Daily Weekly Monthly

Monthly Shaarli

October, 2023

"Bientôt la figuration, ça n'existera plus" : des comédiens "scannés" sur des tournages de film craignent pour leur futur
thumbnail

"Bientôt la figuration, ça n'existera plus" : des comédiens "scannés" sur des tournages de film craignent pour leur futur

Article rédigé par Marion Bothorel Publié le 25/10/2023 05:55

Un fond vert, une myriade de clichés... La duplication 3D se répand de plus en plus sur les plateaux de cinéma. Des comédiens s'inquiètent ainsi d'être "utilisés sans le savoir" et de participer au crépuscule de leur profession, déjà menacée par l'avènement de l'intelligence artificielle.

Il est près de 2 heures du matin en cette fin août. Accoutré en bourgeois du XIXe siècle, Lucien participe au tournage du Comte de Monte-Cristo*, la prochaine superproduction de Pathé, tirée de l'œuvre d'Alexandre Dumas. Après plus de quatre heures de tournage, le groupe de figurants dont fait il fait partie peut faire une pause. Le comédien, somnolent, est approché par un photographe. Habitué des séances en costume, Lucien se prête au jeu. Cette fois, il est tenu d'afficher une mine neutre, devant un écran vert.

"Des stickers avaient été collés, il me les indiquait en me disant : 'Regarde ce point-là'. Il m'a aussi demandé de lever les bras."

Lucien, figurant

Ces poses sont suffisamment inédites pour pousser Lucien à questionner le photographe : "Il me répond que c'est pour faire des doubles numériques, pour les effets spéciaux. Je demande si c'est bien pour ce film. Il m'assure que oui." Mais Lucien craint d'être "utilisé sans le savoir" et que sa "copie 3D" se retrouve dans d'autres films. Selon lui, une dizaine d'autres figurants se sont prêtés à l'exercice, sans avoir été informés de "l'utilisation véritable de ces images".

"Suivez-nous au scan !"

Astrid raconte avoir vécu la même scène sur le tournage d'un biopic du général de Gaulle, également produit par Pathé. Après une journée de travail de quatorze heures sous la pluie, les décors commencent à être démontés quand les figurants sont informés qu'il leur reste des "choses à faire". On leur désigne "une petite tente blanche avec un appareil photo, derrière lequel est tendu un écran vert", raconte l'actrice. D'après elle, les responsables sur place "faisaient très attention à ce que tout le monde y passe".*

La comédienne consent mais s'étonne d'être photographiée debout, les bras écartés à l'horizontale. "Au sol, il y avait une croix et on devait pivoter autour à 360°, le visage fixe, les pieds écartés", observe cette ex-graphiste en reconversion.

"Quand on demandait à quoi ça allait servir, les chargés de figuration nous répondaient que c'était pour créer une plus grosse foule. Mais il fallait aller les voir et leur demander."

Astrid, actrice

L'actrice a ensuite exigé que ces images soient effacées. "Je me disais : 'Maintenant qu'ils m'ont créée en 3D, ils vont pouvoir me mettre absolument partout'", explique-t-elle. Près de deux mois après le tournage, elle n'a toujours pas reçu de garantie de la production. Pathé confirme que des scans ont bien été réalisés lors des tournages de De Gaulle et du Comte de Monte-Cristo afin "de faire de la multiplication de foule", sans préciser combien de figurants ont ainsi été numérisés.

Sur une autre production, Olivier a lui aussi été "scanné" sans en avoir été informé au préalable. Pour les besoins d'une série diffusée par une plateforme américaine, il est convoqué, en septembre 2022, à un "essayage d'époque". Il doit être habillé, maquillé et coiffé dans les conditions requises pour le tournage. "Ils m'ont dit : 'Suivez-nous au scan'. Quatre ou cinq figurants attendaient déjà dans cette salle plongée dans le noir. Deux techniciens américains nous ont ensuite placés à tour de rôle sur une croix et 250 appareils photos nous ont flashé simultanément, bras baissés, puis levés pendant 30 secondes, avant qu'on soit remerciés", se souvient-il. Sur le moment, Olivier n'a rien dit, mais avec une année de recul, il juge l'absence de transparence *"pr*oblématique".

"Il n'y a aucune communication"

L'absence de "transparence", c'est également ce qui frappe Nathalie de Médrano, membre de l'Association des chargés de figuration et de distribution artistique (ACFDA). Cette professionnelle dont le travail consiste à recruter des figurants assure avoir été contactée dès le "mois de juin" par des "figurants qui avaient été scannés". En quatre mois, l'ACFDA a récolté une douzaine de témoignages similaires à ceux de Lucien, Astrid et Olivier. *"*Ce qui me frappe le plus dans cette histoire, c'est qu'il n'y a aucune communication de la part des productions. Elles présentent cela comme quelque chose d'acquis, de normal et de naturel", poursuit-elle.

La production du Comte de Monte-Christo a justement utilisé cet argument pour répondre à Lucien, qui demandait la suppression des images. "La prise de photographies devant un fond vert, tel que cela a été fait avec vous, est un procédé de VFX [effets spéciaux] très usuel dans la préparation et le tournage de films", lui expose l'un des producteurs dans un e-mail que franceinfo a pu consulter. "Ces photographies sont effectuées dans l'unique but de créer des effets visuels pour augmenter les effets de foules en arrière-plan des scènes du film (...)*, dans lesquelles aucun visage n'est utilisé ni reconnaissable à l'écran."*

"Cela fait des années que ce procédé est utilisé."

Un producteur

"*Il y a beaucoup de films où ça se fait"*, confirme Antoine Moulineau, superviseur des effets visuels, dont la société Light intervient notamment sur le prochain Napoléon de Ridley Scott. Lui-même utilise cette technique "au moins depuis 1999". En capturant les silhouettes de 300 figurants, la société d'Antoine Moulineau "peut en faire 50 000", assure-t-il. Ce spécialiste des effets spéciaux confirme, en revanche, qu'il est possible que ces doublures numériques puissent servir dans d'autres films, comme le redoutent les figurants interrogés par franceinfo. Dans ce cas, les acteurs auraient beaucoup de mal à se reconnaître à l'écran, selon lui, car les visages sont peu identifiables et les vêtements sont "échangés" d'une silhouette à l'autre afin "d'apporter de la variation" dans la foule.

