L'histoire ne dit pas si c'est ces logiciels que le gouvermement français a retenu pour "surveiller sa réputation sur internet", car 3 millions d'€uros, c'est précisément le prix de cette suite logicielle.
Pour le reste, la technologie, n'est ni "mauvaise" ni "bonne", c'est l'usage que l'on en fait qui est déterminant, comme pour la science.
Et ces algorithmes comme ceux de Palantir, etc., ont bien été développés par des humains, qui profite du vide juridique pour amasser des millions de dollars, en devançant les souhaits (pas très éthiques) des gouvernements.
A votre avis qu'est-ce qui arrivera, quand la prochaine génération de ces logiciels seront 'codés' par des IA qui auront encore moins de retenues et d'éthique ?
C'est comme pour tout il faut légiféré, et encore et terme de DATA, la guerre se joue entre les États-Unis et l'Europe.... Chacun ayant ses propres règles...
Et pour l'instant le droit européen et français n'est pas respecté.
Alors commençons déjà par là.... Faites respecter la loi....
Et si nécessaire faites de nouvelles lois ! Il n'est pas normal que des groupes comme Amazon rendent public nos données où les vendent à des tiers.
Si ces gens veulent nous vendrent des biens ou des services, qu'ils respectent la législation française.
Rappel : Un logiciel qui scanne les réseaux sociaux expérimenté par l'Intérieur (RTL.fr)
Amitiés,
f.
Par Michael Kwet
Un contrat de la police de l'État du Michigan, obtenu par The Intercept, jette un nouvel éclairage sur l'utilisation croissante d'un logiciel de surveillance peu connu qui aide les organismes d'application de la loi et les entreprises à surveiller les activités des gens sur les médias sociaux et autres sites Web.
Le logiciel, proposé par une société du Wyoming appelée ShadowDragon, permet à la police d'aspirer des données provenant des médias sociaux et d'autres sources Internet, notamment Amazon, les applications de rencontre et le dark web, afin d'identifier des personnes d'intérêt et de cartographier leurs réseaux au cours des enquêtes. En proposant des recherches puissantes sur plus de 120 plateformes en ligne différentes et sur une décennie d'archives, l'entreprise affirme pouvoir accélérer le travail de profilage en le faisant passer de plusieurs mois à quelques minutes. ShadowDragon affirme même que son logiciel peut ajuster automatiquement sa surveillance et aider à prédire la violence et les troubles. La police du Michigan a acquis le logiciel dans le cadre d'un contrat avec une autre obscure société de police en ligne appelée Kaseware pour un "MSP Enterprise Criminal Intelligence System".
Le fonctionnement interne du produit n'est généralement pas connu du public. Le contrat, ainsi que les documents publiés par les sociétés en ligne, permettent une explication plus approfondie du fonctionnement de cette surveillance, fournie ci-dessous.
ShadowDragon a gardé un profil bas mais a des clients dans les forces de l'ordre bien au-delà du Michigan. Il a été acheté deux fois par l'agence américaine de l'immigration et des douanes au cours des deux dernières années, selon des documents, et aurait été acquis par la police d'État du Massachusetts et d'autres services de police de cet État.
Les autorités du Michigan semblent vouloir cacher au public leur contrat et les identités de ShadowDragon et de Microsoft. Le site Michigan.gov ne met pas le contrat à disposition ; il propose plutôt une adresse électronique à laquelle demander le document "en raison de la nature sensible de ce contrat". Et le contrat qu'il finit par fournir a été fortement expurgé : La copie remise à David Goldberg, professeur à la Wayne State University de Détroit, a été expurgée de toute mention du logiciel ShadowDragon et de Microsoft Azure. De plus, M. Goldberg a dû déposer une demande en vertu de la loi sur la liberté d'information pour obtenir le contrat. Lorsque le site Web de l'État a proposé le contrat, il n'était pas censuré, et je l'ai téléchargé avant qu'il ne soit retiré.
