Par Alasdair Allan
Une transcription (quelque peu élargie) d'un discours que j'ai donné à la conférence FWD50 sur le gouvernement numérique qui s'est tenue à Ottawa, au Canada, en novembre 2019. J'y ai parlé de la vie privée, de la sécurité et de l'apprentissage automatique. Quelques éléments supplémentaires ont été ajoutés pour le contexte, rien n'a été retiré de l'exposé tel qu'il a été donné.
Tout est cassé, et ça commence à m'effrayer que nous ne soyons pas prêts à reconnaître à quel point les choses sont devenues mauvaises. Je commence à m'inquiéter du fait que le secteur a tendance à discuter de la morale et de l'éthique dans les bars, et parfois dans les couloirs et les coins sombres des conférences, plutôt qu'à la lumière du jour. Le fait que plus personne dans le secteur ne lise ou ne comprenne l'histoire commence vraiment à m'effrayer.
Je commence à penser que des cours d'économie devraient être obligatoires pour tous les étudiants en informatique. Peut-être aussi l'histoire, la vraie histoire, pas la mémorisation par cœur de listes de personnes et de dates. Cela pourrait ajouter un peu de bon sens à la procédure.
Parce que c'est presque un retour à la préhistoire maintenant, du moins si vous êtes à l'heure d'Internet, en 1972 en fait, quand Alan Kay, un des pionniers de l'Internet moderne, a écrit :
Dix-sept ans avant l'invention du World Wide Web et trente-cinq ans avant la sortie du premier iPhone, qui a sans doute vraiment tout changé, Kay a anticipé le rectangle noir de verre et d'aluminium brossé qui se trouve aujourd'hui dans toutes nos poches, ainsi que l'omniprésence des logiciels de blocage des publicités dont nous avons besoin pour rendre le Web un tant soit peu utilisable.
Pourtant, si la prédiction d'Alan Kay concernant l'existence du smartphone était presque prophétique, elle était aussi, d'une certaine manière, naïve.
Parce que Kay vivait à une époque plus simple, sans le panopticon omniprésent du monde moderne, et sans les menaces de sécurité qui façonnent sans doute l'Internet moderne et notre vision de celui-ci. Parce que l'arrivée du web, a brisé l'Internet qui se trouve en dessous.
Parce qu'il n'y a vraiment qu'un seul modèle économique sur le web, et c'est la publicité. Les gens ont toujours refusé de s'abonner à des services ou de payer pour du contenu. Au lieu de cela, la publicité soutient les services qui sont à la base de presque tout ce que nous faisons sur le web, et derrière la publicité se trouvent les données qui rendent tout cela possible.
Pensez à la façon dont votre expérience quotidienne du Web serait différente si Google facturait un abonnement mensuel pour son service de recherche ou, pire encore, utilisait une approche de micro-paiement pour facturer sur la base d'une recherche par recherche. Cela changerait la manière et le moment où vous utilisez le web.
Une série de décisions et de circonstances presque accidentelles ont conduit à un monde où la plupart des choses sur le web semblent être gratuites. Cela ne signifie pas qu'elles sont gratuites, mais que nous les payons d'une autre manière. Nos données et notre attention sont la monnaie que nous utilisons pour payer Google pour nos recherches, et Facebook pour nous garder en contact avec nos amis.
J'avais l'habitude de dire qu'un jour, l'idée qu'un étranger puisse faire sonner une cloche chez vous, et que vous seriez alors socialement obligé de lui parler, semblerait - lorsque nous regarderons le vingtième siècle - risible.
(Visionner une vidéo d'un téléphone rétro-rotatif alimenté par le kit vocal d'AIY Projects et un Raspberry Pi).
Aujourd'hui, personne que je connais ne répond à son téléphone fixe. Je ne connais même pas de personnes de moins de 30 ans qui en ont un. Pourquoi s'en soucier ?
De même, je commence à me demander non pas si le modèle de réseau social de type Facebook semblera aussi ridicule à l'avenir, mais combien de temps il faudra attendre avant que cela n'arrive.
Récemment, Facebook a annoncé qu'il ne vérifierait plus les faits relatifs aux discours politiques, y compris les publicités. Cette annonce a été largement condamnée et, en réponse, un Californien du nom d'Adriel Hampton s'est inscrit comme candidat au poste de gouverneur de l'État, en promettant que toutes ses publicités seraient mensongères.