Un membre de la production chez Pathé admet "qu'il faut [être] plus transparents sur la manière dont sont utilisées et stockées ces images et prouver qu'elles serviront uniquement dans la séquence à laquelle les figurants ont participé, qu'elles ne seront pas réutilisées autrement". Antoine Moulineau tient à rassurer les figurants : "Jamais, il n'a été question de faire une doublure d'un acteur à partir de ces photos-là [prises devant un fond vert] pour lui faire jouer n'importe quoi. On n'en est quasiment pas capables aujourd'hui."

"C'est une manière de faire des économies"

Le milieu du cinéma s'inquiète néanmoins de la généralisation de ces pratiques. Elles ont même été au cœur de la grève des scénaristes et acteurs américains à Hollywood. Le SAG-Aftra, le syndicat de ces derniers, s'est opposé mi-juillet à une proposition faite par les producteurs. D'après Duncan Crabtree-Ireland, son directeur exécutif, cité par le magazine People, ceux-ci voulaient que "les figurants puissent être scannés, qu'ils soient payés pour la journée, puis que leur image appartienne aux sociétés de production et qu'elles puissent l'utiliser pour toujours pour n'importe quel projet, sans consentement et sans compensation". De fait, Astrid a touché la même somme que pour une journée de tournage classique : 180 euros net. "C'est une manière pour [les producteurs] de faire des économies", abonde Olivier.

"Pour la scène où ils m'ont scanné, ils avaient besoin de 3 000 figurants. Alors soit ils en embauchent autant, soient ils me paient double ou triple."

Olivier, comédien

Sans intervention des syndicats, ces figurants restent silencieux, de peur de "se cramer". Mais au-delà de la rémunération, se pose également la question légale du traitement de l'image des figurants, qui entre dans la catégorie "des données sensibles", analyse Mathilde Croze. Cette avocate spécialisée dans les nouvelles technologies rappelle que les données à caractère personnel doivent être "traitées de façon proportionnelle" par les producteurs. "Pendant combien de temps ces images sont-elles stockées ? Pour quelles finalités, où et comment ?" s'interroge-t-elle. Et de critiquer "une méconnaissance totale du droit". Rien ne répond à ces questions dans les contrats de figurants consultés par franceinfo.

"Tout le monde navigue en eaux troubles. Personne ne sait vraiment à quoi vont servir [ces images]. Mais au cas où, les productions les ont en stock."

Mathilde Croze, avocate

Les figurants sont tenus de signer des autorisations d'exploitation de leur image, y compris pour "tous modes et procédés connus ou inconnus à ce jour", selon la formule consacrée. "Tout le monde reconnaît que c'est une question qui doit être traitée, réglementée", s'émeut Jimmy Shuman, conseiller national du Syndicat français des artistes interprètes, affilié à la CGT. Lui se mobilise pour que les figurants puissent "ajouter une ligne dans leur contrat afin d'éviter une utilisation de leur image au-delà de leur rôle dans tel ou tel film".

"On aura toujours besoin de figurants"

De son côté, Pathé assure réfléchir "à comment mieux formaliser les choses pour qu'il n'y ait plus de doutes" quant à la finalité des images et ce, dès l'embauche du figurant "en amont du tournage". Après avoir participé à plusieurs piquets de grève à Los Angeles, aux côtés de ses homologues du SAG-Aftra, Jimmy Shuman invoque une urgence à agir, en évoquant pêle-mêle les figurants virtuels et les "deepfakes" d'acteurs générés par l'intelligence artificielle.

"*Bientôt la figuration sur les sujets d'époque, ça n'existera plus", s'attriste Astrid. Nathalie de Médrano se dit elle aussi "très pessimiste sur l'avenir de la figuration". "Dans dix ans, il y aura peut-être 10% des cachets qu'on a aujourd'hui"*, envisage la chargée de figuration.

"A ce rythme-là, dans cinq ans, il y aura beaucoup moins de figurants, il n'y aura que des doubles numériques hyper réalistes."

Lucien, comédien

"Ce n'est pas du tout une évidence de réduire le nombre de figurants", martèle-t-on chez Pathé, en niant le côté "systématique" de cette pratique. "On aura toujours besoin des figurants", assure également Antoine Moulineau, ne serait-ce que pour avoir une bonne qualité d'image sur les visages placés au premier plan d'une foule. "Si on demande juste à un figurant de marcher en arrière-plan, là oui il peut être généré numériquement", nuance toutefois le superviseur des effets visuels.

Antoine Moulineau se montre en revanche bien plus préoccupé, comme les figurants interrogés, par l'arrivée de l'intelligence artificielle dans le cinéma. Déjà menaçante pour le monde du doublage, cette technologie fragilise davantage les figurants. Recréer numériquement un acteur est déjà possible mais pour l'instant, le recours à l'IA coûte "plus cher" que "faire jouer" un vrai comédien, selon le spécialiste des effets spéciaux. Deux échéances pourraient être décisives. Les négociations à Hollywood, où les acteurs restent mobilisés, pourraient déboucher sur un accord avec les producteurs, qui servirait de modèle en France. D'ici à la fin de l'année, le Parlement européen doit aussi réglementer l'usage de l'intelligence artificielle en Europe, notamment au cinéma.

* Les prénoms ont été modifiés.

La Chine confrontée au trafic des “visages volés” de l’intelligence artificielle
thumbnail

La Chine confrontée au trafic des “visages volés” de l’intelligence artificielle

Chantage à la fausse sextape, manipulations bancaires… En Chine, le développement de l’intelligence artificielle (IA) fait passer l’escroquerie en ligne à un niveau inédit. Dans une société où tout est enregistré, des caméras de surveillance à la reconnaissance faciale sur smartphone, les données relatives aux visages ou à la voix des individus se monnaient à vil prix sur Internet. Les victimes en “perdent la face” – littéralement.

Xinjing Bao par Wang Chang Traduit du chinois Publié aujourd’hui à 05h00 Lecture 9 min.

L’appel vidéo n’a duré que sept secondes. Assez, cependant, pour que Fang Yangyu soit persuadé que ce visage et cette voix étaient bien ceux d’un de ses proches. Et pour qu’il vire 300 000 yuans [près de 39 000 euros] sur un compte bancaire.

“En fait, tout était faux !” tranche le commissaire Zhang Zhenhua, du bureau de la sécurité publique de Shanghe [un district de la province du Shandong, dans l’est de la Chine]. “C’était une escroquerie par IA, comme on en voit beaucoup ces derniers temps.”

