Accueil > Prenez l’avion : Big Brother veille sur vous

Prenez l’avion : Big Brother veille sur vous

Publie le jeudi 15 juin 2006 par Open-Publishing
1 commentaire

Prenez l’avion : Big Brother veille sur vous

mardi 13 juin 2006

Il est difficile d’imaginer la quantité d’informations personnelles auxquelles on peut accéder à partir d’une simple carte d’accès à bord.

Cet article est une traduction adaptée d’un article publié le 3 mai 2006 dans le Guardian [1] où Steve Boggan décrit les risques inhérents au fichage des individus et à la multiplication des bases de données contenant des informations personnelles.

Voici l’histoire d’un morceau de papier récupéré, il y a un peu plus d’un mois, dans une poubelle de l’Heathrow Express, la navette entre Heathrow et la gare de Paddington, au milieu d’emballages de chewing-gum et d’étiquettes de bagages, sans doute jeté là par un voyageur fatigué.

Le voyageur s’appelait Mark Broer. Je le sais parce que ce bout de carton était le talon d’une carte d’accès à bord de British Airways - la partie du passe où sont inscrits votre nom et le numéro de votre siège. Un talon qu’on jette probablement sitôt après avoir débarqué.

Il révélait que Broer avait pris le vol BA 389 Bruxelles-Londres, place 03C, le 15 mars à 7h10. On y apprenait aussi que c’était un passager « Gold » et on y trouvait son numéro de client fidélisé. J’ai pris le talon et je l’ai empoché, me rappelant une conversation que j’avais eue avec un spécialiste de la sécurité informatique deux mois auparavant. Si ce spécialiste avait dit vrai, ce talon me permettrait d’avoir accès à certains renseignements confidentiels sur Broer (son numéro de passeport, sa date de naissance et sa nationalité). Et cela me suffirait pour m’approprier son identité, compromettre ses futurs projets de voyages - et même reproduire son passeport.

Il me servirait également à mettre en évidence la situation anarchique engendrée par la collecte, le stockage et la sécurisation des données confidentielles, à la suite de la volonté quasi-fanatique de l’Amérique d’accumuler des informations sur tous ceux qui se rendent aux Etats-Unis en avion. Cela me permettrait aussi de mettre en évidence ce à quoi nous pourrions être confrontés en 2008, quand les cartes d’identité seront institutionnalisées ici, en Grande-Bretagne.

L’histoire commence en 1996

Pour comprendre l’importance de la découverte de ce talon dans l’Heathrow Express, il faut remonter, non pas comme on pourrait le penser au 11 septembre 2001, mais à l’année 1996, après l’explosion du vol TWA 800 au large de Long Island, 12 minutes après le décollage de New York, au cours de laquelle 120 personnes ont trouvé la mort. Au début, les enquêteurs avaient pensé à une attaque terroriste. Cette hypothèse devait être écartée par la suite, mais, entre-temps, le gouvernement Clinton avait décidé de mettre à l’étude un système de sécurité permettant de se débarrasser d’éventuels terroristes avant qu’ils ne montent dans l’avion. Et c’est ainsi qu’est né le Capps [2].

Au départ, ce n’était qu’un projet banal et relativement peu ambitieux. Par exemple, pour simplifier à l’extrême, quelqu’un qui n’achèterait qu’un billet-aller, payé en espèces, et voyagerait sans bagage, serait classé comme terroriste potentiel.

Mais, à partir du 11 septembre 2001, la volonté de filtrer les voyageurs a pris une ampleur démesurée et le tout nouveau DHS (Département de la Sécurité du Territoire) a encouragé les sociétés informatiques à concevoir des logiciels « intelligents », capables de recouper les informations disponibles de façon à établir le profil de chaque passager aérien.

Un des pionniers dans ce domaine (qui souhaite garder l’anonymat) m’a expliqué qu’en 2003, le programme, appelé alors Capps II, avait été conçu pour classer les passagers en 3 catégories : rouge, vert ou orange.

* Vert pour ceux qui n’avaient pas de casier judiciaire (un citoyen américain, par exemple, avec un emploi stable, un lieu de résidence précis et client régulier des lignes aériennes).

* Orange pour quelqu’un dont les justificatifs seraient considérés comme insuffisants ; il serait alors était susceptible d’être arrêté par les services d’immigration américains pour justifier de son identité.

