Le FBI veut un accès « quasi en temps réel » aux lecteurs de plaques d’immatriculation aux États-Unis

 (wired.com)
1 points par GN⁺ 3 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Le FBI cherche à payer plusieurs millions de dollars pour accéder aux données des lecteurs automatiques de plaques d’immatriculation installés au bord des routes dans l’ensemble des États-Unis, afin d’obtenir des informations sur les déplacements de véhicules en quasi temps réel
  • Les caméras ALPR photographient les véhicules de passage et versent dans une base de données interrogeable la plaque, la position, l’heure et la date ; les forces de l’ordre locales et fédérales y accèdent fréquemment
  • Alors que deux élus américains des deux partis ont présenté une première proposition de loi visant à empêcher à l’échelle nationale l’usage policier du suivi des plaques d’immatriculation, des documents d’achat du FBI indiquent un besoin d’accès aux données sur les grands axes routiers et dans divers lieux
  • Google a publié puis retiré une preuve de concept fonctionnelle pour une faille Chromium non corrigée, mais le code d’exploitation a déjà été recopié sur des sites miroirs, laissant un risque pour les utilisateurs de Chrome, Edge et d’autres navigateurs
  • Le durcissement de l’application du Take It Down Act, les avertissements de la FTC et des arrestations liées à des images d’abus sexuels deepfake renforcent la pression pour supprimer les images non consensuelles et surveiller les services de génération

Le projet du FBI d’accéder aux lecteurs de plaques à l’échelle nationale

  • The FBI Wants ‘Near Real-Time’ Access to License Plate Readers Across the US
  • La même semaine où des élus américains ont présenté une proposition visant à interdire l’usage national des lecteurs automatiques de plaques d’immatriculation, il est apparu que le FBI comptait acheter un accès à ces caméras et aux données sur les déplacements de véhicules en quasi temps réel
  • Des documents publics de passation de marché de la Directorate of Intelligence du FBI, révélés d’abord par 404 Media, indiquent que le FBI veut payer plusieurs millions de dollars pour accéder aux données ALPR collectées au bord des routes
  • Les caméras ALPR prennent des images des véhicules de passage et ajoutent la plaque, la position, l’heure et la date à une base de données interrogeable, à laquelle accèdent souvent les forces de l’ordre locales ainsi que certaines agences fédérales
  • Le cahier des charges indique : « FBI has a crucial need for accessible LPRs to provide a diverse and reliable range of collections across the United States »
  • Le même document ajoute : « This data should be available across major highways and in an array of locations for maximum usefulness to law enforcement »
  • Un document supplémentaire précise que l’accès aux données doit être fourni en « near real time »

Publication par Google d’un exploit pour une faille Chromium non corrigée

  • Google Publishes Live Exploit Code for Unpatched Chromium Flaw
  • Google a publié un code de preuve de concept fonctionnel pour une vulnérabilité encore non corrigée dans Chromium, la base de code open source sur laquelle reposent Chrome, Microsoft Edge, Brave, Opera, Vivaldi et Arc
  • Selon Ars Technica, cette faille a été signalée pour la première fois à Google il y a 42 mois par la chercheuse indépendante Lyra Rebane
  • Rebane pensait qu’un message publié mercredi sur le bug tracker du projet signifiait qu’un correctif avait été déployé, mais aucun patch n’avait en réalité été diffusé
  • Google a retiré le contenu publié après la découverte de l’erreur, mais le code d’exploitation avait déjà été recopié sur des sites d’archives
  • La vulnérabilité abuse de la Browser Fetch API, utilisée pour gérer de gros téléchargements en arrière-plan, ce qui permet à n’importe quel site web visité par l’utilisateur de lancer sur l’appareil un service worker persistant
  • La connexion ainsi créée peut servir à surveiller l’activité de navigation, à faire transiter du trafic via l’appareil de la victime ou à l’intégrer à un réseau DDoS fondé sur des proxys
  • Cette connexion persiste après le redémarrage du navigateur et, dans certains cas, même après le redémarrage de l’appareil
  • Sur Edge, les signes visibles sont quasi inexistants, tandis que les utilisateurs de Chrome peuvent voir apparaître un menu déroulant de téléchargement inexpliqué
  • Dans le fil de divulgation initial, des ingénieurs de Google ont qualifié ce bug de problème grave et lui ont attribué plusieurs niveaux de sévérité high dans leur système interne de classification
  • Firefox et Safari ne sont pas affectés, car ils n’implémentent pas la fonctionnalité concernée
  • Google a indiqué travailler sur un correctif, et les utilisateurs devraient considérer avec méfiance toute fenêtre de téléchargement non sollicitée