L’affaire s’est produite le 29 mai dernier : Fang Yangyu, qui réside à Jinan [la capitale du Shandong], regarde de courtes vidéos chez lui, quand il reçoit un message d’un inconnu qui se présente comme un membre de sa famille, et qui lui envoie son identifiant QQ [“Kioukiou”, du nom d’un des principaux réseaux de messagerie en Chine]. À peine Fang Yangyu a-t-il ajouté le contact qu’il reçoit un appel vidéo de celui qui a tout l’air d’être un de ses “cousins”.

Sous prétexte de la mauvaise qualité du réseau, son interlocuteur raccroche au bout de quelques phrases échangées. Leur conversation se poursuit dans le chat : le “cousin” explique qu’il doit de toute urgence transférer une somme d’argent, mais qu’il n’arrive pas à le faire directement. Il voudrait donc d’abord virer les fonds sur le compte de Fang Yangyu pour que celui-ci les transfère ensuite sur une carte bancaire donnée.

À l’autre bout de la Chine

Il lui envoie deux captures d’écran attestant du bon virement des sommes sur le compte de Fang Yangyu, qui s’étonne tout de même de n’avoir pas reçu de notification de sa banque. “Ça devrait arriver dans les vingt-quatre heures. De toute façon, les justificatifs bancaires font foi”, lui assure son “cousin”, qui fait doucement monter la pression. Face à ses demandes répétées, Fang finit par virer les 300 000 yuans sur le compte indiqué.

Peu après, son interlocuteur lui demande de transférer 350 000 yuans de plus. Fang Yangyu se méfie, se souvenant d’un message de sensibilisation aux arnaques ; il téléphone à un autre membre de sa famille [pour vérifier l’identité de ce “cousin”] et finit par découvrir le pot aux roses.

Le soir même, il prévient la police, qui constate que sa carte bancaire a été utilisée dans une bijouterie de la province du Guangdong [à l’autre bout de la Chine, dans le sud-est]. Le lendemain, la police locale interpelle six suspects dans la ville de Dongguan.

Elle découvre que le cerveau de cette escroquerie par IA se trouve dans le nord de la Birmanie. Les six individus arrêtés en Chine, eux, s’étaient organisés pour blanchir de l’argent au profit d’escrocs situés à l’étranger en se répartissant les tâches (achats d’or, versement de liquide à la banque, prises de contact en ligne, etc.).

La fuite de données, à la base du problème

Ces affaires d’escroqueries par IA interposée touchent tout le territoire chinois. Wang Jie, chercheur associé en droit à l’Académie des sciences sociales de Pékin, raconte avoir entendu parler pour la première fois de ce genre d’arnaque en 2019, lorsqu’un étudiant étranger avait cru échanger avec ses parents en visio alors que c’était un hypertrucage (aussi connu sous le nom anglais de deepfake) réalisé par des malfaiteurs. Avant cela, des affaires similaires de substitution de visages par IA à des fins frauduleuses avaient été traitées par les polices de Harbin (nord-est de la Chine) et de Fuzhou (sud-est) .

“Derrière les arnaques par intelligence artificielle, il y a toujours un problème de fuite de données”, souligne Wang Jie. Car, à l’ère de l’IA, la voix et le visage humains sont devenus des données qui peuvent se marchander et devenir source de profits.

De fait, nombreux sont ceux qui “perdent la face” sans s’en apercevoir. Il suffit pour cela de quelques secondes, comme en a fait l’amère expérience Pan Ziping, un habitant de la province de l’Anhui, dans l’est de la Chine.

Le 24 mars au soir, plongé dans la lecture d’un roman de fantasy sur son téléphone portable, il clique par inadvertance sur une publicité en voulant faire défiler le texte. L’action déclenche le téléchargement d’un jeu. Par curiosité, Pan Ziping essaie d’y jouer, puis désinstalle le programme, qu’il juge inintéressant.

Dix secondes fatales

Dans la foulée, il reçoit un appel téléphonique de l’étranger. Son interlocuteur affirme avoir accès à toutes les informations contenues dans son smartphone, en particulier sa galerie de photos et son répertoire. Il lui propose d’en parler sur QQ. Sans trop réfléchir, Pan Ziping l’ajoute donc à ses contacts. Dans la foulée, il reçoit un appel en visio. L’homme, qui n’a pas branché sa caméra, lui cite alors plusieurs noms de personnes figurant dans son carnet d’adresses, puis met fin à l’appel vidéo.

Quelques minutes plus tard, Pan Ziping reçoit par QQ une vidéo pornographique d’une dizaine de secondes : on y voit un homme nu en pleine action ; mais le visage de cet homme, c’est le sien. Pan Ziping est abasourdi : “C’est donc ça, la technologie d’aujourd’hui !” Alors qu’il est toujours interloqué, il reçoit un nouveau coup de téléphone, menaçant :

“Si tu ne me verses pas 38 000 yuans [près de 5 000 euros], j’envoie ta ‘petite vidéo’ à tout ton répertoire !”

À l’appui, l’homme joint une copie d’écran montrant que la vidéo est bien prête à partir ; un simple clic, et tous les amis, tous les contacts de Pan Ziping la reçoivent…

Pan Ziping partage alors son écran pour montrer à son interlocuteur qu’il n’a pas assez d’argent sur ses comptes Alipay et WeChat [nécessaires aux transferts d’argent]. L’homme diminue alors son prix, n’exigeant plus que 28 000 yuans, puis 18 000 et finalement 8 000 yuans [un peu plus de 1 000 euros]. Mais Pan Ziping est formel, c’est au-dessus de ses moyens. Son interlocuteur le pousse donc à emprunter les sommes nécessaires sur des plateformes de prêt en ligne.

Un jeu d’enfant

Pan hésite, prépare le transfert… Puis il finit par quitter l’appel et téléphone au 110 [le numéro d’urgence de la police]. Mais au bout du fil, l’agent refuse de recevoir sa plainte, au motif qu’il n’y a pas de préjudice avéré. Pan Ziping demande ce qu’il doit faire pour régler cette histoire de vidéo porno truquée par IA. On lui répond que la police n’a pas les moyens de la détruire. Et que la seule solution, pour lui, c’est d’envoyer un message collectif expliquant cette affaire à tout son carnet d’adresses.