À son tour, Facebook a répondu qu'il ne serait pas autorisé à diffuser de "fausses publicités" sur sa plateforme : « ... cette personne a clairement indiqué qu'elle s'était inscrite en tant que candidat pour contourner nos politiques, de sorte que son contenu, y compris les publicités, continuera à être admissible à la vérification des faits par des tiers. »
Facebook déclare ici qu'il ne décidera pas de ce qui est un mensonge pur et simple dans une publicité politique, mais qu'il décidera qui est un candidat politique légitime, ce qui est sans doute pire.
La réponse de Twitter, qui interdit toute publicité politique sur sa plateforme, est, du moins en apparence, meilleure. Elle signifie que si les entreprises peuvent faire de la publicité, les groupes politiques qui tentent de les empêcher de nuire ne le peuvent pas.
Il y a dix ans, Mark Zuckerberg a déclaré que la vie privée ne devait plus être considérée comme une norme sociale. C'est devenu le mantra de l'ère du Big Data et, au cours des dix dernières années, la Silicon Valley l'a appliqué avec vigueur.
Mais les entreprises à qui nous avons confié nos données, en échange de nos services gratuits, n'ont pas été prudentes avec elles. En avril de cette année, plus de 540 millions d'enregistrements concernant des utilisateurs de Facebook ont été publiquement exposés sur le service de cloud computing d'Amazon par un développeur d'applications tiers, puis en septembre, 419 millions d'enregistrements supplémentaires ont été trouvés sur un serveur non sécurisé, sans mot de passe. Cette fois, les enregistrements contenaient des numéros de téléphone liés à des identifiants d'utilisateurs de Facebook, et certains comprenaient à la fois le sexe de l'utilisateur et des détails sur sa localisation.
Mais les réseaux sociaux ne sont pas les seuls concernés. En 2017, la brèche d'Equifax a révélé les coordonnées de 143 millions de personnes aux États-Unis, des millions de numéros de permis de conduire, de numéros de téléphone et d'adresses électroniques. À côté de cela, on trouvait les vrais noms des personnes, leur date de naissance et leur numéro de sécurité sociale américain.
L'année dernière, la violation des données de Marriott/Starwood a entraîné la divulgation des coordonnées de 500 millions de personnes : nom, sexe, adresse personnelle, numéro de téléphone, adresse électronique, nationalité, numéro de passeport, date de naissance, ainsi que des informations sur les arrivées et les départs. Si vous avez déjà séjourné dans une propriété Starwood, comme le Sheraton ou le Westin, vos coordonnées figurent dans ces données.
Ce ne sont pas de petites entreprises. Ni Equifax ni Marriott ne sont des startups qui jettent des choses sur une instance AWS et qui pensent tout régler une fois que leur série A arrive et qu'elles ont l'argent ou le nombre de personnes nécessaires pour le faire.
Mais il s'avère que les violations de données non intentionnelles pourraient être le dernier de nos soucis. La fuite de données à dessein est un véritable problème.
Par exemple, si vous partagez publiquement un document Dropbox Paper, n'importe quel spectateur peut voir le nom complet et l'adresse électronique de tout autre utilisateur de Dropbox qui a ouvert ce document.
Lire la conversation complète sur Twitter.
C'est un problème. En effet, il est facile de rechercher les URL publiques des documents Dropbox Paper et de recueillir toutes les informations personnelles des dizaines, voire des centaines, de milliers de personnes qui ont ouvert ces documents.
Dropbox considère cela comme une fonctionnalité, et non comme un bogue.
Bien entendu, les choses deviennent plus intéressantes lorsqu'il s'agit de matériel. Thomas Roth, Josh Datko et Dmitry Nedospasov ont récemment effectué un excellent travail sur les fuites de radiofréquences du portefeuille de crypto-monnaie Ledger Blue.
Les attaques par canal latéral RF n'ont rien de nouveau. La récupération de texte en clair dans des communications cryptées à l'aide d'émissions fuyantes provenant de matériel mal protégé remonte à la Seconde Guerre mondiale et à l'aube de l'ère de l'information.
Il s'agit d'un problème suffisamment courant pour qu'il existe aujourd'hui des normes bien établies pour le blindage des dispositifs afin de garantir qu'ils ne fuient pas. Cependant, tout le monde n'y prête pas attention.