Répression des images d’abus sexuels deepfake et Take It Down Act

  • Feds Arrest Men Allegedly Behind Deepfake Sexual Abuse Watched Millions of Times
  • Récemment, le Royaume-Uni et l’UE ont annoncé leur intention d’interdire les nudifying websites, ces sites qui fabriquent avec l’IA de fausses images de nudité de femmes et de filles
  • Depuis le 19 mai, avec le renforcement de l’application du Take It Down Act, la pression augmente aussi aux États-Unis pour exiger la suppression d’images privées non consensuelles et renforcer la surveillance des services concernés
  • Cette semaine, la FTC a envoyé des lettres à 12 entreprises proposant des services de nudifying, avertissant qu’elles pourraient être en violation de la loi
  • Les lettres de la FTC précisent que les victimes doivent disposer d’une procédure leur permettant de demander la suppression d’images privées non consensuelles
  • Cette mesure ne limite pas directement le contenu des services, mais elle renforce la surveillance des sites nuisibles
  • Le ministère de la Justice a arrêté deux hommes accusés d’avoir partagé des « milliers » de photos et vidéos générées par IA montrant de vraies femmes nues ou semblant impliquées dans des actes sexuels
  • Cornelius Shannon (51 ans) et Arturo Hernandez (20 ans) sont accusés d’avoir mis en ligne ces contenus générés par IA sur des sites pornographiques et des plateformes de partage vidéo
  • Les procureurs indiquent que ces images et vidéos ont été vues des millions de fois et visaient non seulement des célébrités et des responsables politiques, mais aussi des femmes que les accusés connaissaient personnellement
  • Ces arrestations interviennent après la première condamnation d’un homme dans l’Ohio le mois dernier en vertu du Take It Down Act

À lire aussi

1 commentaires

 
GN⁺ 3 시간 전
Réactions sur Hacker News

  • La SCOTUS a déjà jugé que le suivi prolongé des déplacements d’une personne sans mandat constitue une violation du quatrième amendement
    https://en.wikipedia.org/wiki/Carpenter_v._United_States

    • Tant que la SCOTUS n’aura pas jugé la construction parallèle (parallel construction) elle-même inconstitutionnelle, le FBI pourra surveiller tout le monde, monter des dossiers à partir de données illégales, puis prétendre qu’elles ont été obtenues par un autre moyen
      https://en.wikipedia.org/wiki/Parallel_construction
    • Malheureusement, dire aujourd’hui que la SCOTUS a déjà déclaré cela inconstitutionnel n’a plus le caractère définitif que cela avait autrefois
    • Les tribunaux ont seulement jugé que les gens ont une attente raisonnable de vie privée concernant les données de téléphone portable
      Généraliser cette jurisprudence mène à des conclusions étranges et difficiles à appliquer. Aux États-Unis, il n’existe pas vraiment de droit établi à se déplacer sans être observé, et le simple fait qu’il faille afficher sur sa voiture ou sa moto un dispositif de suivi clairement visible, à savoir une plaque d’immatriculation, le montre bien
    • La SCOTUS actuelle s’en souciera probablement peu
      Le fascisme approche, et nous ressemblons à des grenouilles dans une eau qui chauffe lentement
    • Pourquoi s’en soucierait-elle

  • Il faudrait créer un système open source de reconnaissance automatique des plaques d’immatriculation qui donne en temps réel la position des véhicules des forces de l’ordre
    Ce serait encore mieux si cela incluait les voitures que les policiers utilisent pour aller au travail, et cela aurait aussi pu aider à repérer les infractions aux plaques commises par les agents de l’ICE en Californie. On pourrait l’appeler « CopAware »

