Last Updated:

Les services d'extraction dans le cloud : la technologie secrète qui permet aux organismes gouvernementaux de recueillir des masses de données à partir de vos applications

Les téléphones portables restent la source numérique la plus fréquemment utilisée et la plus importante pour les enquêtes des services de police. Pourtant, ce n'est pas seulement ce qui est physiquement stocké sur le téléphone que les forces de l'ordre recherchent, mais aussi ce à quoi on peut accéder à partir de celui-ci, principalement les données stockées dans le nuage.

Cellebrite, un important fournisseur de technologie de surveillance utilisée pour extraire des données des téléphones mobiles, note dans son enquête annuelle sur les tendances que dans environ la moitié des enquêtes, les données dans le nuage "ressortent" et que "typiquement, ces données impliquent des médias sociaux ou des données d'application qui ne résident pas sur l'appareil physique".

Le fait qu'elle "ne réside pas sur le dispositif physique" indique que les services répressifs se tournent vers "l'extraction dans le cloud" : l'analyse judiciaire des données des utilisateurs qui sont stockées sur des serveurs tiers, généralement utilisés par les fabricants de dispositifs et d'applications pour sauvegarder les données.

Pourtant, alors que les forces de l'ordre se tournent de plus en plus vers l'extraction dans le cloud pour obtenir des données des applications, un sondage YouGov a révélé qu'au Royaume-Uni, 45,6 % des gens n'ont pas réfléchi à l'endroit où sont stockées les données créées par les applications sur leur téléphone et 44,3 % des gens ne savent pas ou ne pensent pas que les applications sur leur téléphone utilisent le stockage dans le cloud.

Un sondage YouGov a révélé qu'au Royaume-Uni, 45,6 % des gens n'ont pas réfléchi à l'endroit où sont stockées les données créées par les applications sur leur téléphone et 44,3 % des gens ne savent pas ou ne pensent pas que les applications sur leur téléphone utilisent le stockage dans le cloud

Alors que nous passons plus de temps à utiliser les médias sociaux, les applications de messagerie, à stocker des fichiers avec des outils tels que Dropbox et Google Drive, que nos téléphones deviennent plus sûrs, que les appareils verrouillés sont plus difficiles à pirater et que le cryptage des fichiers se répand, l'extraction dans le nuage est, comme le dit un acteur majeur de l'industrie, "sans doute l'avenir de la police scientifique mobile".

Les données privées basées sur le cloud représentent une mine d'or virtuelle de preuves potentielles pour les enquêteurs médico-légaux.

Il est primordial de soulever des préoccupations concernant les risques d'extraction de téléphones mobiles du point de vue de la criminalistique et de souligner l'absence de mesures efficaces de protection de la vie privée et de sécurité. L'extraction dans les nuages va plus loin, en promettant l'accès non seulement à ce qui est contenu dans le téléphone, mais aussi à ce qui est accessible à partir de celui-ci.

Votre téléphone, avec toutes les données qui y sont exploitées, devient la clé pour déverrouiller votre vie personnelle et professionnelle en ligne.

Dans ce contexte, les technologies d'extraction dans le nuage rendent la lecture dérangeante, car nous saisissons la quantité de données contenues dans les serveurs distants et accessibles même à ceux qui ont des compétences limitées en matière de criminalistique, mais qui sont néanmoins capables d'acquérir des technologies à boutons-poussoirs qui peuvent "tout saisir".

Il est urgent de s'attaquer aux risques qui découlent d'une telle extraction, surtout si l'on considère l'ajout de la reconnaissance faciale et émotionnelle aux logiciels qui analysent les données extraites.

Il y a un manque d'information du public sur les nouvelles technologies de surveillance déployées par l'État ; une absence de cadres juridiques clairs et accessibles ; un manque d'action discernable de la part des gouvernements et peu de choses pour protéger le public contre l'exploitation des données. L'apparente approche "Far West" des données hautement sensibles comporte le risque d'abus, de mauvais usage et d'erreur judiciaire. C'est un autre facteur qui dissuade les victimes d'infractions graves de remettre leur téléphone, surtout si nous ne disposons même pas de renseignements de base de la part des organismes d'application de la loi sur ce qu'ils font.