* Rouge pour ceux, toujours plus nombreux, qui pourraient figurer sur la liste de terroristes potentiels (ou pour quelqu’un dont le nom correspondrait à celui d’un suspect).

« Si vous êtes américain, si vous avez accepté de répondre à toutes sortes de questions qui prouvent que vous êtes bien celui que vous prétendez être, si vous avez un domicile fixe, si vous faites partie d’une collectivité et n’avez commis aucun délit, Capps II vous attribuera le label vert et vous pourrez monter directement dans l’avion », m’explique mon informateur. « Le problème, c’est quand on n’a pas beaucoup d’informations sur vous, ou si vous avez commandé un repas halal, ou si votre nom s’apparente à celui d’un terroriste connu, ou simplement si vous êtes étranger ; vous serez alors étiqueté orange et sans doute retenu pour répondre à des questions supplémentaires. Et si vous êtes européen et que le gouvernement manque de renseignements sur vous, vous pouvez vous attendre à être constamment retardé jusqu’à ce que vous acceptiez de les laisser fouiller dans votre vie privée. »

« Cela est déjà fort désagréable en soi, » poursuit-il, « mais en expérimentant le système, nous avons compris que ces renseignements seraient utilisés pour établir un profil ciblé grâce au recoupement de nombreuses données confidentielles (l’état de votre compte en banque, les voyages que vous avez effectués, votre casier judiciaire, si vous avez rencontré de près ou de très loin un terroriste quand vous étiez étudiant, etc.). Je me sentais de plus en plus mal à l’aise par rapport à tout cela ». Il a fini par abandonner ce programme.

Un autre spécialiste

Je repensais à tout cela en m’installant à côté d’Adam Laurie, un des fondateurs de la compagnie “The Bunker Secure Hosting”(l’hébergement Internet inviolable), pour étudier le talon de la carte d’embarquement de Broer.

Laurie est considéré dans le cercle des cybernautes comme une sorte de chevalier blanc, un surdoué de l’informatique qui non seulement conseille aux entreprises comment sécuriser leurs systèmes mais qui se préoccupe également de droits civils et de confidentialité. Lui et son frère Ben sont célèbres dans le monde de l’informatique pour avoir créé Apache SSL (le logiciel qui sécurise la majorité des pages Internet dans le monde entier) et pour l’avoir ensuite cédé gratuitement.

Après nous être connectés au site de British Airways, nous avons acheté un billet au nom de Broer et ensuite, en utilisant son numéro de client fidélisé inscrit sur sa carte d’accès, nous avons pu obtenir, sans mot de passe, tous les renseignements qu’il avait donnés, y compris le numéro de son passeport, ainsi que sa date d’expiration, sa nationalité (il est néerlandais et réside aux Etats-Unis) et sa date de naissance. Le système nous permettait même de modifier ces données.

En n’utilisant que des bases de données à accès public, nous avons réussi (en un quart d’heure) à savoir où vivait Broer, qui vivait avec lui, où il travaillait, quelles universités il avait fréquentées et même le prix de la maison qu’il avait achetée deux ans auparavant. Cela a été particulièrement facile car son nom est peu courant mais cela aurait également été possible s’il s’était appelé John Smith ; avec la date de naissance et le numéro du passeport, nous aurions su exactement de quel John Smith il s’agissait.

Laurie était fort mal à l’aise. « C’est affreux », dit il, « cela montre ce qui se passe quand les gouvernements se mettent à exiger de plus en plus de renseignements confidentiels et sous-traitent à des compagnies privées tant la collecte que les outils informatiques, y compris la sécurisation de ces données. Le nombre des personnes qui y ont accès augmente considérablement. Cela n’améliore pas la sécurité, bien au contraire ».

A la suite de plaintes aux Etats-Unis pour violations des libertés, le programme Capps II, qui avait déjà coûté un peu plus de 100 millions de dollars, a été abandonné en juillet 2004. Des compagnies aériennes comme JetBlue et American risquaient le boycott quand il s’est avéré qu’elles étaient poursuivies ainsi que TSA (Administration de la Sécurité des Transports) pour avoir communiqué des informations sur leurs passagers. Pire encore, JetBlue avait reconnu avoir transmis cinq millions de dossiers confidentiels (dont certains par Internet) à une agence privée. Mais les problèmes n’ont n’a pas disparu avec l’abandon de Capps II.