L'année dernière, The Intercept a publié plusieurs articles détaillant comment une société d'analyse des médias sociaux appelée Dataminr a relayé à la police des tweets concernant les manifestations de George Floyd et de Black Lives Matter. La même année, j'ai expliqué en détail à The Intercept comment Microsoft, partenaire de Kaseware, aide la police à surveiller et à patrouiller dans les communautés par le biais de ses propres offres et d'un réseau de partenariats.
Cette nouvelle révélation sur le contrat du Michigan soulève des questions sur les capacités de surveillance numérique que d'autres services de police et organismes d'application de la loi aux États-Unis pourraient acquérir discrètement. Elle survient à un moment où la surveillance des médias sociaux par le gouvernement, déjà connue, est critiquée par des défenseurs des droits et libertés civils comme MediaJustice et l'American Civil Liberties Union. Elle soulève également le spectre de nouveaux abus dans le Michigan, où le FBI a établi le profil des communautés musulmanes et des soi-disant extrémistes de l'identité noire. En 2015, il a été révélé que pendant des années, l'agence de police de l'État utilisait des simulateurs de sites cellulaires pour espionner les téléphones portables sans le divulguer au public.
"Les technologies de surveillance des médias sociaux, telles que le logiciel acquis par la police de l'État du Michigan, sont souvent introduites sous la fausse prémisse qu'elles sont des outils de sécurité publique et de responsabilisation. En réalité, elles mettent en danger les communautés noires et marginalisées", a écrit dans un courriel Arisha Hatch, vice-présidente et responsable des campagnes de l'association de défense des droits civiques Color of Change.
Shanon Banner, porte-parole de la police de l'État du Michigan, a déclaré dans un courriel que "les outils d'investigation dont nous disposons dans le cadre de ce contrat ne sont utilisés que dans le cadre d'enquêtes criminelles, conformément à toutes les lois de l'État et fédérales". Le fondateur de ShadowDragon, Daniel Clemens, a écrit que l'entreprise ne fournit que des informations accessibles au public et ne "construit pas de produits avec des capacités prédictives".
Une industrie de l'ombre
Kaseware et ShadowDragon font partie d'une industrie de l'ombre composée de sociétés de logiciels qui exploitent ce qu'elles appellent le "renseignement de source ouverte", ou OSINT : les traces d'informations que les gens laissent sur Internet. Parmi leurs clients figurent des agences de renseignement, des gouvernements, des services de police, des entreprises et même des écoles.
Kaseware, qui est en partenariat avec ShadowDragon et Microsoft, fournit une plate-forme pour les activités qui soutiennent l'OSINT et d'autres éléments de la police numérique, comme le stockage, la gestion et l'analyse des données. Ses capacités vont du stockage des preuves à la police prédictive. En revanche, les deux produits ShadowDragon acquis par la police d'État du Michigan sont plus étroitement adaptés à la surveillance des personnes utilisant les médias sociaux, les applications et les sites Web sur Internet. Ils fonctionnent sur la plateforme Kaseware.
Pour comprendre comment Kaseware et ShadowDragon fonctionnent ensemble, examinons chacun d'eux à tour de rôle, en commençant par ShadowDragon.
ShadowDragon : Surveillance des médias sociaux
La police d'État du Michigan a acheté deux des outils de renseignement OSINT de ShadowDragon pour les faire fonctionner sur la plateforme Kaseware : SocialNet et OIMonitor.
SocialNet a été inventé par la société de conseil en cybersécurité Packet Ninjas en 2009. Clemens, fondateur et PDG de Packet Ninja, a ensuite créé ShadowDragon en tant que société sœur en 2016, en concédant sous licence les outils de cyberintelligence et d'investigation développés par Packet Ninjas au cours de la décennie précédente.
À l'époque de la création de SocialNet, les enquêteurs devaient rechercher manuellement des indices sur les réseaux de médias sociaux. Si une personne publiait un message sur Twitter ou Facebook, par exemple, l'enquêteur était libre de regarder en ligne, mais il devait se connecter personnellement et rechercher un réseau social à la fois, message par message, pour trouver des personnes susceptibles d'être des suspects, ainsi que leurs amis et autres associés.