Les technologies d'extraction dans les nuages sont déployées avec peu de transparence et dans un contexte de compréhension très limitée du public : le présent rapport réunit les résultats des recherches, des analyses techniques et des demandes d'accès à l'information de Privacy International pour exposer et contrer cette menace émergente et urgente pour les droits des personnes. 

Qu'est-ce que l'extraction de téléphone portable


Les outils d'extraction de téléphones mobiles sont des appareils et des logiciels qui permettent à la police de télécharger des données à partir de téléphones mobiles, notamment :
  • Contacts
  • Données d'appel - qui nous appelons, quand et pour combien de temps
  • Messages texte
  • Fichiers stockés - photos, vidéos, fichiers audio, documents, etc
  • Données des applications - quelles applications nous utilisons et les données qui y sont associées.
  • Informations sur l'emplacement
  • Les connexions au réseau Wi-fi - qui peuvent révéler les emplacements de tout endroit où nous nous sommes connectés au wi-fi, comme notre lieu de travail et les propriétés que nous avons visitées.

L'extraction de téléphones mobiles implique la connexion physique de l'appareil mobile à analyser et un appareil qui extrait, analyse et présente les données contenues dans le téléphone.

Cependant, non seulement il fournit ce qui est contenu sur l'appareil lui-même, mais il peut être une passerelle vers le Cloud et vers des sources d'information externes. Si vous extrayez des identifiants, des mots de passe et des jetons de l'appareil examiné, ceux-ci peuvent être utilisés pour valider les justificatifs d'identité afin d'extraire les données stockées dans le nuage.

Qu'est-ce que l'extraction dans le nuage ?

L'extraction dans le nuage (ou cloud analytics) est la capacité d'accéder, d'extraire, d'analyser et de conserver des données stockées dans le nuage, terme largement utilisé par les entreprises technologiques pour désigner le stockage de données à distance, à partir d'applications ou d'appareils, généralement sur les serveurs d'une entreprise tierce. Les exemples incluent Dropbox, Slack, Instagram, Twitter, Facebook, les produits Google tels que My Activity, Uber et Hotmail. Nous explorons plus en détail ci-dessous les types de données qui peuvent être extraites.

Comme le stockage dans le nuage est de plus en plus utilisé pour les médias sociaux, les appareils connectés à Internet et les applications, l'extraction dans le nuage ouvre la porte à une énorme quantité de renseignements personnels. Dans les rapports sur l'explosion des données dans le nuage, on dit que d'ici 2025, 49 % des données seront stockées dans des environnements de nuage publics. Le Cisco Global Cloud Index prévoit la croissance des centres de données mondiaux et du trafic IP basé sur le nuage et prévoit une augmentation de l'utilisation des centres de données publics dans le nuage d'ici 2021.

utilisation des médias sociaux

La part du lion des données des applications mobiles est stockée dans le cloud. Ceci étant dit, il devrait être compréhensible qu'il y ait une quantité massive de données d'utilisateurs disponibles pour la collecte.

L'UFED Cloud Analyzer de Cellebrite, par exemple, utilise des identifiants de connexion qui peuvent être extraits du périphérique pour ensuite extraire un historique des recherches, des pages visitées, des enregistrements de recherche vocale et des traductions de l'historique Web de Google et afficher les recherches de texte effectuées avec Chrome et Safari sur les périphériques iOS sauvegardés par iCloud.

En acquérant les identifiants de connexion, il permet à ses utilisateurs de continuer à suivre le comportement en ligne de l'utilisateur du périphérique même si vous n'êtes plus en possession du téléphone.

 

Comment cela fonctionne-t-il ?

Il existe plusieurs façons d'accéder aux données du Cloud "indépendamment de l'état ou de la configuration de l'appareil mobile", ce qui les rend intéressantes du point de vue de la police scientifique. La première consiste à appliquer des identifiants d'utilisateur connus fournis par un individu, c'est-à-dire lorsque celui-ci soumet volontairement ses données de connexion. La deuxième méthode consiste à extraire des données d'un téléphone et à utiliser les jetons trouvés sur l'appareil ou sur un autre appareil tel qu'un ordinateur portable, où un utilisateur peut avoir des jetons d'authentification enregistrés par un navigateur. La troisième méthode consiste à collecter des données dans le domaine public.