Nous sommes tous concernés

Au début du mois, après un an et demi d’âpres négociations, l’Union Européenne a cédé aux exigences des USA qui voulaient que les compagnies aériennes européennes transmettent au BCBP (Bureau des Douanes et de la Protection des Frontières américain) des informations sur leurs passagers en échange de l’autorisation d’atterrir aux Etats-Unis.

Le BCBP voulait que les agences de voyages recueillent jusqu’à 60 renseignements personnels sur leurs clients et les enregistrent dans un dossier appelé « Passenger Name Record » (PNR). Ces données comprenaient non seulement les renseignements sur le vol du passager, son nom, son adresse, etc. mais aussi son itinéraire, les lieux où il compte séjourner aux USA, avec qui il voyage, s’il a loué une voiture, s’il a réservé une chambre-fumeur à l’hôtel, et même s’il a commandé un repas kascher ou halal. De plus, les autorités américaines voulaient conserver ces dossiers pendant 50 ans.

A ces exigences, la Commission Européenne a d’abord répondu que la transmission de tels renseignements était une violation de la loi européenne sur la protection des données personnelles. Mais finalement, face à des menaces de sanctions financières lourdes et d’interdictions d’atterrir, l’Europe a accepté que 34 des rubriques du PNR soient transmises aux autorités américaines et conservées pendant trois ans et demi [3].

Un nouveau programme, le « Secure Flight » (vol sécurisé), a remplacé Capps II en août 2004. Ultérieurement, en octobre 2005, le BCBP a exigé des compagnies aériennes assurant des liaisons à destination, au départ ou à travers le territoire des Etats-Unis qu’elles transmettent au préalable les dossiers des passagers (comprenant, entre autres, le numéro du passeport et la date de naissance).

C’est ce programme, appelé Advance Passenger Information System (APIS), installé sur le site de British Airways qui nous a permis d’obtenir les renseignements que nous cherchions, Laurie et moi.

« Le problème dans ce cas précis, c’est qu’un organisme à but lucratif soit chargé de recueillir des renseignements au nom d’un gouvernement étranger, tâche dépourvue d’intérêt commercial, et pour laquelle il ne perçoit aucune rémunération », remarque Laurie. « Naturellement, dans un tel cas, ils cherchent à réduire leurs frais, ce qu’ils font en général en répercutant la hausse sur les clients eux-mêmes. Cela aura, de fait, pour autre conséquence de rejeter la responsabilité sur les passagers en cas d’erreur. »

« Prenons le cas d’un homme d’affaires qui serait soupçonné de terrorisme par suite d’une erreur d’entrée de ses données, et qui ne pourrait donc pas embarquer. Puisque la British Airways n’a pas entré les données elle-même (les clients fidélisés sont censés le faire eux-mêmes), elle ne sera pas tenue pour responsable et ne pourra pas être poursuivie pour le préjudice causé. »

Entre le moment où j’ai récupéré ce fameux talon et celui où je me suis rendu chez Laurie, celui-ci avait déjà envoyé un mail à BA pour signaler la faille dans leur système de sécurité. En l’absence de réponse, il a appelé la compagnie et demandé à parler au responsable de la sécurité. On lui a répondu qu’il n’y en avait pas, et il a donc expliqué le problème à son interlocuteur. Sa demande n’a pas été prise en compte et personne n’a cherché à le joindre par la suite.

Il y a trois mois, à la suite de nouvelles plaintes déposées aux Etats-Unis, Secure Flight a été suspendu. Il avait coûté 144 millions de dollars au contribuable. [...]

La TSA a alors annoncé la poursuite de son programme de présélection des passagers aériens sous une nouvelle forme, le renforcement de la sécurité et de la confidentialité, et la mise en place d’un système de correction d’erreurs (ce qui confirme les soupçons de ses détracteurs, à savoir que rien n’avait été prévu jusqu’alors dans ce domaine). Au grand désarroi des militants européens pour la défense du droit à la confidentialité, la TSA a également fait part de son intention de transmettre ces informations à divers services de l’administration américaine.

