In a presentation on the Roomba 980, the company’s first computer-vision vacuum, he showed images from the device’s vantage point—including one of a kitchen with a table, chairs, and stools—next to how they would be labeled and perceived by the robot’s algorithms. “The challenge is not with the vacuuming. The challenge is with the robot,” Munich explained. “We would like to know the environment so we can change the operation of the robot.”

This bigger mission is evident in what Scale’s data annotators were asked to label—not items on the floor that should be avoided (a feature that iRobot promotes), but items like “cabinet,” “kitchen countertop,” and “shelf,” which together help the Roomba J series device recognize the entire space in which it operates.

The companies making robot vacuums are already investing in other features and devices that will bring us closer to a robotics-enabled future. The latest Roombas can be voice controlled through Nest and Alexa, and they recognize over 80 different objects around the home. Meanwhile, Ecovacs’s Deebot X1 robot vacuum has integrated the company’s proprietary voice assistance, while Samsung is one of several companies developing “companion robots” to keep humans company. Miele, which sells the RX2 Scout Home Vision, has turned its focus toward other smart appliances, like its camera-enabled smart oven.

And if iRobot’s $1.7 billion acquisition by Amazon moves forward—pending approval by the FTC, which is considering the merger’s effect on competition in the smart-home marketplace—Roombas are likely to become even more integrated into Amazon’s vision for the always-on smart home of the future.

Perhaps unsurprisingly, public policy is starting to reflect the growing public concern with data privacy. From 2018 to 2022, there has been a marked increase in states considering and passing privacy protections, such as the California Consumer Privacy Act and the Illinois Biometric Information Privacy Act. At the federal level, the FTC is considering new rules to crack down on harmful commercial surveillance and lax data security practices—including those used in training data. In two cases, the FTC has taken action against the undisclosed use of customer data to train artificial intelligence, ultimately forcing the companies, Weight Watchers International and the photo app developer Everalbum, to delete both the data collected and the algorithms built from it.

Still, none of these piecemeal efforts address the growing data annotation market and its proliferation of companies based around the world or contracting with global gig workers, who operate with little oversight, often in countries with even fewer data protection laws.

When I spoke this summer to Greiner, she said that she personally was not worried about iRobot’s implications for privacy—though she understood why some people might feel differently. Ultimately, she framed privacy in terms of consumer choice: anyone with real concerns could simply not buy that device.

“Everybody needs to make their own privacy decisions,” she told me. “And I can tell you, overwhelmingly, people make the decision to have the features as long as they are delivered at a cost-effective price point.”

But not everyone agrees with this framework, in part because it is so challenging for consumers to make fully informed choices. Consent should be more than just “a piece of paper” to sign or a privacy policy to glance through, says Vitak, the University of Maryland information scientist.

True informed consent means “that the person fully understands the procedure, they fully understand the risks … how those risks will be mitigated, and … what their rights are,” she explains. But this rarely happens in a comprehensive way—especially when companies market adorable robot helpers promising clean floors at the click of a button.

Do you have more information about how companies collect data to train AI? Did you participate in data collection efforts by iRobot or other robot vacuum companies? We'd love to hear from you and will respect requests for anonymity. Please reach out at tips@technologyreview.com.

Additional research by Tammy Xu.

Correction: Electrolux is a Swedish company, not a Swiss company as originally written. Milagros Miceli was part of a research team that spoke to data labelers that had seen similar images from robot vacuums.

by Eileen Guo