Lorsqu'un utilisateur s'authentifie avec succès auprès d'une application ou d'un service de cloud computing, le service renvoie un jeton, qui est utilisé pour permettre à l'utilisateur d'accéder au service sans avoir à entrer à nouveau son nom d'utilisateur et son mot de passe. Un jeton est comme un pass, et il est utilisé, par exemple, lorsque vous ouvrez votre compte Gmail et qu'il vous connecte sans que vous ayez à intervenir. La plupart des jetons ont une date d'expiration définie au moment de l'authentification, qui varie selon l'application ou le serveur cloud. Certains sont valables pour une seule session, d'autres pour deux semaines, d'autres pour 30 jours, et d'autres encore pour toujours si l'utilisateur utilise l'application sur le même appareil mobile.

L'utilisation de jetons évite que l'authentification à deux facteurs (2FA) soit déclenchée par la connexion, ce qui empêcherait normalement l'accès aux données. La 2FA, processus par lequel un utilisateur est invité à confirmer un code envoyé à un appareil indépendant, tel que son téléphone portable, est une caractéristique de sécurité essentielle. Cependant, même si la 2FA est déclenchée, Oxygen Forensics Cloud Extractor indique qu'il peut avertir l'enquêteur et "plusieurs options sont fournies pour contourner les étapes supplémentaires".

Outils utilisés pour obtenir des jetons au-delà du mobile

L'outil GTEX d'Elcomsoft peut rechercher des jetons d'authentification sur un ordinateur

L'authentification sans mot de passe dans le compte Google est disponible si Google Chrome est installé sur l'ordinateur de l'utilisateur et si ce dernier s'est connecté à au moins un service Google via le navigateur. Le nouvel outil Google Token Extractor (GTEX) recherche automatiquement sur l'ordinateur de l'utilisateur les jetons d'authentification enregistrés par le navigateur Google Chrome. Une fois que l'utilisateur se connecte à son compte Google dans une session de navigateur, ces jetons permettent un accès transparent aux services Google sans qu'il soit nécessaire de saisir à nouveau le mot de passe.

Le collecteur de nuages PC de Cellebrite

est un outil indépendant qui crée des jetons à partir du PC d'un suspect en utilisant les cookies des navigateurs et des applications qui sont installés sur ce PC.

Analyseur de nuages UFED 7.6

étend sa fonctionnalité de collecteur de mots de passe pour inclure les mots de passe enregistrés sur les navigateurs Web mobiles. Les inspecteurs peuvent désormais récupérer les mots de passe de différents sites à l'aide du collecteur de mots de passe afin de collecter le maximum de données sur un suspect ou une victime. Pour ce faire, ils utilisent les détails de connexion d'une personne qui ont été sauvegardés dans son navigateur lorsqu'elle accède à son compte en ligne.

Un autre outil similaire est le KeyScout d'Oxygen Forensics pour trouver des mots de passe et des jetons sur un PC

KeyScout s'installe sur une carte flash et collecte les informations d'identification des PC Windows. Les informations d'identification collectées peuvent ensuite être importées dans Oxygen Forensic Cloud Extractor pour une utilisation immédiate.

Les outils de criminalistique offrent non seulement un moyen simple d'accéder aux données stockées dans le nuage, mais ils fournissent aussi plus de données qu'une personne ne peut en obtenir en utilisant son propre nom d'utilisateur et son propre mot de passe. Elcomsoft, par exemple, soutient que "même si des données d'authentification appropriées sont disponibles [comme le nom d'utilisateur et le mot de passe], l'accès aux preuves stockées dans le nuage n'est pas assuré". Elcomsoft a comparé la quantité de données qu'ils pouvaient obtenir en utilisant Elcomsoft Phone Breaker à ce qu'ils pouvaient obtenir sans utiliser des outils criminalistiques. Ils soutiennent que l'utilisation de leur outil est non seulement simple et rapide, mais qu'il permet d'accéder à plus de données du Cloud, qu'il n'est possible d'accéder même lorsque le nom d'utilisateur et le mot de passe sont connus.