    • Justement, après son enquête sur les caméras Flock, Benn Jordan a rétroconçu un dispositif ALPR non-Flock et construit son propre système avec des composants du commerce, une tablette et une imprimante 3D
      C’était surtout expérimental, mais aussi parce que l’algorithme de détection d’images de Flock est étonnamment mauvais et lit souvent mal les plaques. Il existe aussi quelques modèles open source pour la détection de plaques, et même si je ne me souviens plus exactement lequel était le meilleur, c’était une excellente vidéo pour comprendre à quel point les systèmes commerciaux sont inefficaces et faciles à contourner : https://www.youtube.com/watch?v=Pp9MwZkHiMQ
    • Tout le monde a probablement un ou deux vieux téléphones Android inutilisés dans un tiroir, donc il suffirait peut-être de les poser près d’une fenêtre et de les connecter à un service public partagé
      Cela dit, si le système est public et partagé, Flock pourrait simplement se connecter à l’API publique et ajouter une nouvelle catégorie « Public cameras » à ses propres données. Toutes les données que nous fournissons via un système public sont aussi fournies à des acteurs malveillants
    • Il faut le faire. Et il ne serait pas nécessaire de se limiter aux véhicules liés aux forces de l’ordre, ni à ceux des responsables publics qui donnent des ordres à la police et font les lois, ni à ceux des juges qui les appliquent
      Mieux vaudrait enregistrer indistinctement tous les véhicules et publier les données brutes. La raison est simple. On peut répartir les rôles, et cette séparation des rôles améliore la sécurité opérationnelle. Pour l’instant, quatre rôles semblent appropriés : les opérateurs de caméras sont les plus exposés au danger direct, car ils peuvent être reliés à un domicile ou à un bâtiment réel, mais c’est aussi le rôle qui nécessite le plus de participants, et le fait d’enregistrer tout le monde leur donne une forme de dénégation plausible. Les responsables du traitement des données jouent un rôle backend, collectant et triant les plaques, les horaires et les lieux ; c’est moins risqué et cela peut se faire depuis n’importe où dans le monde. Les créateurs de filtres sont plus exposés, car ils suivent quelles plaques sont liées à quels responsables publics, même s’ils peuvent dire que beaucoup d’organisations établissent ce genre de listes. Les cartographes reçoivent les données et les filtres réunis par d’autres et les affichent sur une carte publique ; structurellement, ce n’est pas le rôle le plus crucial, mais c’est le plus visible et donc le plus susceptible d’attirer l’attention des médias

  • Parmi les candidats aux élections locales américaines cette année, beaucoup disent vouloir s’opposer au gouvernement fédéral
    On peut penser qu’un maire ou un sénateur d’État ne peut pas faire grand-chose, mais supprimer la surveillance passive locale peut en réalité avoir un impact majeur. J’aimerais voir davantage de candidats promettre d’interdire les caméras de feu rouge, les caméras de plaques et les autres outils de surveillance passive. Si les données ne sont pas collectées au départ, elles ne peuvent pas être détournées