Ici, chaque pression sur le bouton du portefeuille crée un signal électromagnétique important autour du spectre 169 MHz. Cependant, ce qui est vraiment intéressant ici, c'est que l'équipe à l'origine de cette attaque a utilisé l'apprentissage automatique pour récupérer le code PIN à partir des signaux RF divulgués. Ce qui, pour autant que je sache, est une première.
Mais tout comme les logiciels, le matériel peut fuir des données intentionnellement, par conception, ainsi qu'involontairement par des mécanismes comme une attaque par canal latéral RF.
Par exemple, si vous avez un iPhone, avez-vous déjà pensé au fonctionnement de services comme AirDrop ? Ou comment votre MacBook voit que vous exécutez Safari sur votre téléphone et est capable d'ouvrir la même page web ? Ou partager un mot de passe WiFi ?
Source : hexway – Capteur de téléphone portable Apple AirDrop.
Ces fonctionnalités fonctionnent grâce à ce que l'on appelle Apple Wireless Direct Link (AWDL), un protocole qui peut fonctionner par WiFi ou BLE pour interconnecter et permettre les transferts de données entre les appareils. Mais ce protocole est moins anonyme qu'on pourrait le croire.
Outre des éléments tels que l'état du téléphone et du Wi-Fi, les travaux récents de chercheurs en sécurité d'une société appelée Hexway montrent qu'AirDrop envoie un hachage SHA256 de votre numéro de téléphone à tous les appareils à portée chaque fois que vous appuyez sur Partager. Bien que seuls les trois premiers octets du hachage soient annoncés, les numéros de téléphone ayant un formatage assez strict, les attaquants peuvent utiliser des tables de hachage précalculées pour récupérer votre numéro de téléphone réel.
Encore une fois, il s'agit d'une fonctionnalité, pas d'un bogue.
Le matériel peut également être utilisé comme une arme. Dans le cas d'une attaque HID, un pirate utilise une plate-forme de développement intégrée programmable et crée un périphérique USB qui, lorsqu'il est branché sur un ordinateur, exécute un ensemble préconfiguré de frappes pour y déposer une charge utile malveillante.
Visionner la vidéo et lire la conversation complète sur Twitter.
Ces attaques deviennent de plus en plus sophistiquées, bien au-delà du scénario classique du dépôt d'une clé USB dans un parking. Il est désormais possible d'intégrer ce type de matériel d'attaque dans un câble USB, qui est totalement indifférenciable de l'original. Comme le câble Lightning que vous utilisez pour charger votre téléphone, ou le câble USB que vous utilisez pour charger votre ordinateur portable.
C'est suffisamment facile maintenant pour que je ne branche pas mes appareils dans des prises de charge accessibles au public. Toutes ces prises USB pratiques dans les avions et les hôtels ? Je ne les utiliserai pas, et je ne recommanderais à personne de les utiliser non plus.
Si vous ne pouvez pas compromettre directement le matériel d'une personne, vous pouvez toujours voler son identité. Le SIM Jacking est le processus par lequel un attaquant utilise des informations personnelles, qu'il a peut-être trouvées dans une fuite de données distincte - comme celles d'Equifax ou de Marriott que j'ai mentionnées précédemment - pour persuader votre fournisseur de téléphonie mobile de transférer votre numéro sur une nouvelle carte SIM.
Une fois l'échange effectué, les messages contenant des codes pour l'authentification à deux facteurs peuvent être interceptés, et les fraudeurs peuvent détourner votre courrier électronique, vos médias sociaux ou même vos comptes bancaires. Votre vie.
Le SIM Jacking est un problème croissant car il diffère des autres formes de piratage, en ce sens qu'il ne nécessite aucun savoir-faire technique ; il suffit d'avoir des talents de persuasion et une connaissance de base du vol d'identité.
Cependant, si vous avez les bonnes compétences et un accès physique au matériel, les résultats peuvent être spectaculaires. Par exemple, il y a eu une vague d'attaques de logiciels malveillants contre des distributeurs automatiques de billets en Allemagne en 2017.
Appelé ATM jackpotting, le logiciel malveillant trompe les machines en éjectant tout l'argent liquide, sans carte. Généralement installée en ouvrant un panneau pour révéler un port USB et en branchant simplement une clé USB, l'attaque en Allemagne a touché un modèle de machine qui est encore utilisé aujourd'hui. Les guichets automatiques autonomes, que l'on trouve souvent dans les halls d'hôtel et les magasins de quartier, sont particulièrement vulnérables.