Les rapports suggèrent qu'il existe d'autres moyens d'accéder aux comptes dans le nuage à l'aide de jetons. En juillet 2019, le Financial Times a rapporté que les logiciels malveillants vendus par le groupe NSO, Pegasus, peuvent effectuer une extraction dans le Cloud en copiant les clés d'authentification d'un téléphone infecté, permettant ainsi à un serveur séparé d'usurper l'identité du téléphone, y compris son emplacement. NSO Group a réfuté ce rapport.

Malgré les commentaires de sociétés telles qu'Amazon, Apple, Google et Microsoft sur le rapport du Financial Times concernant le NSO Group, on ne sait pas très bien quelle est leur position par rapport aux technologies d'extraction dans les nuages utilisées par les forces de l'ordre. Google a déclaré au Financial Times qu'il n'avait trouvé "aucune preuve d'accès aux comptes ou aux systèmes de Google" en ce qui concerne Pegasus. Cependant, étant donné le nombre de sociétés de police scientifique qui font ouvertement la promotion de l'accès aux produits Google, il faut savoir qu'il s'agit d'un problème important pour la sécurité des données de leurs utilisateurs. Nous avons écrit à Google et à d'autres entreprises pour leur demander leur position sur les technologies d'extraction dans le cloud. La réalité est que, dans de nombreux cas, leurs clients ne savent pas que cette technologie existe et qu'elle est utilisée contre eux dans un vide juridique.

Quels types de données peuvent être obtenus ?

Les affirmations des sociétés de surveillance concernant les types de données qui peuvent être accessibles via l'extraction dans le nuage sont aussi impressionnantes que préoccupantes. L'analyseur de cloud de Cellebrite, par exemple, prétend "extraire, préserver et analyser les données du domaine public et des médias sociaux privés, la messagerie instantanée, le stockage de fichiers, les pages Web et d'autres contenus basés sur le cloud en utilisant un processus scientifiquement solide". Cela inclut toute une série de produits Google, dont la fonction "Historique" est la seule à pouvoir le faire :

d'avoir un aperçu des intentions et des intérêts du sujet en extrayant l'historique des recherches textuelles, des pages visitées, des enregistrements de recherche vocale et des traductions de l'historique Web de Google et de visualiser les recherches textuelles effectuées avec Chrome et Safari sur des appareils iOS sauvegardés dans iCloud.

Cellebrite

Les experts en médecine légale prétendent pouvoir acquérir les messages non livrés, les appels sans réponse, les informations sur les messages supprimés des chats privés et de groupe, les images de profil et les messages de statut du propriétaire du compte et des contacts, les messages originaux intégrés dans la réponse et les messages diffusés. Les données concernent non seulement l'utilisateur des services, mais aussi ses amis, sa famille, ses collègues et toute personne avec laquelle il interagit.

Les images ci-dessous montrent une comparaison par Cellebrite de la quantité de données que vous pouvez extraire d'un téléphone par rapport à ce que vous pouvez extraire des sources du Cloud, exposant considérablement plus de données en ce qui concerne les médias sociaux, les e-mails, le partage de fichiers et l'historique de localisation et de recherche de ces derniers. Notamment "Informations de localisation minute par minute, recherches et sites Web visités" grâce à l'historique de localisation horodaté de Google et aux données et sauvegardes de Google My Activity.

Oxygen Forensics, qui a développé l'outil d'analyse judiciaire Oxygen Forensics Detective, a intégré Oxygen Forensic Cloud Extractor pour acquérir des "données provenant des services cloud les plus populaires", notamment WhatsApp, iCloud, Google, Microsoft, Mi Cloud, Huawei, Samsung, les serveurs de courrier électronique (IMAP) et bien d'autres. "divers services de médias sociaux sont également pris en charge, mais de façon limitée : Facebook, Twitter, Instagram, et bien d'autres." Il "...supporte, au moment de la rédaction, 54 types différents de services en nuage, allant du stockage de fichiers, aux messagers, aux drones, aux applications de santé et aux médias sociaux."