Sensibilisé à ce problème par un ami de Paterva, société basée à Pretoria, en Afrique du Sud, qui fabrique la plate-forme OSINT Maltego, Clemens a décidé de créer SocialNet. Comme il l'a déclaré lors d'une interview, "l'idée [derrière SocialNet] était de jeter un filet sur toutes les plateformes de médias sociaux, l'univers des médias sociaux, et de voir ce que nous obtenons en retour". Clemens a affirmé dans une vidéo de l'entreprise que "lorsque le FBI a commencé à utiliser [SocialNet], il a fait une évaluation" et a conclu que "ce qui nous prenait deux mois dans une vérification des antécédents ou une enquête prend maintenant entre cinq et 15 minutes".
Aujourd'hui, SocialNet dit tirer des données de plus de 120 réseaux, sites Web et plateformes de médias sociaux, ainsi que du dark web, de décharges de données et de flux RSS. La liste complète des sources n'est pas disponible, mais une vidéo promotionnelle de l'entreprise et une liste sur le site Web de Maltego donnent une indication des sites Web qui tombent dans leur filet de surveillance :
AOL Lifestream | Amazon | Ameba | Aodle | BabyCenter | BitChute | BlackPlanet | Blogger | Busted ! Mugshots | Buzznet | Cocolog | Companies House | Crunchbase | Dailymotion | DeviantArt | Ebay | Etsy | Facebook | Flickr | Foursquare | Gab | GitHub | Goo | Google | Google+ | Gravatar | Hatena | Huffington Post | ICQ | IMVU | ImageShack | Imgur | Instagram | Instructables | Jugem | Kik |LinkedIn | LiveJournal | Livedoor | Mail. ru | Menuism | MeWe | MySpace | Naijapals | Netlog | OK Cupid | Okru | Olipro Company | Pandora | Pastebin | PayPal | PGP | Photobucket | Pinterest | Plurk | POF | PornHub | QQ | Reddit | ReverbNation | Seesaa | Skype | SoundCloud | SourceForex Skype | SoundCloud | SourceForge | Spotify | Sprashivai | Steam | Sudani | Telegram | Tinder | TripAdvisor | Tumblr | Uplike | Vimeo | Vine | Virus Total | VK | Voat | Weibo | Xing | Yahoo | Yelp | YouTube | Zillow
La vidéo montre également les adresses IP "publiques et locales" comme source de données pour SocialNet.
SocialNet recherche les informations qui sont publiquement disponibles sur ces sites Web et les extrait lorsqu'il y a une correspondance. Mais il est difficile de savoir avec précision quelles sont les données qu'il extrait. Dans la vidéo promotionnelle, certaines catégories d'informations apparaissent, comme les utilisateurs de BlackPlanet, les photos d'identité judiciaire de Busted !, les résultats de recherche de Bing, les commentaires, les produits, les utilisateurs et les listes de souhaits d'Amazon, etc. M. Clemens a expliqué que la société dispose de "robots d'exploration qui récupèrent des informations sur les sites Web publics. Rien de propriétaire ou de privé ne nous est fourni par les entreprises de la plateforme."
Sur son site Web, ShadowDragon affirme également effectuer la "surveillance des protocoles de chat (WhatsApp, Telegram, etc.)", ainsi que la "surveillance des protocoles de dialogue (IRC, etc.)". Pour ces services, on ne sait pas non plus exactement quels types d'informations peuvent être extraits ni comment cela se fait. Clemens a déclaré qu'ils n'interceptent aucune discussion privée, et qu'ils peuvent confirmer si un numéro de téléphone spécifique a un compte WhatsApp si les paramètres de confidentialité de l'utilisateur le permettent.
Dans un billet de blog de mars 2019, Clemens a fait référence à une "intégration dans la surveillance de Telegram", qui, avec WhatsApp, était devenue "une solution de choix en cas de perturbations." Il a également affirmé avoir ajouté "quelques capacités OSINT intéressantes dans notre plateforme SocialNet pour des protocoles de communication plus endurcis et cryptés/sécurisés." (Veuillez nous contacter à ce sujet)". Bien que Telegram ait déclaré que ses messages instantanés sont "fortement cryptés", il offre également des groupes et des canaux largement disponibles.