Au fil de ses recherches, le chercheur Wang Jie a documenté de nombreux cas de pertes de données personnelles par des individus qui, après avoir consulté des sites web douteux, ont été victimes d’arnaques. Il estime que, avec les techniques actuelles, “capturer des données faciales est devenu un jeu d’enfant”. Elles sont collectées à notre insu par les caméras de surveillance omniprésentes, par les systèmes de détection faciale de nos smartphones ou encore par les applications qui demandent l’accès à nos galeries de photos.

En 2021, à Hefei [la capitale de l’Anhui], la police a débusqué un groupe de malfaiteurs qui se servaient de techniques d’intelligence artificielle pour trafiquer les visages de personnes sur des FMV [pour full motion videos, des scènes reconstituées à partir de fichiers vidéo préenregistrés]. Sur les ordinateurs des suspects, on a découvert une dizaine de gigaoctets de données faciales, qui ont changé de mains à de nombreuses reprises sur Internet – à l’insu, bien sûr, des personnes concernées.

Règlements inapplicables

Entre autres paliers franchis par les technologies de l’intelligence artificielle, les outils d’échange de visages par IA (aussi connus sous le nom face swap) sont désormais à la portée de tous.

Dès 2019, une application de ce genre appelée ZAO faisait fureur [en Chine], avant d’être retirée pour violation des droits d’auteur et atteinte à la vie privée, entre autres. Ses utilisateurs n’avaient qu’à fournir une photo de leur visage pour se retrouver, dans des vidéos, à la place de leur personnage de film ou de série préféré.

Spécialiste de droit pénal, Liu Xianquan met en garde contre les graves dangers qui peuvent résulter du détournement le plus anodin :

“En fait, ce n’est pas tant la technologie d’échange de visages par IA qui pose problème que la façon dont elle est utilisée.”

La Chine a mis en place, le 10 janvier dernier, un règlement limitant les services d’hypertrucage proposés sur Internet en Chine. Il stipule que les fournisseurs de ces services de deepfake ont pour obligation d’ajouter une fonction permettant d’identifier clairement le contenu comme étant issu d’un trucage numérique.

Par ailleurs, lorsqu’ils proposent des montages à partir de données biométriques comme la voix ou le visage d’un individu, ils sont tenus de prévenir leurs clients de l’obligation d’obtenir le consentement de cet individu. Problème : les techniques d’échange de visages par IA se monnayent bien souvent en catimini sur Internet, ce qui rend l’application de ce règlement particulièrement difficile.

Recréer les parties invisibles

On trouve des services en ligne proposant de changer les visages sur des photos pour 35, 50 ou 100 yuans [de 4,5 à 13 euros]. Pour les échanges de visages sur des vidéos, la tarification est à la minute, de 70 à 400 yuans [de 9 à 50 euros].

“Il est possible de changer n’importe quel visage”, indique l’un de ces marchands, qui se fait appeler “Zhang l’ingénieur”. Si un client lui fournit la photo ou la vidéo d’un visage, il est capable de l’intervertir avec celui d’une vedette, par exemple, mais aussi de “ressusciter” en vidéo des personnes mortes.

Zhang l’ingénieur ne propose pas seulement des prestations clé en main, mais aussi d’enseigner les techniques d’échange de visages. “Chez nous, on peut acheter un tutoriel et apprendre à tout faire soi-même”, indique-t-il. Il a lui-même développé un algorithme, qu’il vend 368 yuans sous forme d’extension sur la plateforme [de commerce en ligne] Taobao pour une utilisation illimitée pendant… cinquante ans !

Pour un rendu plus naturel, certains de ces marchands conseillent de fournir une photo de départ prise sous le même angle que celle de destination. Mais un autre vendeur affirme parvenir à un résultat criant de vérité avec juste une photo de face :

“Grâce au processus de ‘machine learning automatisé’, on peut reconstituer un visage dans ses moindres détails – y compris les parties invisibles.”

Le patron du studio de design vidéo Jielun, une boutique en ligne sur la plateforme WeChat, se présente comme un expert dans l’échange de visages par IA. Il montre avec fierté une vidéo de dix-neuf secondes qu’il a diffusée en mai dernier auprès de son cercle d’amis. Une femme vêtue d’un bustier, d’une minijupe et de bas noirs, s’y déhanche face à la caméra. Son visage ressemble en tout point à celui de la star [du cinéma et de la chanson] Yang Mi ; seul un léger décalage est décelable lorsqu’elle regarde vers le bas ou se tourne sur le côté.

Vingt euros la vidéo porno

Au studio Jielun, il faut compter 70 yuans la minute pour faire réaliser des vidéos ordinaires et 150 yuans [20 euros] pour des vidéos obscènes. Notre enquête confirme qu’il faut à peine deux heures de travail pour créer sur mesure une minute de vidéo porno truquée avec échange de visages.

Au cours de nos échanges, le patron du studio a demandé à plusieurs reprises à retirer des informations qu’il considérait comme “sensibles”. En revanche, il n’a jamais indiqué vouloir informer les “individus édités” de l’utilisation de leurs données faciales. Et, sur la vidéo truquée, il n’est nulle part fait mention d’un échange de visages par IA.

Mais le “commerçant” se retranche derrière ce qu’il appelle la “clause exonératoire de responsabilité” jointe à la vidéo. Elle stipule que “toute diffusion de matériel graphique ou vidéo est interdite, et le producteur n’en assume aucune conséquence. La vidéo est réalisée à des fins de divertissement uniquement, et nous ne pourrons en aucun cas être tenus responsables de l’utilisation des images et des vidéos, ni de tout autre dommage.”

Au Studio Jielun, on trouve également des applications ou des logiciels gratuits d’échange de visages par IA. Une rapide recherche sur TikTok suffit à découvrir de nombreuses offres publicitaires assorties de liens de téléchargement.

Le droit des victimes oublié

Ensuite, il suffit d’un clic : un clip publicitaire de vingt-cinq secondes se lance, après quoi, on peut utiliser gratuitement l’appli pour réaliser une vidéo truquée d’une dizaine de secondes, à partir de toute une série de courtes vidéos matricielles de célébrités ou de gens ordinaires, toutes disponibles sur la page d’accueil.

“C’est comme quand quelqu’un achète un couteau et commet un meurtre avec. Aurait-on l’idée d’en rejeter la faute sur le couteau ou sur celui qui l’a vendu ?”

Pour Gan Shirong, du cabinet d’avocats Huacheng de Pékin, ce n’est pas la technologie qui pose problème, mais l’utilisateur qui commet un acte illégal avec. Le juriste insiste, du reste, sur le fait que la vente “non encadrée” de ce genre de technologie augmente naturellement le risque de violation de la loi et rend son contrôle plus difficile.