Même si vous utilisez la messagerie cryptée de bout en bout, si vous sauvegardez vos messages WhatsApp dans le Cloud, ils sont accessibles aux forces de l'ordre.

Magnet Forensics fournit également un service d'extraction de nuages, AXIOM Cloud, qui "prend en charge environ 25 artefacts de cloud dans neuf services parents pour inclure Apple Box, Dropbox, IMAP/POP, Facebook, Google, Instagram, Microsoft et Twitter. Chaque service est décomposé en différents sous-services".

En examinant plus en détail les types de données qui peuvent être extraites, les mises à jour de produit de Cellebrite pour l'analyseur de cloud montrent l'appétit croissant pour les données provenant d'appareils intelligents tels qu'Alexa et Google Home. UFED Cloud Analyzer 7.2 de Cellebrite "fournit un accès aux demandes des utilisateurs, y compris les données audio". Comme le note Cellebrite,

L'Internet des objets (IoT) a créé plus de moyens d'utiliser les données pour nous faciliter la vie, mais il a aussi créé plus de sources de renseignements numériques auxquelles les enquêteurs peuvent accéder dans leurs enquêtes criminelles..

Cellebrite

Cellebrite n'est pas la seule société d'extraction mobile qui favorise l'accès aux données des assistants à domicile. Oxygen Forensics considère les assistants numériques comme le nouveau témoin oculaire, avec un nombre estimé d'utilisateurs de ces appareils qui devrait atteindre 1,8 milliard d'ici 2021 :

Les précieuses données extraites peuvent contenir une multitude d'informations, notamment : les détails du compte et de l'appareil, les contacts, l'activité de l'utilisateur, les messages entrants et sortants, les calendriers, les notifications, les listes créées par l'utilisateur, les tâches créées/installées, les préférences, etc. Une caractéristique étonnante du logiciel est la possibilité d'extraire les commandes vocales stockées données à Alexa par l'utilisateur. La voix réelle de l'utilisateur ! Les informations extraites d'Amazon donneront sans aucun doute un aperçu formidable de l'activité quotidienne de l'utilisateur, de ses contacts, des messages partagés et des commandes vocales précieuses". "Lorsqu'un utilisateur Alexa prononce le mot de réveil pour effectuer une tâche, un enregistrement de la requête est envoyé au compte Amazon cloud de l'utilisateur. La demande spécifique de l'utilisateur est traitée et une réponse est renvoyée à l'appareil. Les enquêteurs, armés de l'Oxygen Forensic Cloud Extractor, peuvent extraire les données d'Amazon Alexa pour inclure ces précieux enregistrements de cette prononciation réelle de l’utilisateur.

Le nombre d'appareils connectés à Internet et stockant ainsi des données dans le nuage ne cessant d'augmenter, l'extraction dans le nuage n'atteint pas seulement le domicile des gens mais aussi leur corps avec l'accès aux données des vêtements de santé.

De nombreux utilisateurs actuels sont intéressés par les vêtements de santé, du Fitbit à l'Apple Watch, qui comprend des informations telles que le rythme cardiaque, la localisation, la consommation alimentaire, la messagerie et d'autres données précieuses qui sont souvent disponibles uniquement sur le service de cloud et non sur l'appareil mobile.

Cellebrite peut accéder aux données Fitbit telles que le profil utilisateur, les journaux, activités, les objectifs,les amis,la fréquence cardiaque,les parcours d'exercice (vitesse, lieu, heure, etc.)".

Une autre source de données concerne les déplacements et la localisation avec UFED Cloud Analyzer 7.3 qui accède aux données de localisation de Google et Booking.com "profil utilisateur, historique des achats, messages et recherches" et UFED Cloud Analyzer 7.6 prend en charge l'extraction à partir de l'application UBER et peut :

obtenir les données des profils des passagers et des conducteurs, les journaux des lieux de prise en charge et de dépose, et les 4 derniers chiffres de la carte de crédit d'un utilisateur... la récupération des ... détails de la carte de crédit que les nouveaux utilisateurs doivent remplir lors de leur première connexion. Au fur et à mesure que le passager choisit son lieu de ramassage, la destination souhaitée et le conducteur disponible, chaque trajet est bien documenté. Les trajets enregistrés sont regroupés puis classés par destinations favorites. Les informations concernant le conducteur comprennent le nom et une pièce d'identité avec photo.