Clemens a déclaré que l'entreprise est en mesure de surveiller les plateformes de discussion comme Telegram grâce à des sources d'information publiques, qui révèlent, par exemple, "si vous répondez à un fil public de Twitter ou à un groupe public de Telegram." Il a ajouté : "Nous n'éludons aucune mise en œuvre du chiffrement parce que nous ne sommes pas intéressés par l'affaiblissement de la sécurité technique d'autres plateformes." Clemens a refusé de donner des précisions sur les "capacités" de SocialNet "pour des protocoles de communication plus renforcés et cryptés/sécurisés".
En fait, ShadowDragon semble tendre vers une connaissance totale de l'information. Dans une interview sur les enquêtes, Clemens a déclaré : " Je veux tout savoir sur le suspect : Où est-ce qu'il prend son café, où est-ce qu'il prend son essence, où est sa facture d'électricité, qui est sa mère, qui est son père ?"
Le fonctionnement interne précis de SocialNet est interdit au public, car il s'agit d'un logiciel coûteux dont la vente est laissée à la discrétion de l'entreprise. Néanmoins, certaines ressources en ligne donnent une indication de son fonctionnement.
Grâce à son réseau de surveillance sur Internet, SocialNet peut être utilisé pour mener des enquêtes sur des personnes et des réseaux d'intérêt, selon les documents marketing accessibles au public. Les enquêteurs peuvent lancer des recherches sur des noms, des adresses électroniques, des numéros de téléphone, des pseudonymes ou d'autres informations pour commencer à identifier des personnes d'intérêt, déterminer leur emplacement physique, vérifier leur "style de vie" et analyser leurs réseaux plus larges (comme les amis et les amis des amis).
Le matériel montre également comment SocialNet organise l'information pour l'analyste, en cartographiant visuellement les graphiques des réseaux sociaux et en suggérant des liens entre les personnes d'intérêt et leurs réseaux. Des chronologies peuvent être créées pour aider à trier les preuves et à rassembler les indices dans une image plus large de ce que l'enquêteur essaie de découvrir. Les lieux physiques peuvent être découverts ou déduits.
Un tutoriel en ligne datant de 2011 montre un enquêteur utilisant SocialNet pour traquer des cibles potentielles en croisant le nom de domaine de leur entreprise avec leur adresse électronique, puis en trouvant un ami que deux cibles pourraient avoir en commun. La démonstration suggère que l'enquêteur pourrait vouloir faire de l'"ingénierie sociale" - ou tromper - l'ami commun pour qu'il parle aux cibles.
L'autre outil ShadowDragon acheté par la police d'État du Michigan, OIMonitor, envoie des alertes en réponse au type de données capturées par SocialNet, explique un ingénieur de la société dans une vidéo en ligne.
D'autres documents de la société indiquent qu'OIMonitor peut aller plus loin, en aidant à détecter les crimes potentiels avant qu'ils ne se produisent et en réalisant d'autres exploits avancés. Une vidéo explique que OIMonitor peut "automatiser et personnaliser les paramètres de surveillance". Dans une autre vidéo, un représentant de ShadowDragon donne l'exemple d'une société qui cherche à protéger son site physique ou ses cadres. La société pourrait "constituer un dossier complet de modèles d'attaques, de choses que les gens disent qui sont mauvaises ou menaçantes", et OIMonitor "les alerte simplement lorsqu'il voit les critères qu'ils ont définis et qu'ils ont l'expérience de reconnaître comme un problème".
Clemens m'a dit que "les clients viennent à nous pour la capacité d'identifier et d'analyser des modèles antérieurs de comportement et de relations en utilisant uniquement des informations publiques. Nous ne sommes pas d'accord avec la police prédictive et nous ne construisons donc pas de produits avec des capacités prédictives ou même des suggestions." Pourtant, leur propre site Web indique, dans la description de la vidéo "Prédire la violence", que "des équipes de sécurité intelligentes utilisent OIMonitor pour trouver des indicateurs de troubles et de violence avant qu'ils ne commencent. Parce que les émeutes ne commencent pas dans le vide ; il y a toujours des indicateurs". On ne sait pas non plus si les informations tirées de ShadowDragon peuvent être mises en commun avec d'autres données et utilisées par les clients pour la police prédictive sur d'autres systèmes (Clemens a refusé de commenter ce point).