Surtout, il est encore très compliqué de défendre les droits des victimes d’une violation d’identité par IA interposée. Comme le fait observer Liu Xianquan, d’un point de vue juridique, aucune réglementation pertinente n’existe actuellement sur l’utilisation et le développement des technologies d’intelligence artificielle.

Quant à Pan Ziping, il n’a finalement pas pu porter plainte après le vol de son visage et son utilisation dans une vidéo pornographique. L’affaire n’a pas eu de conséquence financière pour lui [puisqu’il a refusé le chantage], mais il n’a pu ni retrouver l’auteur du vol de son visage, ni empêcher la diffusion de la vidéo. Son seul recours a été d’envoyer un message collectif à tous les contacts de son répertoire pour leur demander de ne pas relayer la vidéo. Et, malgré les images, de ne pas croire à son contenu.

How Mastercard sells its ‘gold mine’ of transaction data

How Mastercard sells its ‘gold mine’ of transaction data

Mastercard knows where people shop, how much they spend, and on what days - and it sells that information online.

R.J. Cross - Director, Don't Sell My Data Campaign, U.S. PIRG Education Fund; Policy Analyst, Frontier Group

Today, many of the companies we interact with on a daily basis have found a new revenue stream: selling their customers’ data. There are huge markets for personal data, bought by companies ranging from advertisers and tech companies, to hedge funds and data brokers.

Credit card data in particular is extremely valuable. Knowing how much people spend, where and on what day says a lot about consumers’ financial situations, their personal lives and the decisions they might make in the future.

In the last decade, Mastercard has increasingly capitalized on the transaction data it has access to in the course of being a payment network. Mastercard sells cardholder transaction data through third party online data marketplaces and through its in-house Data & Services division, giving many entities access to data and insights about consumers at an immense scale.

Mastercard is far from the only company engaged in data sales, nor is it necessarily the worst actor. But in its position as a global payments technology company, Mastercard has access to enormous amounts of information derived from the financial lives of millions, and its monetization strategies tell a broader story of the data economy that’s gone too far.

Mastercard sells data on third party data marketplaces

Mastercard sells bundles of cardholder transaction data to third party companies on large online data marketplaces. Here, third parties can access and use information about people’s spending to target advertisements to individuals, build models that predict consumers’ behavior, or prospect for new high-spending customers.

For example, Mastercard’s listing on Amazon Web Services Data Exchange states that companies can access data like the amount and frequency of transactions, the location, and the date and time. Mastercard creates categories of consumers based on this transaction history, like identifying “high spenders” on fast fashion or “frequent buyers” of big ticket items online, and sells these groupings, called “audiences”, to other entities. These groups can be targeted at the micro-geographic level, and even be based on AI-driven scores Mastercard assigns to consumers predicting how likely they are to spend money in certain ways within the next 3 months.

The data Mastercard monetizes on these marketplaces is in aggregated and anonymized bundles. Aggregating and anonymizing consumer data helps cut down on some of the risks associated with data monetization, but it does not stop reaching people on an individual level based on data. High-tech tools connected to these third party data marketplaces allow companies to target and reach selected individuals based on traits like past spending patterns or geographic location.

Mastercard is a listed data provider on many of the major online data marketplaces. In addition to Amazon Web Services Data Exchange, Mastercard has listings on Adobe’s Audience Marketplace, Microsoft’s Xandr, LiveRamp, and Oracle’s BlueKai, among others. Selling data on even one of these makes consumer transaction behavior available to a significant number of entities.

Mastercard has established its own data sales division

In addition to data sales on third party marketplaces, Mastercard also has its own Data & Services division. Here, Mastercard advertises access to its databases of more than 125 billion purchase transactions through its more than 25 data services products. Some products give companies the chance to pay for cybersecurity and fraud detection tools. Others are focused on the monetization of consumer information for AI-driven consumer modeling and highly-targeted advertising.

For example, Intelligent Targeting enables companies to use “Mastercard 360° data insights” for identifying and building targeted advertising campaigns aimed at reaching “high-value” potential customers. Companies can target ads to selected consumers with profiles similar to Mastercard’s models – people it predicts are most likely to spend the most money possible.

Another data services product, Dynamic Yield, offers dashboard tools allowing companies to “capture person-level data” of website or app users, do A/B consumer testing, and “algorithmically predict customers’ next purchase with advanced deep learning and AI algorithms”. One of Dynamic Yield’s data products, Element, advertises that companies can “[l]everage Mastercard’s proprietary prediction models and aggregated consumer spend insights to deliver differentiating personalization that caters to each users’ unique habits and expectations like never before.” While the transaction data Mastercard offers may be aggregated, it’s clearly used to identify targets and reach them at the individual level.

Another example is SessionM, Mastercard’s customer data management platform product, allowing companies to combine their first-party data with data from other sources to create “360 degree” profiles of consumers that can be updated in real time based on purchases.

“That gold mine of data”: Mastercard has been building its data monetization capabilities for over a decade

In the last 15 years, Mastercard’s data monetization strategies have been a growing part of its revenue stream. In 2008, Mastercard’s then head of Global Technology and Operations said in an interview that a big question for Mastercard was how to “leverage that gold mine of data that occurs when you have 18.7 billion transactions that you’re processing.” By 2013 the company had established an in-house data monetization division – then called Information Services – and was approaching online advertising and media desks about opportunities to leverage its then reportedly 80 billion consumer purchases data. In 2018, Bloomberg reported that Mastercard and Google made a deal to provide credit card data for Google’s ad measurement business.

Recently, corporate acquisitions have helped drive Mastercard’s data revenue growth. In 2019, MasterCard acquired the AdTech platform SessionM, and in 2021 bought the AI company Dynamic Yield from McDonald’s. We briefly outline both platforms in the section above.

Selling data can harm consumers

Almost every company we interact with collects some amount of data on us. Often it’s more information than they really need – and it’s often used for secondary purposes that have nothing to do with delivering the service we’re expecting to get. This way of doing business unnecessarily increases the risks for regular people whose data has become a commodity, often without their knowledge.

Security and scams

When companies engage in data harvesting and sales to third parties, it increases the personal security risks for consumers. The more companies that hold a person’s data, the more likely it is that information will end up exposed in a breach or a hack. Once exposed, consumers are much more likely to become the victim of identity theft or financial fraud, and experience serious damage to their credit score.