Celbrite

Compte tenu de la popularité d'Amazon et de Facebook, ce sont des cibles évidentes pour les données stockées dans le nuage. Au quatrième trimestre de 2018, Facebook comptait 2,32 milliards d'utilisateurs actifs par mois. Amazon avait 300 millions d'utilisateurs en 2017. Une mise à jour de l'UFED Cloud Analyzer 7.5 de Cellebrite comprend "cinq nouvelles fonctionnalités qui permettent d'accéder aux journaux d'activité, aux historiques de recherche, aux pages, aux données des groupes d'utilisateurs et aux enregistrements d'adresses IP [pour Facebook]". Le logiciel peut :

... extraire des informations des histoires et des photos dans lesquelles un suspect a été identifié pour trouver de nouvelles pistes ou de nouveaux suspects. Les points de données supplémentaires comprennent l'identification des connexions faites lorsque vous aimez une page ou que vous ajoutez quelqu'un comme ami, ainsi que les commentaires affichés, les articles lus, les vidéos vues, les endroits visités et plus encore. Pour les données utilisateur sur les groupes et les pages, UFED Cloud Analyzer 7.5 peut également signaler si un suspect est membre ou administrateur d'une certaine page ou d'un certain groupe. Cette version peut également faire apparaître les enregistrements d'adresses IP du journal de Facebook pour vous permettre d'identifier l'emplacement d'un téléphone ou d'un ordinateur utilisé pour accéder à un compte.

UFED Cloud Analyzer 7.5 "permet d'accéder à l'historique des recherches, des achats et des adresses de livraison [d'Amazon] qui peuvent apporter des preuves numériques essentielles à une enquête."

Dans cette version, vous pouvez également visualiser les 4 derniers chiffres d'une carte de crédit enregistrée sur un compte Amazon, y compris les adresses de facturation et de livraison. "L'historique de recherche des acheteurs et leur liste de souhaits au fil du temps peut indiquer un comportement suspect menant à un crime.

Les technologies d'extraction dans le nuage permettent également d'accéder aux données des drones, comme UFED Cloud Analyzer 7.6 qui a ajouté l'application DJI Drone et le réseau social SkyPixel.

Ceci permet aux examinateurs d'accéder à l'application ainsi qu'au compte utilisateur correspondant sur le réseau social SkyPixel. Les données du profil de l'utilisateur et les données stockées dans le journal de vol du drone sont récupérables et comprennent : la date, la distance, le temps de vol, le lieu, la vidéo et l'imagerie. Le profil utilisateur de SkyPixel peut également aider les examinateurs à vérifier si une collaboration a été effectuée sur des vidéos spécifiques ainsi que sur les balises de suivi, etc.

Comme de plus en plus d'entreprises s'appuient sur le stockage dans le nuage pour leurs activités professionnelles, les données accessibles qui peuvent être obtenues à partir de jetons sur les appareils ne concernent pas seulement la vie personnelle mais aussi leur travail. Par exemple, les données accessibles qui peuvent être obtenues à partir de jetons sur des appareils ne concernent pas seulement la vie personnelle, mais aussi le travail :

Cellebrite fournit un accès aux fichiers partagés et aux données de messagerie instantanée de Slack, l'outil de communication populaire du monde des affaires.

UFED Cloud Analyzer 7.9 inclut également la prise en charge des améliorations de Snapchat et Instagram. Ceci est pertinent si l'on considère ci-dessous les capacités croissantes de reconnaissance faciale intégrées dans les logiciels d'analyse qui analysent les données extraites à la fois des téléphones mobiles et obtenues via l'extraction dans le nuage.

Snapchat " est une application de messagerie multimédia globale qui permet aux utilisateurs de partager des photos et des messages qui ne sont disponibles que pendant une courte période avant qu'ils ne deviennent inaccessibles à leurs destinataires. A ce jour, Snapchat compte 190 millions d'utilisateurs actifs quotidiennement dans le monde entier et plus de 400 millions de boutiques Snapchat sont créées chaque jour.