Hatch a tiré la sonnette d'alarme quant aux implications du logiciel de ShadowDragon en matière de droits civils, déclarant : "Il pourrait être utilisé pour identifier à tort des Noirs comme des suspects criminels et éliminer des militants de la justice sociale qui souhaitent rester anonymes par crainte d'être harcelés par la police et les nationalistes blancs."
ShadowDragon semble également accumuler des informations que les utilisateurs et les plateformes souhaitaient supprimer. OIMonitor fournit aux clients un accès aux "archives historiques privées de ShadowDragon de 2011 à aujourd'hui", et il sauvegarde les résultats de surveillance au cas où les données disparaîtraient du web, selon une vidéo de l'entreprise.
Dans un exemple donné par l'entreprise, la recherche du numéro de téléphone d'un suspect par le logiciel ShadowDragon a fait apparaître un ancien compte Foursquare auquel il s'était connecté chez sa mère il y a 10 ans. Après avoir recherché le suspect pendant un mois, les enquêteurs ont pu le retrouver le lendemain.
En plus de la police, ShadowDragon offre ses services aux entreprises, et il peut potentiellement être utilisé pour la surveillance des travailleurs. Dans un billet de blog, la société a annoncé la possibilité d'utiliser OIMonitor pour la vérification des antécédents des employés par les employeurs. M. Clemens a refusé de répondre aux questions concernant l'utilisation de ShadowDragon pour la surveillance des travailleurs.
Kaseware : Une plateforme d'investigation de bout en bout
Par rapport à ShadowDragon, Kaseware, l'autre société de logiciels qui a conclu un contrat avec la police de l'État du Michigan, a une portée plus large, traitant davantage d'aspects du travail de la police et s'aventurant dans le domaine controversé de la lutte algorithmique contre le crime.
En 2009, les fondateurs de Kaseware travaillaient au FBI, où, selon l'entreprise, ils ont transformé son système mainframe des années 1980 en une plateforme moderne et primée, compatible avec le Web, appelée Sentinel. Peu de temps après, certains des concepteurs de Sentinel ont quitté le FBI pour construire Kaseware, basé à Denver et lancé en 2016 comme un produit cloud "software as a service" pour le gouvernement et les entreprises.
Kaseware est une plateforme en ligne centralisée où les autorités chargées de l'application de la loi, les agences de renseignement et les entreprises peuvent déverser leurs données de surveillance. Une fois sur la plateforme, la surveillance peut être contrôlée, cartographiée et analysée à l'aide d'outils spécialement conçus pour Kaseware. La société vante la rapidité du système et sa capacité à intégrer diverses sources d'information pour les centres de commandement et de contrôle, affirmant qu'il traite les enquêtes et la surveillance de la sécurité de "bout en bout" : de l'ingestion de la surveillance brute à la conclusion d'une enquête. Ses diverses capacités sont similaires à celles du Domain Awareness System de Microsoft.
Kaseware prétend rationaliser un large éventail de tâches des forces de l'ordre : production de rapports, gestion des charges de travail, facilitation des vidéoconférences et recherche d'informations auprès du controversé centre d'échange d'informations fédérales National Crime Information Center. Une partie caviardée du contrat MSP indique qu'il peut "s'intégrer au système eGuardian du FBI par échange de fichiers". Le système eGuardian permet au FBI de collecter et de partager les rapports d'activité suspecte, ou SAR, provenant de différentes agences à travers les États-Unis. Comme le note l'ACLU, le système donne aux responsables de l'application de la loi une grande latitude pour collecter des informations sur des activités banales et les stocker dans des fichiers de renseignements criminels sans preuve de méfait.