Data sales also increase the odds scammers will gain access to personal data, allowing for the construction of targeted predatory schemes. Data brokers that often rely on other companies’ collection of consumer data have furnished scammers looking to find ideal victims with data, like identifying patients with dementia for targeting with fake lottery scams.

Annoying and invasive targeted advertising

Data sales often flow into the advertising industry, fueling the inundation of people’s screens with ads they didn’t ask to see that range from annoying to creepily invasive. In the 1970s, the average American saw between 500-1,600 ads a day; today, powered by data-driven online advertising, it’s now estimated at 5,000 ads daily, spanning across traditional ads on TV, radio and billboards, and targeted digital ads on websites, social media, podcasts and emails.

Advertising often encourages consumers to spend more money on purchases unlikely to shore up their financial health in the long-term. Americans currently owe more than $1 trillion in credit card debt – a record high. In today’s market with rising interest rates, endless data-driven appeals to spend more money play an increasingly unhelpful and potentially dangerous role in people’s lives.

While consumers have official government channels for opting out of junk calls and junk mail, there’s little consumers can do to protect their screens from unnecessary annoying, distracting and invasive ads they didn’t ask to see and didn’t give permission to have their data fuel.

Even aggregated and anonymized data can cause harm

Some tools companies use to protect privacy are not as secure as they sound, like aggregation and anonymization. A 2015 MIT study found this was the case with anonymized credit card data. Using an anonymized data set of more than 1 million people’s credit card transactions made over 3 months, MIT researchers could identify an individual 90% of the time using the transaction information of just 4 purchases. Data that’s provided in batches also has its limitations. For instance, providing data by micro-geography, like zip+4, can in some cases end up being so specific as to point to a specific address.

Additionally, just because data is aggregated and anonymized does not mean consumers aren’t being singled out for their purchasing habits. Using high-tech automated tools, anonymized and aggregated data can be used to reach specific consumers with tailored messages or help predict a given individual’s behavior.

Mastercard should commit to a limited use data policy

Companies have taken data harvesting and sales too far. The collection and sale of people’s data is almost entirely unregulated, and virtually every major company has begun monetizing customer data in ways people are not expecting.

Mastercard should commit to a policy of limited data use by implementing the principles of data minimization and purpose specification. This would mean collecting only the data necessary for providing the services cardholders are expecting to get – access to a safe and reliable credit card – and using the data only for that purpose.

PIRG has launched a coalition with Accountable Tech, American Civil Liberties Union, Center for Digital Democracy, Electronic Freedom Foundation, the Electronic Privacy Information Center, Oakland Privacy and Privacy Rights Clearinghouse asking Mastercard to commit to a limited data use policy.

Mastercard has served as people’s credit card long before it was able to use and sell transaction data in all of the ways that modern technology enables. Growing its profit margin is not a compelling reason for Mastercard to contribute to the massive marketplaces for data.

Passing new consumer data laws and having strong enforcement will be key to curtailing today’s invisible economy for people’s data. This is an urgent task. In the meantime, companies should voluntarily implement limited use data policies, and bring their business models back in line with consumer expectations.

“Menace contre l’État” : le Kenya s’attaque au scan de l’iris pratiqué par Worldcoin
thumbnail

“Menace contre l’État” : le Kenya s’attaque au scan de l’iris pratiqué par Worldcoin

Le projet lancé par Sam Altman, l’un des fondateurs d’OpenAI, veut promouvoir une nouvelle cryptomonnaie sécurisée par des données biométriques, à savoir le dessin de l’iris. Au Kenya, elle aurait scanné l’iris de 350 000 personnes en échange d’une somme d’argent en monnaie virtuelle.

Publié le 12 octobre 2023 à 16h32 Lecture 1 min.

Début août encore, le quotidien kényan The Standard publiait des photos des longues files d’attente qui se formaient à Nairobi. De nombreux habitants s’étaient rassemblés en différents endroits de la capitale pour faire scanner leur iris en échange d’une somme d’argent en cryptomonnaie. L’opération était l’œuvre de Worldcoin, fondé en 2019 par Sam Altman, cofondateur d’OpenAI. Son objectif est de lancer une nouvelle monnaie virtuelle associée à un système d’identification biométrique anonyme.

Mais ce projet semble peu apprécié des autorités locales. Après que le gouvernement a ordonné, le 2 août, la suspension provisoire des scans effectués par Worldcoin, des parlementaires kényans ont publié un rapport, fin septembre, réclamant l’arrêt définitif de ses activités, explique le journal britannique The Daily Telegraph. Ils invoquent une “menace contre l’État” et accusent Worldcoin d’“espionnage”.

Ces derniers émettent des doutes sur la manière dont ces données biométriques sont stockées et craignent de les voir échangées illégalement contre de l’argent. Le rapport parlementaire attire aussi l’attention sur le risque que représente l’émergence d’une monnaie décentralisée pour le système financier du pays.

“Nouvelle fièvre mondiale”

The Daily Telegraph précise que plusieurs millions de personnes à travers le monde ont déjà accepté de passer devant le scanner de Worldcoin.

“L’appareil, qui a la forme d’un ballon de football, scanne l’iris des individus pour confirmer leur identité et leur créer un compte.”

Au Kenya, les personnes ayant participé à l’opération ont reçu en récompense 25 jetons non fongibles de la nouvelle cryptomonnaie worldcoin, qu’ils pouvaient ensuite échanger en monnaie physique. La valeur de ces 25 jetons se situe aujourd’hui autour de 40 euros.

Worldcoin a été accusé de tirer profit des conditions de vie précaires de populations pauvres pour mettre en place son projet. “Confrontés qu’ils sont à un coût de la vie très élevé, à un chômage important et à des salaires qui ne bougent pas, les Kényans ont bondi sur cette occasion de gagner de l’argent sans rien faire, grâce au projet Worldcoin, qui a déclenché une nouvelle fièvre mondiale”, écrit The Standard.

Selon les informations du journal kényan Nation, qui cite les travaux du comité national chargé de la cybersécurité, plus de 350 000 Kényans auraient fait scanner leur iris.

Supprimer les VPN, lever l'anonymat sur Internet... Pourquoi nos politiques proposent-ils des idées irréalistes ?

Supprimer les VPN, lever l’anonymat sur Internet… Pourquoi nos politiques proposent-ils des idées irréalistes ?