Encore un spécialiste

Le professeur Gus Hosein, de la London School of Economics, spécialiste de la question Confidentialité et terrorisme, s’inquiète des proportions que pourrait prendre ce programme : « Ils envisagent d’ajouter à leur banque de renseignements (l’APIS) l’itinéraire des passagers aériens et les endroits où ils vont séjourner en invoquant le principe de précaution », dit-il. « Par exemple, s’il y a une épidémie de grippe aviaire, ils veulent pouvoir retrouver tous les voyageurs étrangers. Les compagnies aériennes ont horreur de cela. C’est une conception cauchemardesque de la sécurité. « Bientôt les USA exigeront une identification biométrique (empreintes digitales, scan de l’iris, etc.) et ils feront circuler ces informations.

« Mais la faille du système de sécurisation de British Airways prouve bien que la collecte de données confidentielles ne peut pas être confiée à des compagnies privées car le nombre d’organismes qui en disposeront sera de plus en plus important, ce qui multipliera les risques de détournement des données et de leur utilisation par des escrocs ». [...]

« Le Ministère de l’Intérieur affirme que l’information contenue dans le nouveau passeport britannique est crypté, mais il s’agit d’un système plutôt sommaire », ajoute-t-il. « De l’avis général, les cartes d’identité ne seront pas plus sécurisées. Quand le gouvernement affirme qu’elles ne pourront pas être décryptées, lues ou imitées, il se ment à lui-même et aux autres ».

British Airways a maintenant résolu son problème de sécurisation depuis que nous l’avons contactée en mars dernier, mais cette faille spécifique est anecdotique à côté du reste. Du fait de la pression des Etats-Unis sur les compagnies aériennes, d’autres violations de la vie privée sont à craindre au fur et à mesure que nos données personnelles circuleront dans le monde entier, souvent sans notre accord ou à notre insu.

Le héros de l’histoire

Le mot de la fin revient à Mark Broer, l’homme dont le talon de la carte d’accès a déclenché ce jeu de piste virtuel. Il a 41 ans, il est cadre dans une entreprise de recrutement pour l’industrie pharmaceutique. Il a été effaré de tout ce que ce petit bout de carton nous a permis de faire.

« Je voyage souvent et comme je me rends aux Etats-Unis, j’ai donné des renseignements personnels ainsi que mon numéro de passeport - c’est exigé si vous êtes client fidélisé des lignes aériennes et si vous voulez vous enregistrer directement », explique-t-il.

« Ceux qui ont l’habitude de voyager savent qu’actuellement il doivent fournir des renseignements sur leur vie personnelle pour éviter des désagréments et pour combattre le terrorisme. On échange les données personnelles contre la liberté de se déplacer. Mais la possibilité de détournement de renseignements confidentiels ne faisait pas partie du contrat. »

[1] La traduction adaptée de l’article du Guardian ( http://www.guardian.co.uk/idcards/s... ) a été réalisée par Emcee et François.

[2] Capps : « Computer Assisted Passenger Pre-screening System », système informatisé de présélection des passagers aériens.

[3] Le 17 mai 2004, les autorités européennes ont signé un accord sur cette base avec les Etats-Unis, acceptant le transfert de données personnelles (itinéraire complet de leur déplacement, adresses dans les deux pays, adresse e-mail, numéro de leur carte de crédit, numéro de téléphone de contact, préférences alimentaires...) pour les passagers des vols avec les USA. Mais, saisie par le président du Parlement européen, la Cour de justice des communautés européennes à Luxembourg a condamné cet accord le 30 mai 2006, en s’appuyant sur le fait que la décision prise par la Commission ne relève pas du champ d’application de la directive sur laquelle elle a été fondée. [Source : Le Monde, daté du 31 mai 2006].

http://www.ldh-toulon.net/article.php3?id_article=1351

section de Toulon de la Ligue des droits de l’Homme

http://www.guardian.co.uk/airlines/story/0,,1766267,00.html

Messages

  • "Au début du mois, après un an et demi d’âpres négociations, l’Union Européenne a cédé aux exigences des USA qui voulaient que les compagnies aériennes européennes transmettent au BCBP (Bureau des Douanes et de la Protection des Frontières américain) des informations sur leurs passagers"
    Ceux qui croient en "une autre Europe" qui n’abolirait pas le Traité de Rome, Maastricht, etc...ont-ils bien noté ? IL FAUT DETRUIRE L’UE !