L'une des principales caractéristiques de Kaseware est sa capacité à ingérer et à analyser des quantités massives de données. Les fichiers, les dossiers, les journaux, les images de disques et les preuves sont aspirés dans la plate-forme, qui peut également traiter les preuves provenant "d'enregistrements, de caméras corporelles, de caméras de télévision en circuit fermé (CCTV) et d'autres sources". La société affirme qu'elle peut aider à traquer l'emplacement physique d'un auteur de crime.
Les documents marketing de Kaseware indiquent que sa plateforme ingère des codes postaux, des adresses, des coordonnées GPS, des géotags, des images satellites et des données provenant d'appareils connectés à Internet, et les met en corrélation avec des "tendances socio-économiques et des événements environnementaux pour créer des cartes en couches" afin de révéler des "activités illégales" et - point crucial pour les défenseurs des droits civils - de mener une "police prédictive".
La police prédictive, ou l'utilisation de statistiques qui quantifient les crimes passés pour prédire les crimes futurs, a été fortement critiquée par les juristes et les militants au motif que ces systèmes génèrent de la discrimination et des préjudices. Deux universitaires ont testé le logiciel de police prédictive PredPol à Oakland, en Californie, et ont constaté que ce logiciel ciblait deux fois plus les personnes noires que les personnes blanches. Cela s'explique par le fait que les Noirs sont surreprésentés dans les bases de données de crimes liés à la drogue d'Oakland, ce qui entraîne une surveillance policière disproportionnée des communautés à faible revenu et des communautés de couleur.
La police d'État du Michigan m'a dit : "Nous n'utilisons pas la fonction de police prédictive de la plateforme Kaseware". Toutefois, il convient de noter que cette fonction existe et que le logiciel a été vendu à d'autres clients qui pourraient l'utiliser.
Kaseware vante également son accès aux renseignements de source ouverte dans sa documentation marketing. Sa plateforme utilise des outils OSINT comme ShadowDragon "pour rechercher instantanément des centaines de sources sur le web ouvert, le dark web, le deep web et les médias sociaux afin d'accéder à des données cruciales sur les noms des cybercriminels, des mots-clés, des courriels, des alias, des numéros de téléphone et plus encore". Les clients "peuvent également importer des informations sur les médias sociaux à des fins d'analyse médico-légale avec d'autres détails de l'affaire, y compris des photos, des adeptes, des goûts, des amis et des connexions postales."
Il n'est pas clair si Kaseware a un accès spécial aux informations ou aux services avec les entreprises citées de la même manière que Dataminr, par exemple, a accès au "firehose" de Twitter, une base de données de chaque tweet public à partir du moment où il a été posté. Le directeur principal de la stratégie de politique publique mondiale de Twitter, Nick Pickles, m'a répondu dans un courriel que "nous ne sommes pas en mesure de divulguer les détails de nos accords commerciaux", mais qu'il est "sûr de dire que" Kaseware est "sur notre radar". Un autre porte-parole de Twitter, Katie Rosborough, n'a pas répondu aux questions sur Kaseware ou ShadowDragon, se contentant de dire que l'interface de programmation publique de Twitter n'est pas disponible à des fins d'application de la loi. Des partenaires comme Dataminr n'ont jamais utilisé cette interface.
Contrats et déploiements
Le contrat de la police de l'État du Michigan expurge toute mention de ShadowDragon, SocialNet, OIMonitor, et Microsoft Azure dans le contrat partagé avec le public. La demande de David Goldberg en vertu de la loi sur la liberté d'information a été "partiellement rejetée", en raison des exemptions prévues par la loi pour protéger "les secrets commerciaux ou les informations financières ou exclusives" ; pour "protéger la sécurité des personnes ou des biens, ou la confidentialité, l'intégrité ou la disponibilité des systèmes d'information" ; et pour protéger "l'identité d'une personne qui pourrait être victime d'un incident de cybersécurité en raison de la divulgation de son identité" ou de ses "pratiques en matière de cybersécurité".