    • Dire qu’un maire ou un sénateur d’État ne peut pas faire grand-chose n’est pas vrai
      D’abord, résister exige un effort équivalent. Si 10 000 villes deviennent non coopératives à cause de 10 000 maires, il faut une force politique immense pour briser cette résistance. Un maire peut retarder ou annuler des contrats avec des entreprises non coopératives ou malveillantes, et ralentir les autorisations. Si cette administration et les partisans du pouvoir de surveillance visent les élections locales, les conseils scolaires et les postes de shérif, c’est précisément parce qu’ils le savent. Ensuite, un sénateur d’État est bien plus puissant qu’on ne le pense. Ils sont souvent beaucoup moins nombreux que les membres de la Chambre ou du Sénat fédéral, donc chaque vote individuel compte davantage, et quand cela se combine avec la majorité et les commissions, cela peut peser lourd sur la politique de l’État. Enfin, les ressources se concentrent et les partis se coordonnent, donc priver la source du financement de son influence est essentiel pour repousser les partis antidémocratiques. Il ne faut pas croire aveuglément les textes politiques qu’on lit en ligne. Beaucoup sont adaptés à une consommation moderne et superficielle. Les petites élections comptent. On peut vraiment faire une grande différence en s’impliquant directement, et il n’est même pas nécessaire d’en faire des tonnes pendant la campagne. Il suffit de se présenter, de rester normal, de gagner, puis de laisser les votes parler
    • C’est peut-être cynique, mais le système bipartisan semble avoir déjà décidé qu’il voulait un État de surveillance total
      Après avoir presque entièrement couvert l’espace cybernétique intérieur observable, la cible suivante semble être la couche physique. Quiconque s’y oppose est présenté comme un sympathisant des terroristes ou comme quelqu’un ayant des intentions criminelles. Au final, tout serait fait pour la sécurité de la patrie
    • C’est aussi pour cela que des infrastructures dépendantes de la voiture sont mauvaises pour la liberté des Américains
      On a davantage de droits civiques comme piéton que lorsqu’on se trouve dans une voiture nécessitant un permis
    • Je ne suis pas d’accord avec l’interdiction des caméras de feu rouge et des caméras de plaques
      On est devenu beaucoup trop indulgent envers la criminalité liée aux véhicules, qui est souvent liée à d’autres délits. J’aimerais voir bien plus de contrôle automatisé pour la vitesse, les feux rouges, la circulation sur la bande d’arrêt d’urgence, l’absence ou la falsification des plaques, les infractions sonores et les infractions aux émissions

  • Cet article ressemble davantage à du blogspam sur un sujet qui a déjà largement fait la une
    https://news.ycombinator.com/item?id=48184350

    • L’article de 404 Media est derrière un paywall, mais la soumission Wired ne l’est pas
      J’hésiterais un peu à qualifier Wired de blogspam

  • C’est une réflexion personnelle, donc à prendre avec prudence, mais la technologie permet de nouveaux comportements et de nouvelles possibilités que nous ne pouvons pas toujours anticiper
    Nous allons vivre dans un monde presque totalement transparent. Les conversations quotidiennes, la voix, le texte et la vidéo auront probablement vocation à être enregistrés un jour par quelqu’un ; la manière dont un manager traite ses employés, dont une infirmière parle à ses patients, dont un caissier parle à ses clients, ou dont des parents parlent à leurs enfants, tout cela pourra être enregistré. Et cela pourrait même être une bonne chose. On peut imaginer un manager recevant un retour en temps réel sur sa façon d’accompagner son équipe, ou moi recevant des conseils pour éviter de me disputer avec mon conjoint. La tâche est simple. Si nous perdons tous nos secrets, alors la vie privée dépendra de la politesse de nos voisins. Il faudra des lois fortes, bien sûr, mais aussi un changement social qui rende aussi socialement inacceptable le fait d’afficher des publicités fondées sur des comportements observables que de déféquer devant la porte de quelqu’un, d’y verser de l’essence et d’y mettre le feu. On peut malgré tout imaginer un monde où la vie privée reste protégée, où les épidémiologistes résolvent des problèmes difficiles, où les humains se développent mieux et où la société devient plus communautaire et plus résiliente. La technologie est neutre, et les sociétés ou États qui l’adopteront auront probablement plus de chances d’obtenir le coup d’accélérateur que les gens attendent de l’IA