L'année dernière, les services secrets ont commencé à avertir les institutions financières des premières attaques de cagnottes dans la nature aux États-Unis.
Cependant, les problèmes les plus épineux sont peut-être ceux causés par une combinaison de matériel et de logiciel. Au début de l'année, un homme du nom de Masamba Sinclair a loué une Ford Expedition chez Enterprise Rent-a-Car.
Lorsqu'il a loué la voiture, il l'a connectée à son application FordPass. Cette application permet aux conducteurs d'utiliser leur téléphone pour démarrer et arrêter le moteur à distance, verrouiller et déverrouiller les portes, et suivre en permanence l'emplacement du véhicule.
Lire la conversation complète sur Twitter.
Bien qu'il ait attiré l'attention d'Enterprise et de Ford sur ce problème, nous avons appris la semaine dernière que, cinq mois après son retour de location et plusieurs locataires plus tard, il avait toujours le contrôle total du véhicule à distance.
À plusieurs reprises, le salon CES de Las Vegas a organisé une chasse au trésor. Basée sur la technologie Beacon, c'est-à-dire des balises Bluetooth, les participants devaient en trouver huit disséminées dans les vastes halls et sur les trois sites du salon CES de Las Vegas.
Les deux fois où ils ont organisé cette chasse, j'ai réussi à la pirater, en faisant croire à l'application CES que j'avais trouvé toutes les balises, et j'ai gagné. Sauf que les deux fois, je n'étais pas vraiment au CES, je n'étais même pas à Las Vegas à ce moment-là.
En décompilant l'application CES, vous pouvez obtenir les identités et les emplacements des balises qu'elle recherche, puis les simuler et tromper l'application. C'est en fait assez facile. Vous pouvez le faire avec un Raspberry Pi et une demi-douzaine de lignes de Javascript.
Cependant, il s'avère que le fait de pouvoir gagner la chasse au trésor depuis son bureau n'est pas la chose la plus intéressante que j'ai trouvée, du moins pas la deuxième fois que j'ai piraté la chasse.
Source : Alasdair Allan – En 2016, plus de 1 000 balises ont été dispersées sur les trois sites du CES.
L'identité des huit balises de chasse était accompagnée de la latitude et de la longitude de plus de 1 000 autres balises disséminées sur les trois sites du CES qui, pour autant que l'application soit installée, étaient détectées par l'application sur votre téléphone lorsque vous vous déplaciez dans le salon.
Peut-être destinées à la navigation intérieure, les notifications qu'elles généraient au fur et à mesure que vous vous déplaciez dans le CES étaient parfois un peu effrayantes.
En regardant le code décompilé de l'application CES, cela ressemblait beaucoup à cela : chaque fois que votre téléphone voyait une balise, il appelait la maison pour signaler votre position. Si c'est vraiment le cas, il est concevable qu'un journal minute par minute de votre position au CES soit sauvegardé dans le nuage, et que votre position soit suivie pendant toute la durée de votre séjour.
Jusqu'à récemment, ce type de déploiement de masse de la technologie des balises était rare, et les implications en matière de protection de la vie privée qui le sous-tendent n'ont guère fait l'objet de débats.
Les appareils connectés, l'Internet des objets, posent un problème. Il y a tellement de pièces mobiles, pas nécessairement des pièces mobiles physiques, mais plutôt des interactions. Chaque fois qu'un logiciel communique avec du matériel ou un autre logiciel, il y a une surface d'attaque.
Une enquête récente a révélé qu'un expert en sécurité sur cinq travaillant avec l'internet des objets connectés craignait que ses toilettes intelligentes ne soient piratées. La seule chose surprenante dans cette enquête est que tant de personnes possèdent des toilettes intelligentes ?
Mais il n'y a pas que vos toilettes dont vous devriez vous inquiéter.
Le statu quo est de plus en plus menacé par des acteurs étatiques qui cherchent à exploiter les vulnérabilités inhérentes à la numérisation. En juin dernier, le cybercommandement américain a lancé une frappe numérique de représailles contre un groupe iranien qui soutenait des attaques de mines à billes contre des pétroliers dans le détroit d'Ormuz.