1 octobre 2023 à 08:21 par Stéphanie Bascou

Pourquoi des députés ont-ils proposé de supprimer les VPN ou de lever l’anonymat à l’occasion du projet de loi SREN ? Outre les méconnaissances technique et juridique déplorées par des spécialistes, ces deux idées seraient un savant mix de plusieurs éléments : l’absence d’auditions d’experts, une culture du compromis inexistante, la volonté de se faire un nom… le tout mettant en danger nos libertés fondamentales.

« C’était le concours Lépine de l’idée la plus clivante ». Ces dernières semaines, les propositions destinées à « mettre fin au Far West du numérique » se sont multipliées à l’occasion du projet de loi SREN (visant à sécuriser et à réguler l’espace numérique) en discussion à l’Assemblée nationale. Face à plusieurs cas tragiques de suicides d’adolescents victimes de cyberharcèlements, certains députés ont proposé, dans des amendements au projet de loi, des mesures chocs comme lever l’anonymat qui régnerait sur le Web ou supprimer les VPN… Ces mesures, irréalisables techniquement ou dangereuses du point de vue de nos droits fondamentaux, ont suscité la levée de boucliers de défenseurs des libertés fondamentales. Des informaticiens ont pris soin de déconstruire une à une ces propositions, déplorant des idées déconnectées des réalités, comme chez nos confrères de France 3.

« Quand on dit que ce qui est interdit dans le monde physique doit l’être dans le numérique. C’est trop simple, trop lapidaire et pas nuancé », a martelé en commission le député MoDem Philippe Latombe, mardi 19 septembre. Et si la majorité de ces idées a finalement été retirée des amendements du projet de loi, la question demeure : pourquoi les Parlementaires sont-ils allés vers le « trop simple » et techniquement irréalisable, voire peu souhaitable ?

Le monde de l’Internet libre contre le monde de l’Internet régulé

Premier constat : ce n’est pas la première fois que ce type de mesures — aux objectifs plus que louables, mais décorrélés de la façon dont fonctionne le Web — finissent sur la place publique. Oui, il faut tout faire pour mettre fin au cyberharcèlement, et oui, il faut protéger davantage les mineurs. Mais le problème est que « les députés (sont) toujours aussi nuls sur les lois numériques », regrette ce blogueur anonyme, le 19 septembre dernier.

Lors de la loi Avia (2020) ou la loi Hadopi (2009), des débats similaires ont eu lieu. « À chaque fois que vous avez une nouvelle loi sur Internet, il y a deux mondes qui s’affrontent : le monde d’un Internet libre et celui d’un Internet régulé », commente Eric Barbry, avocat associé du Cabinet Racine. « Entre les deux, il y a ceux qui essayent des voies pour réguler le tout dans des conditions satisfaisantes. Mais vous ne pouvez pas empêcher une frange de la classe politique de vouloir aller le plus loin possible et donc amener vers l’interdiction de l’anonymat » en ligne, ajoute l’avocat spécialisé en droit du numérique.

Le rapporteur du projet de loi et député Renaissance Paul Midy a ainsi défendu l’idée d’associer un compte d’un réseau social à une identité numérique, prônant « la fin de l’anonymat au profit du pseudonymat ». Le système fonctionnerait sur le même principe qu’une plaque d’immatriculation. Pourtant, l’anonymat n’existe pas sur le Web : les enquêteurs parviennent toujours à retrouver les auteurs de cyberharcèlement ou de menace de mort, même si cela prend souvent bien trop de temps.

Le député Renaissance Mounir Belhamiti a, de son côté, défendu l’idée de supprimer les VPN alors qu’ils sont très utilisés, par les policiers, les journalistes, les ingénieurs en cybersécurité ou les entreprises. Dans certains pays, les VPN sont un moyen de contourner la censure sur le Web. Face au tollé, ce parlementaire a finalement rétropédalé. D’autres mesures contenues dans le projet de loi, comme le bannissement des cyberharceleurs des réseaux sociaux, se heurtent aussi à la faisabilité technique, car cela reviendrait à obliger les plateformes à surveiller activement le fait que tel internaute ne se recrée pas de compte. Mais alors, pourquoi avoir émis de telles idées ?

« On se croit expert du numérique parce qu’on a un compte TikTok »

« La majorité des gens, nos politiciens sont dans ce cas-là, se croient plus ou moins experts de l’usage des outils numériques parce qu’ils s’en servent, ou parce qu’ils ont un compte TikTok », souligne Benjamin Bayart, militant pour les droits numériques et cofondateur de la Quadrature du Net. Mais « cela ne veut pas dire qu’ils ont compris comment ça marche, ni ses effets sur la société. Quand on change les outils avec lesquels les humains communiquent, on change la façon dont la société se fabrique », ajoute-t-il. « Sans parler du fait qu’en plus, techniquement, ils ne comprennent rien à la manière dont fonctionnent les ordinateurs. C’est ce qui fait qu’ils se disent “on va interdire les VPN” sans avoir la moindre idée de ce à quoi ça touche », poursuit-il.

« La plupart des experts de ces questions avec qui je me suis entretenu m’ont tous dit qu’ils n’avaient pas été auditionnés (par les députés, ndlr), ou qu’ils n’avaient jamais fait partie des débats. Donc je me demande en fait sur qui on s’est appuyé pour émettre ce genre de propositions », s’interroge Tariq Krim, ancien co-président du Conseil du numérique, entrepreneur et initiateur du mouvement Slow Web.

Les députés ne sont pas censés être spécialistes de tout. Mais lorsqu’ils doivent prendre des décisions, en particulier dans des domaines qu’ils ne maîtrisent pas, il est généralement attendu qu’ils s’appuient sur des experts du sujet en question. Mais même quand ces auditions ont lieu, le bât blesse. « Les parlementaires devraient s’adresser aux chercheurs qui travaillent sur ces sujets depuis des années. Ils devraient éviter tous ceux qui ont des choses à vendre, comme la première startup qui passe et qui dit “regardez j’ai la solution qui va super bien marcher dans le Web3, je crois qu’elle va permettre d’identifier tout le monde” », tacle Laurent Chemla, informaticien et cofondateur de Gandi. Même son de cloche pour l’avocat en droit du numérique Alexandre Archambault, qui décrit un législateur qui « n’auditionne que les proches ou les gens qui sont d’accord avec lui ».