UFED Cloud Analyzer 7.9 introduit pour la première fois la prise en charge de l'application Snapchat, avec un accès à l'aide de tokens récupérés sur n'importe quel appareil Android. Avec cette version, vous pouvez récupérer des fichiers sauvegardés, également appelés Mémoires, et revoir les communications directes de messages entre les contrats. Accédez aux informations de contact du compte et aux fichiers My Eyes Only protégés par un mot de passe". " Cette version de UFED Cloud Analyzer introduit un support complet pour l'application Instagram. En plus des ensembles de données déjà pris en charge dans les versions précédentes, vous pouvez désormais afficher les réponses aux messages qui incluent des images et des vidéos. Vous pouvez également accéder à toutes les données associées aux messages de chat, y compris le partage des messages, les préférences et les commentaires dans un message.

Reconnaissance faciale et extraction de cloud

L'analyse des données extraites des téléphones mobiles et autres appareils utilisant les technologies d'extraction dans le nuage inclut de plus en plus l'utilisation de capacités de reconnaissance faciale. Si l'on considère le volume de données personnelles qui peuvent être obtenues à partir de sources basées dans le nuage telles que Instagram, Google photos, iCloud, qui contiennent des images faciales, la possibilité d'utiliser la reconnaissance faciale sur des masses de données est un enjeu important. Le fait qu'elle puisse être utilisée sur de vastes quantités de données stockées dans les nuages sans aucune transparence ni responsabilité est une préoccupation sérieuse.

En août 2017, Cellebrite a introduit ce qu'elle a appelé une "technologie d'apprentissage automatique avancée" pour sa plate-forme d'analyse, qui peut être utilisée pour analyser les données extraites du nuage et qui comprend la reconnaissance et la correspondance des visages.

À partir de juillet 2019, le module Oxygen Forensics JetEngine, qui est intégré à l'Oxygen Forensic Detective, permet de catégoriser les visages humains. Non seulement Oxygen fournit la catégorisation et la correspondance des visages dans les données extraites, mais l'analyse faciale permet de catégoriser la reconnaissance du sexe, de la race et des émotions.

Lee Reiber, directeur de l'exploitation d'Oxygen, a déclaré que l'outil peut "rechercher un visage spécifique dans une banque de preuves, ou regrouper des images de la même personne. Ils peuvent aussi filtrer les visages par race ou par groupe d'âge, et les émotions telles que la joie et la colère".

Suivi en continu

Une fois que vous avez les identifiants d'un utilisateur, non seulement vous pouvez obtenir ses données dans le nuage, mais vous pouvez aussi le suivre en utilisant ses comptes dans le nuage. Par exemple, les capacités du Cloud Analyzer de Cellebrite incluent la possibilité, une fois que vous avez les informations d'identification d'un individu, de :

Suivre le comportement en ligne. Analyser les messages, les goûts, les événements et les connexions pour mieux comprendre les intérêts, les relations, les opinions et les activités quotidiennes d'un suspect ou d'une victime.

Cela offre un aperçu très privé de la vie d'un individu. La personne elle-même ne saura jamais que quelqu'un a accès à son profil dans les nuages et peut l'utiliser.

La surveillance de l'activité à court ou à long terme, en particulier sans possession du téléphone et en dehors de ce qui se trouve sur l'appareil, est très intrusive et présente un autre aspect inquiétant des capacités d'extraction dans le nuage.

Non seulement vous pouvez suivre des personnes et surveiller le comportement, les messages et les données de localisation à tout moment, avec leurs identifiants de connexion ou la possibilité d'accéder à leurs comptes dans les nuages, mais vous pouvez aussi envoyer des messages, vous faire passer pour eux, envoyer des courriers au contenu illégal à quelqu'un d'autre.

Conclusion

Il n'y a pas d'informations concernant l'utilisation des technologies d'extraction dans le nuage, ce qui ne permet pas de savoir clairement dans quelle mesure cela est légal et comment les personnes sont protégées contre les abus et les utilisations abusives de leurs données.