    • Dire que la technologie est neutre est insuffisant
      Les personnes qui la créent, la financent, la contrôlent, la développent, la déploient et l’utilisent ne sont pas neutres, et il est difficile de séparer la technologie de ces personnes. En ce sens, dire que la technologie est neutre relève seulement de la rhétorique, et dans tous les aspects qui comptent vraiment, la technologie n’est pas neutre
    • L’idée qu’un manager reçoive un retour en temps réel sur sa manière d’encadrer, ou que je sois guidé pour ne pas me disputer avec ma femme, me semble dystopique
      Soit je recevrais un retour généré par une machine non vérifié, qui pourrait être complètement à côté de la plaque ; soit quelqu’un l’aurait vérifié, ce qui voudrait dire que toute ma vie serait évaluée par des inconnus. J’imagine la scène où mon épouse me trompe, je hausse la voix, et je reçois ensuite une alerte disant que mon comportement a dépassé les bornes. Malgré l’intention positive, cela sonne d’une manière terriblement proche de la formule « vous ne posséderez rien et vous serez heureux »
    • David Brin a proposé en 1996 le débat sur la société transparente, mais il est juste de dire que l’épreuve des faits a échoué
      La surveillance par en bas (sousveillance) qu’il évoquait est possible, mais à chaque étape, les élites au pouvoir des États libéraux et illibéraux, et plus récemment de pays autrefois libéraux, ont bloqué de telles mesures. La technologie n’est généralement pas neutre ; elle ressemble davantage à un amplificateur de pouvoir
      <https://en.wikipedia.org/wiki/The_Transparent_Society>
      <https://www.wired.com/wired/archive/4.12/fftransparent.html>
      <https://www.schneier.com/essays/archives/2008/03/the_myth_of...>
    • Dire que la technologie est neutre, c’est à peu près le niveau de sagesse de quelqu’un jugé aux États-Unis dans les années 1990 pour trafic de cannabis et disant au juge : « ce n’est qu’une plante »
      C’est peut-être vrai, mais cela n’a rien à voir avec la raison pour laquelle nous en sommes là. La « technologie » exige toute une machine grotesque faite d’argent et de monstres, et ils sont rarement neutres. Si l’on croit vraiment que la technologie est neutre, alors il faudrait demander que tous ces dispositifs soient fortement réglementés, exploités et détenus publiquement, et universellement accessibles, au lieu de les cacher derrière l’une des agences les plus secrètes des États-Unis et de les laisser tirés par la laisse des oligarques. Sinon, soit on est soi-même l’un de ces oligarques, soit on a été endoctriné par eux
    • Même dans une discussion sur les abus de pouvoir d’un État policier et les atteintes anticonstitutionnelles à la vie privée, on finit toujours par glisser vers l’idée que « le vrai sujet important, c’est à quel point Google est nul »

  • Je me demande si ce n’est pas une solution de secours pour le système qui lit les RFID dans les pneus
    Je pensais que cela existait déjà depuis longtemps

  • Les plaques d’immatriculation sont-elles une exigence fédérale, ou une exigence des États ?

  • En regardant distraitement des séries américaines comme CSI pendant les vingt dernières années, j’étais convaincu que ce genre de système existait déjà depuis longtemps
    Donc cela veut dire qu’on ne peut pas obtenir un reflet parfait à partir d’une vis légèrement rouillée ?

    • Si ce n’est pas déjà intégré au système de renseignement américain, j’en serais franchement surpris
      C’est peut-être simplement peu utilisé dans les affaires intérieures visant des citoyens américains, ou bien cela a nécessité une construction parallèle pour justifier comment on a appris des choses qu’on n’était pas censé connaître. Cette affaire pourrait être une manière de légaliser cela, ou d’intégrer quelques nouvelles sources de données

  • Le FBI est une bonne métaphore des options politiques dont disposent les Américains entre les démocrates et les républicains
    C’est entièrement non idéologique ; au final, il s’agit de pouvoir et de contrôle du peuple. Il faut d’une manière ou d’une autre reprendre nos droits

  • Il me semblait que mon service de police local possédait les données Flock et que Flock ne les possédait pas et ne pouvait pas les partager ; qu’en était-il au juste ?
    Est-ce qu’on nous a menti pour encore agrandir l’État de surveillance ?

    • La propriété des données peut n’avoir presque aucun rapport avec le contrôle, selon les autres droits auxquels on a renoncé
      Le contrat de Flock peut très bien dire que vous êtes propriétaire des données, puis, à la phrase suivante, vous faire céder à Flock la plupart ou la totalité du contrôle sur ces données. Les données restent alors « à vous » en apparence
    • Oui
      https://youtu.be/uB0gr7Fh6lY?is=7osD4zLTz9wJ1hJc
      https://youtu.be/vU1-uiUlHTo?is=zmma8mce5k3nyflw