Comme je l'ai signalé à The Intercept, par l'intermédiaire de sa division Sécurité publique et justice, Microsoft fournit un large éventail de services aux forces de police du monde entier via ses propres produits et ceux de ses partenaires (comme Kaseware), qui opèrent généralement sur le cloud Azure. Microsoft fournit aux armées américaine et israélienne ses lunettes de réalité augmentée HoloLens. Ses solutions carcérales comprennent sa propre solution de gestion des prisons numériques, basée sur sa plateforme de surveillance Domain Awareness System, construite avec le département de police de New York il y a plusieurs années. Avec ses partenaires, les produits et services de Microsoft s'étendent à l'ensemble de la filière carcérale, de la détention juvénile et de l'instruction à la prison et à la libération conditionnelle.
Le directeur commercial de Kaseware, Mark Dodge, ancien officier des services de renseignement de la marine et de la CIA, m'a confié lors d'entretiens réalisés avant cette année qu'avant de travailler chez Kaseware, il avait travaillé chez Accenture, où il avait participé au développement du système Domain Awareness de Microsoft pour la police de New York. Il a ajouté qu'il avait également travaillé pour Singapour, qui gère le DAS de Microsoft, et "quelques autres", notamment à Londres. M. Dodge a ensuite fait un bref passage chez Axon, partenaire de Microsoft et leader du secteur des pistolets paralysants Taser et des caméras corporelles, illustrant ainsi l'intersection des cercles du renseignement, de la police et de la surveillance des entreprises.
La durée du contrat MSP est de cinq ans, du 31 janvier 2020 au 31 janvier 2025. La licence Kaseware coûte 340.000 dollars par an, tandis que SocialNet et OIMonitor coûtent 39.000 dollars chacun, ce qui porte l'ensemble à 418.000 dollars par an, soit 2.090.000 dollars sur cinq ans. L'État du Michigan a expurgé les valeurs contractuelles des fonctionnalités de ShadowDragon. Le MSP a opté pour une session de formation de deux jours à 3000 $, qui, selon ShadowDragon, constitue un "grand plongeon en profondeur sur l'évaluation des menaces et l'analyse des sentiments".
Le coût total du contrat MSP est de 3.293.000 $.
La somme versée à Microsoft pour ses services Azure Government Cloud est regroupée dans la partie "Licensing & Support Services" du contrat, et rien n'indique quelle part de cet argent Microsoft reçoit.
Parce que la plupart de leurs contrats ne sont pas rendus publics ou sont difficiles d'accès, il est difficile de discerner à quel point Kaseware et ShadowDragon sont omniprésents dans le monde.
Le premier contrat ShadowDragon avec l'agence américaine de l'immigration et des douanes a été attribué à la société informatique C & C International Computers & Consultants, Inc. le 16 juillet 2020, pour un montant de 289.500 dollars. Le second contrat a été attribué à la société de cybersécurité Panamerica Computers le 31 août 2021, pour un montant de 602.056 dollars. Les deux contrats concernaient l'utilisation de SocialNet.
SocialNet, OIMonitor et le produit d'investigation de logiciels malveillants MalNet de ShadowDragon sont également déployés par la société informatique ALTEN Calsoft Labs et Cloudly en Asie - "en particulier en Inde" - en tant que "solutions pour des industries telles que le gouvernement, les banques, les services financiers, les soins de santé et de nombreux autres secteurs verticaux". ALTEN a son siège à Bangalore, en Inde, et possède des bureaux aux États-Unis, en Europe et à Singapour. Cloudly est une société de cybersécurité, de renseignement et de surveillance basée dans la Silicon Valley.
Avec des bureaux aux États-Unis et au Danemark, ShadowDragon revendique une présence sur le marché en "Amérique du Nord, Europe, Moyen-Orient, Asie et Amérique latine".
Interrogé sur d'éventuelles violations des droits de l'homme par ses clients, Clemens a répondu que la société examinait "toutes les demandes entrantes de nos produits pour s'assurer qu'ils ne sont pas utilisés pour commettre des violations des droits de l'homme".
Dodge, dans les interviews précédant cette histoire, m'a dit que Kaseware avait environ 30 clients en juin 2020, mais ne divulgue pas la plupart d'entre eux. Le département de police de Winslow, en Arizona, a déployé un système de gestion des dossiers et de répartition assistée par ordinateur de Kaseware en 2018, et le département de police de Wickenburg, en Arizona, l'envisageait au moins.