Le volume de données qui peut être extrait des services dans le cloud, l'inclusion de la technologie de reconnaissance faciale pour analyser les images et les implications pour le grand nombre de personnes dont les données personnelles seront obtenues ne serait-ce qu'en extrayant des données dans le cloud relatives à une personne en font un sujet qui mérite une transparence et une responsabilité bien plus grandes.

Cela fait partie d'une tendance dangereuse des organismes de maintien de l'ordre et il faut garantir à l'échelle mondiale l'existence de la transparence et de la responsabilité en ce qui concerne les nouvelles formes de technologie qu'ils utilisent.

Recommandations

La recherche des données dans le nuage d'une personne peut être plus envahissante que la recherche de son domicile, non seulement pour la quantité et le détail des informations, mais aussi pour la nature historique des données anciennes et les données futures qui peuvent continuer à être analysées dans le nuage. L'État ne devrait pas avoir un accès illimité à la totalité de la vie d'une personne et l'utilisation de l'extraction dans les nuages exige la plus stricte des protections. Par conséquent, Privacy International recommande que :

  • Un examen indépendant immédiat soit entrepris sur l'utilisation par les forces de l'ordre des analyses dans les nuages par les organismes de police et de contrôle des frontières pertinents, avec des consultations auprès du public, de la société civile et de l'industrie ainsi que des autorités gouvernementales.
  • La police doit avoir un mandat délivré sur la base de soupçons raisonnables par un juge avant de procéder à un examen judiciaire de toute donnée basée sur le cloud, ou d'accéder d'une autre manière à tout contenu ou à toute donnée de communication qui y est stockée.
  • Une base juridique claire doit être mise en place pour inspecter, collecter, stocker et analyser les données provenant de services basés sur le cloud, qui prévoit des garanties adéquates pour s'assurer que les pouvoirs d'intrusion ne sont utilisés que lorsqu'ils sont nécessaires et proportionnés. Il faut se demander si ces technologies intrusives ne devraient être utilisées que pour des infractions graves.
  • Des indications destinées au public concernant leurs droits et ce que ces extractions impliquent doivent être publiées et fournies aux personnes dont les dispositifs doivent être analysés.
  • Les personnes doivent être informées que leurs données dans le nuage ont été extraites, analysées et conservées.
  • Toute personne qui fait examiner ses données dans le nuage devrait avoir accès à un recours effectif lorsqu'elle peut soulever des questions de légalité.
    Il doit y avoir une surveillance indépendante du respect par les forces de l'ordre de l'utilisation légitime de ces pouvoirs.
  • Des normes de cybersécurité devraient être convenues et diffusées, précisant la manière dont les données doivent être stockées, la durée de leur conservation, le moment où elles doivent être supprimées et les personnes qui peuvent y accéder.
  • Toutes les autorités qui utilisent ces pouvoirs doivent acheter les outils pertinents par l'intermédiaire des circuits d'achat du domaine public et mettre régulièrement à jour un registre des outils qu'elles ont achetés, en précisant notamment de quels outils elles disposent, le fabricant commercial et le montant des dépenses.
  • Des normes techniques doivent être créées et suivies pour garantir qu'il existe une manière particulière d'obtenir des données qui soient répétables et reproductibles, afin d'assurer la vérification et la validation. Cela devrait être accompagné, par exemple, d'un processus clairement documenté.
  • Des compétences techniques sont nécessaires, car cette quantité sans précédent de données entraîne le besoin d'enquêteurs judiciaires hautement qualifiés. Il faut tenir compte du risque d'erreur judiciaire si les données brutes sont mal interprétées ou si les personnes n'ont pas les moyens de payer des experts pour examiner les données.
  • L'essai, la mise à l'essai et le déploiement des technologies d'extraction dans les nuages doivent être accompagnés d'évaluations d'impact, de garanties adéquates et d'un engagement avec le public et la société civile.

Pour terminer voici un tableau récapitulatif des 3 principaux outils disponibles sur le marché et les possibilités qu'ils offrent en matière d'accès aux données stockées dans le cloud :

Et enfin le lien vers le rapport de Privacy International : Cloud Analytics LONG READ FINAL.pdf 3.52 MB

Source : https://www.privacyinternational.org/long-read/3300/cloud-extraction-technology-secret-tech-lets-government-agencies-collect-masses-data