Le mois dernier, ils ont lancé une cyber-opération contre l'Iran en réponse aux attaques de septembre contre des installations pétrolières saoudiennes. Bien sûr, ce n'est pas nouveau, l'histoire du cyberconflit USA-Iran remonte à l'attaque Stuxnet contre le programme nucléaire iranien en 2010.
Le gouvernement des Pays-Bas a récemment publié un document décrivant ses vues et sa position sur l'application du droit international aux cyberattaques. Contrairement à certains documents antérieurs que j'ai vus, il s'agit vraiment d'un document bien raisonné. Je le recommande vivement.
Au début du mois dernier, trois hôpitaux américains ont été contraints de fermer temporairement leurs portes à « tous les nouveaux patients, sauf les plus critiques », à la suite d'épidémies de ransomware. Séparément, sept hôpitaux australiens ont également signalé des infections par ransomware perturbatrices.
Le mois dernier également, la ville de Johannesburg a fait l'objet d'une demande de rançon. Dans un premier temps, les employés ont pensé qu'ils étaient victimes d'une attaque normale de ransomware, comme celle qui a touché le réseau électrique de la ville en juillet dernier, une attaque qui a privé de nombreux habitants d'électricité pendant plusieurs jours.
Cependant, il a été découvert par la suite que les ordinateurs de la ville n'étaient pas cryptés. Au lieu de cela, après avoir fourni des preuves, les attaquants ont demandé 4 bitcoins - soit environ 40 000 dollars au taux de change d'aujourd'hui - menaçant de télécharger sur Internet toutes les données volées de la ville.
Un changement de tactique intéressant.
Pour tenter de garder une trace de ces incidents, StateScoop a élaboré une carte interactive de toutes les attaques par ransomware connues dans le secteur public sur le territoire continental des États-Unis depuis près de six ans. Plus de 100 attaques de ransomware du secteur public ont été signalées en 2019 jusqu'à présent, contre 51 en 2018. Les choses semblent s'aggraver.
Les attaques par ransomware peuvent être dévastatrices, en particulier contre les services publics, ou l'industrie lourde. Où l'utilisation croissante de machines connectées à Internet signifie la perte non seulement de données, mais aussi de capacités.
Norsk Hydro ASA est une société norvégienne spécialisée dans l'aluminium et les énergies renouvelables. C'est l'une des plus grandes entreprises d'aluminium au monde. En mars dernier, elle a été frappée par une attaque de ransomware. L'ensemble du personnel (35 000 personnes) a dû recourir au papier et au crayon.
Les lignes de production de métal en fusion sont passées en mode manuel, et dans certains cas, des travailleurs retraités depuis longtemps sont revenus pour aider leurs collègues à faire fonctionner les choses à l'ancienne. Mais dans de nombreux cas, les lignes de production ont tout simplement dû s'arrêter.
Inquiets de l'atteinte à leur réputation, les litiges. Tout porte à croire que beaucoup, voire la plupart, des grandes entreprises ou agences touchées par un ransomware paient. Norse Hydro ne l'a pas fait, et dans les trois mois qui ont suivi l'attaque, cette décision lui a coûté environ 60 millions de dollars américains.
Ce qu'elle a perdu en revenus, elle l'a sans doute gagné en réputation.
Sous le poids des logiciels malveillants, des réseaux de zombies, des médias sociaux malveillants et de la paranoïa nationale, l'internet mondial commence à se fragmenter. Le grand pare-feu de la Chine, la loi russe sur l'internet souverain, qui est en fait un système de noms de domaine parallèle, et l'inspection approfondie des paquets sont des signes évidents.
Mais le malaise est plus profond. Le succès mondial de l'application chinoise TikTok a été salué comme une menace pour la sécurité nationale par le gouvernement des États-Unis. Peut-être parce que c'est la première fois que le glissement culturel se fait dans l'autre sens. Les Américains sont habitués à ce que nous adoptions leur culture, et non l'inverse.
Mais il y a aussi des ricochets intrigants, en partie dus aux retombées de la guerre commerciale sino-américaine en cours : la pile technologique commune, que nous partagions tous jusqu'à récemment, commence à se diviser.
Lire la conversation complète sur Twitter.
La magie est l'une des causes de ce clivage.
Arthur C. Clarke est célèbre pour avoir dit, entre autres, que « ... toute technologie suffisamment avancée est indiscernable de la magie ».