Kaseware affirme que sa plateforme "est maintenant utilisée par des services de police du monde entier, des entreprises du Fortune 100 et de nombreuses organisations internationales à but non lucratif."
Kaseware n'a pas répondu à une demande de commentaires pour cet article.
Droits de l'homme : Un monde de surveillance publique à vue d'œil
Avec Kaseware et ShadowDragon, nous vivons dans un monde où le comportement en ligne du public peut être surveillé sur Internet et accessible en un clic pour déterminer qui nous sommes, qui nous connaissons, quel est notre "style de vie", où nous nous trouvons, et plus encore.
Ces capacités modifient fondamentalement les pouvoirs de la police, a déclaré Eric Williams, avocat en chef du Detroit Justice Center's Economic Equity Practice : "C'est qualitativement différent lorsque vous passez de la possibilité pour la police de vérifier des informations" un peu à la fois "à une intelligence artificielle capable d'analyser tout ce que vous avez fait en ligne."
Le potentiel d'applications discriminatoires est énorme. Williams a noté que les recherches effectuées par les outils de big data sont "inévitablement biaisées contre les personnes de couleur, les pauvres" et autres. Il a ajouté que les militants de Black Lives Matter, les syndicats et le mouvement #MeToo pourraient être ciblés par ces technologies, "en fonction de qui en est responsable".
Phil Mayor, avocat principal à l'ACLU du Michigan, a déclaré à propos de ShadowDragon que "la cartographie des relations entre les personnes risque d'entraîner une suspicion par association" et "est susceptible d'ancrer le racisme systémique et constitue une menace pour la vie privée de chacun. ... Cela présente la possibilité effrayante d'une application de la loi dans notre vie quotidienne qui serait inimaginable jusqu'à récemment".
Il n'y a pratiquement aucune transparence sur ce que font Kaseware et ShadowDragon, ni sur la façon dont la police de l'État du Michigan et d'autres clients pourraient utiliser leurs produits, ni sur l'endroit où ils sont déployés, ni sur les raisons pour lesquelles ils sont utilisés, ni sur les personnes qui y ont accès. Il en va de même pour l'impact de ces outils sur les militants, les pauvres et les communautés marginalisées, qui sont de manière disproportionnée les cibles de la surveillance policière.
"Il est très inquiétant que ce type de technologie soit acheté et utilisé par les forces de l'ordre sans discussion publique", m'a dit M. Mayor. "Avant de s'engager dans de nouvelles formes de surveillance des citoyens, les forces de l'ordre devraient s'adresser à l'opinion publique et demander ce que nous attendons en termes de vie privée plutôt que de prendre ces décisions pour nous."
Williams s'est fait l'écho de ces propos en déclarant : "Il est problématique que l'argent public soit dépensé pour la surveillance, d'un type particulièrement intrusif, et que le public n'en soit pas conscient." Même si la police veut garder ses méthodes de surveillance cachées, "le public a le droit de savoir, et devrait savoir, étant donné l'absence de lois régissant une grande partie de la surveillance électronique."
Aux États-Unis, pas moins de 70% des forces de police utilisent les médias sociaux pour recueillir des renseignements et surveiller le public. Pourtant, la loi fait peu pour limiter ce genre d'outils et de pratiques.
"Il n'y a pas beaucoup de réglementations à ce sujet", a déclaré M. Williams, "et nous ne pouvons pas commencer à avoir une discussion sur la façon dont cela devrait être réglementé si nous ne sommes pas conscients que cela se produit." Il a ajouté qu'il était favorable à une interdiction de cette technologie, compte tenu de son déploiement opaque et de sa nature intrusive.
Les législateurs doivent se pencher de toute urgence sur la question de la surveillance des médias sociaux. Ils doivent intervenir et interdire immédiatement cette attaque contre les droits et libertés civils.
Source : Theintercept.com
Informations complémentaires :
Crashdebug.fr : Le « big data » ou la recette secrète du succès d'Emmanuel Macron ?
Crashdebug.fr : Le « big data » ou la recette secrète du succès d'Emmanuel Macron ?