De l'extérieur, l'apprentissage automatique, l'intelligence artificielle, ressemble à de la magie. Mais ce n'est pas le cas, c'est de l'informatique, des mathématiques, des statistiques et un soupçon de connaissance du domaine.
C'est également controversé, car, comme vous pouvez vous y attendre, l'industrie commet ici les mêmes erreurs en matière de confidentialité et de sécurité qu'avec le big data et l'internet des objets.
Les applications d'apprentissage automatique qui pilotent la surveillance numérique sont omniprésentes en Chine. Dans un pays où chaque adulte possède une carte d'identité sur laquelle figure son visage, et où ces données se trouvent dans une base de données gouvernementale, la reconnaissance faciale peut être une technologie puissante pour la surveillance et la répression.
Visionner la vidéo et lire la conversation complète sur Twitter.
Mais ils suscitent toujours la controverse dans les pays occidentaux. Dans le cadre d'un projet pilote mené récemment en Allemagne, 300 volontaires ont été suivis pendant un an au cours de leurs déplacements matinaux à Berlin.
Selon le ministère allemand de l'intérieur, le système a atteint une précision moyenne de 80 %, ce qui signifie qu'un volontaire sur cinq est passé inaperçu. La moyenne des faux positifs était nettement inférieure, le système ayant identifié à tort 1 personne sur 1 000 comme étant une personne d'intérêt. Cela semble peu, mais si vous pensez à un déploiement plus large, avec plus de personnes, et que vous considérez les conséquences potentiellement graves pour une personne innocente identifiée par erreur par un tel système. C'est inquiétant et élevé.
D'autant plus que les modèles d'apprentissage profond sont incroyablement faciles à tromper. En ajoutant une simple perturbation physique - juste quatre autocollants ! -à un panneau stop, quelque chose qui pourrait facilement être déguisé en véritable graffiti, peut tromper un modèle.
Source : Eykholt et al., 2018 – Ajouter des autocollants à un panneau stop dans une attaque contradictoire.
C'est ce qu'on appelle une attaque contradictoire, et ces quatre autocollants font que le réseau de vision artificielle conçu pour contrôler une voiture autonome lit ce panneau d'arrêt - qui reste évidemment un panneau d'arrêt pour nous, les humains - comme indiquant que la limite de vitesse est de 45 miles à l'heure. Non seulement la voiture ne s'arrêterait pas, mais elle pourrait au contraire accélérer.
Vous pouvez lancer des attaques similaires contre les réseaux d'apprentissage automatique de reconnaissance faciale et vocale. Par exemple, vous pouvez contourner la détection de présence du système FaceID d'Apple, bien que dans des circonstances limitées, en utilisant une paire de lunettes avec du ruban adhésif sur le verre.
La partialité et l'éthique de l'apprentissage automatique sont peut-être plus inquiétantes que les attaques directes. Seul un petit groupe de personnes décide des données à collecter, des algorithmes à utiliser et de la manière dont ils doivent être formés.
La plupart d'entre nous sont des hommes blancs d'âge moyen.
Par exemple, selon des recherches récentes, les algorithmes développés pour aider à décider quels patients ont besoin de soins médicaux supplémentaires sont plus susceptibles de recommander des patients blancs relativement sains plutôt que des patients noirs plus malades.
L'algorithme trie les patients en fonction de ce qu'ils ont déjà payé en frais de soins de santé, ce qui signifie que ceux qui ont traditionnellement supporté plus de coûts bénéficient d'un traitement préférentiel. C'est là que les préjugés se glissent. En décomposant les coûts des soins de santé, les chercheurs ont constaté que le système de soins de santé est moins enclin à traiter les patients noirs atteints de maladies chroniques similaires que les patients blancs.
La presse qui s'intéresse à l'apprentissage automatique, ou plutôt à l'intelligence artificielle, brosse un tableau qui ne correspond pas vraiment à notre compréhension actuelle de la manière dont ces systèmes sont construits aujourd'hui, ou même dans un avenir prévisible.
Les systèmes d'apprentissage automatique sont formés à une tâche spécifique, nous sommes loin de l'intelligence générale, et la plupart des chercheurs soutiendraient que nous ne comprenons pas vraiment comment aller d'ici à là.
Le respect de la vie privée, la sécurité, la morale et l'éthique de l'apprentissage automatique - tout cela fait actuellement l'objet d'un débat, même si, pour l'essentiel, il se déroule de manière plutôt discrète.
Pour ne pas effrayer le public.
Mais ce qui m'effraie le plus, c'est qu'en tant qu'industrie, nous avons prouvé que nous étions peut-être particulièrement mal adaptés à l'autorégulation. Dix ans de big data m'ont convaincu que l'industrie technologique est arrogante et puérile, que le principe « ... aller vite et casser quelque chose » ne devrait pas s'appliquer à notre vie privée. Ou à notre civilisation !
C'est l'arrivée du GDPR en Europe, et dans une moindre mesure de la CPPA en Californie, qui a changé la donne. Ils nous ont donné, en tant que citoyens, des droits. Ils nous ont donné, en tant que développeurs, des responsabilités.
La réaction de la Silicon Valley était prévisible, surtout peut-être compte tenu de la différence de vue sur la vie privée entre les États-Unis et l'Europe, quelque chose qui repose en partie sur le fait que bon nombre d'Européens ont survécu sous des gouvernements répressifs de mémoire d'homme.
Pour moi, et pour beaucoup de développeurs qui vous diront tranquillement la même chose - du moins en privé - les cris d'angoisse de la vallée ne montrent pas que le GDPR est une mauvaise loi. Au contraire, elle fait exactement ce qu'elle devrait faire.
Tout comme certains sites web basés aux États-Unis qui n'ont pas voulu réfléchir aux implications du GDPR, certains appareils intelligents ont cessé de fournir des services lorsque le GDPR est entré en vigueur.
Lire la conversation complète sur Twitter.
L'un d'entre eux était Yeelight. Vous pouvez toujours allumer ou éteindre les ampoules individuelles, une par une, dans leur application. Mais tout le reste a été supprimé si vous avez dit à l'application que vous refusiez d'accepter leur nouvelle politique de confidentialité. Ce qui m'amène à me demander quelles données, sur le moment et le type d'ampoules que vous allumez ou éteignez, l'entreprise derrière l'application vend ou utilise de manière inattendue.
Pour être clair, je suis presque sûr que ce genre de réponse n'est pas légal selon le GDPR. Vous ne pouvez pas refuser de fournir le service simplement parce que l'utilisateur refuse de vous communiquer ses données, sauf si ces données sont nécessaires pour fournir le service. Je ne peux pas imaginer un cas où des données enfreignant le GDPR soient nécessaires pour allumer ou éteindre des ampoules, et vous ?
Source : Facebook – Mark Zuckerberg à la conférence F8 de Facebook en 2019.
Au début de l'année, Zuckerberg a monté sur la scène de la conférence F8 de Facebook et a déclaré « ... le futur est privé ». Même si vous ne le croyez pas, et avouons-le, on ne nous a donné aucune raison de le croire, l'idée que cet homme, l'homme qui, il y a dix ans, s'est levé et nous a vendu le mantra de l'ère du big data, que la vie privée n'était plus une norme sociale, a dit cela, nous dit quelque chose.
Cela nous dit que cette époque est révolue.
Je vous laisse donc avec une dernière réflexion. Je ne crois plus que l'industrie va résoudre tous ces problèmes. Je crois que la législation, comme le GDPR, est la solution.
En tant que développeurs, nous sommes assis dans des réunions, et si quelqu'un nous demande de faire quelque chose qui nous semble éthiquement mauvais, nous devrions dire non. Mais il y a toujours une pression, une pression sachant que les autres pourraient dire « ... oui ! ». Que notre emploi est en jeu. Que le financement de notre entreprise est en jeu. Nos vies, nos familles, notre avenir.
Nous avons besoin de lois qui soient natives du numérique, des lois qui disent aux gens qu'il est normal de dire non, nous avons besoin de savoir que vous nous soutenez.
Ne votez pas de lois sous le coup de la colère ou, encore pire, de l'ignorance, ne vous laissez pas tenter par les chemins sombres et les gains faciles qu'offre la technologie. Mais je vous en supplie, retournez dans vos circonscriptions, dans vos agences, et gouvernez. Il est grand temps, plus que temps, que vous le fassiez.
Dix ans de big data, dix ans de tentatives de solutions technologiques, plutôt que culturelles, ont prouvé que l'industrie n'en est pas capable.
S'il vous plaît, aidez-nous. Vous êtes notre seul espoir.