« La France peut dicter des choses à Copains d’avant et Doctissimo, mais c’est tout »

Les juristes semblent aussi avoir manqué à l’appel, puisque les députés sont repartis d’une page blanche, alors qu’ils étaient censés, avec ce projet de loi, transposer un règlement européen, le DSA (« Digital Services Act » ou règlement européen sur les services numériques). Ils auraient dû se cantonner à des dispositions à la marge, comme nommer les autorités nationales de contrôle. Imposer davantage d’obligations aux réseaux sociaux ou aux plateformes du Web, « cela relève (désormais, depuis le DSA) soit exclusivement de la Commission européenne, soit du pays d’établissement (le pays dans lequel une entreprise a son siège européen, souvent l’Irlande pour les géants du numérique) – donc la France peut dicter des choses à Copains d’avant et Doctissimo, mais c’est tout », résume Maître Alexandre Archambault. Ces deux plateformes ont leur siège social en France.

Cela ne veut pas dire que le « DSA soit gravé dans le marbre. La Commission européenne dit simplement : si on veut améliorer la protection des mineurs ou mieux lutter contre les contenus haineux ou la désinformation, mettons-nous autour d’une table et voyons comment améliorer les choses – mais au niveau européen. Mais si chaque pays le fait en ordre dispersé, chacun dans son coin – comme le fait la France – c’est intenable », ajoute-t-il. C’est le sens « *d*es observations très sévères de la Commission européenne du 2 août dernier, qui visent directement le projet de loi SREN ». L’auteur de ces observations, Thierry Breton, le commissaire européen au Marché intérieur , dit en substance : « vous ne pouvez pas contraindre les entreprises du Web à davantage d’obligations que ce que le droit européen prévoit. Ce n’est ni fait ni à faire, ça participe à la fragmentation du droit de l’Union, on s’y opposera. Et là, vous avez nos parlementaires qui n’en tiennent pas compte et qui sont dans une fuite en avant », poursuit Maître Archambault, déplorant « une nouvelle loi de circonstances, dictée par l’émotion ».

« La seule façon qu’ils ont d’exister, c’est de faire le pitre »

Mais alors, pourquoi avoir prôné ces mesures de suppression des VPN ou d’anonymat ? Chez la majorité des experts que nous avons interrogée, la même explication est donnée. Les Parlementaires se livreraient à « un concours Lépine des mesures les plus clivantes » parce que ce serait, pour eux, une façon de se faire un nom, regrette Maître Archambault. « La seule manière qu’ils ont d’exister, c’est de faire le pitre. En France, le pouvoir législatif est extrêmement faible, on l’a vu avec la réforme des retraites. Et donc les députés font n’importe quoi pour exister », abonde Benjamin Bayart. « D’autant qu’à l’Assemblée nationale, on ne cherche pas à trouver des compromis, comme c’est le cas au Parlement européen, où pour qu’un texte passe, il faut qu’on trouve un consensus entre plusieurs groupes. Ce qui veut dire que toutes les solutions un peu trop aberrantes vont être écartées, ce qui n’est pas le cas en France », ajoute-t-il.

Résultat, le rapporteur de la loi, Paul Midy, était peu connu jusqu’alors. Mais avec sa sortie médiatique sur la levée d’anonymat, il est passé dans tous les médias. Et cela a eu une conséquence : l’idée d’avoir à s’identifier avec une pièce d’identité pour utiliser les réseaux sociaux, comme celle de supprimer les VPN, ont été largement partagées. Et elles pourraient finir par infuser dans la société, s’alarme Laurent Chemla.

Pour le militant des libertés numériques, « on essaie de pousser des idées qu’on sait irréalisables pour amener petit à petit dans l’esprit du public l’idée qu’il faut effectivement réguler la parole publique, réguler les réseaux sociaux, empêcher les gens d’avoir une liberté d’expression totale. À force de répéter, depuis plus de 27 ans, qu’Internet est une zone de non-droit, on arrive à faire passer dans l’esprit du public que oui, c’est vrai, il y a un problème avec Internet, que ce n’est pas normal que n’importe qui puisse dire n’importe quoi. Donc il y a cette volonté de faire évoluer l’opinion publique vers plus de contrôle de la parole des citoyens, et pour ça, on va proposer des choses qu’on sait irréalistes, qui petit à petit amènent à ce type de propositions », analyse-t-il.

Car avec la technologie, il y a désormais une possibilité de traçage qui n’existait pas jusqu’alors, reconnaît Pierre Beyssac, porte-parole du Parti Pirate et cofondateur de Gandi. « Lorsqu’on établit une connexion réseau ou mobile, il faut savoir où est l’utilisateur. Il est donc tentant pour la police, qui connaît ce fonctionnement technique, d’exploiter cette technologie pour lutter contre le crime et la délinquance ». Mais ce n’est pas parce que cette possibilité existe qu’il faut l’utiliser.

Car « si on y réfléchit, cela reviendrait à vouloir rendre impossible tout ce qui pourrait être illégal sur internet », abonde Laurent Chemla. Or, « dans la vie réelle, ça n’est pas impossible de commettre des délits, ou des crimes, c’est puni a posteriori, mais ça n’est pas rendu impossible a priori, sinon on aurait une caméra derrière la tête de tous les citoyens en permanence », souligne l’informaticien. « Sur Internet, on a l’impression que toutes ces mesures (contrôle d’identité des internautes, suppression des VPN) ont un objectif : rendre tous les crimes, tous les délits, toutes les dérives impossibles a priori, et ça, c’est délirant, on ne peut pas faire ça », estime-t-il.

« On se dit, puisqu’on peut surveiller tout le monde, on surveille tout le monde »

Et si beaucoup comprennent l’argumentaire des policiers qui disent : « “si on ne nous laisse pas surveiller la population et accéder à toutes les données numériques auxquelles on peut accéder en surveillant les gens, ça rend les enquêtes plus compliquées”, il faut rappeler que dans la vie réelle aussi, les enquêtes sont compliquées », insiste Laurent Chemla. « J’avais regardé les chiffres sur les vols de bagnoles, il y a 6 % de résolution et 94 % de vols qui restent impunis. Et pourtant, on ne cherche pas à empêcher complètement les vols de bagnole en mettant des caméras dans tous les garages. Mais évidemment, vu que c’est numérique, on se dit, puisqu’on peut surveiller tout le monde, on surveille tout le monde », souligne-t-il.

On serait passé de « tout le monde est innocent jusqu’à preuve du contraire » à « tout le monde est coupable jusqu’à preuve du contraire », regrette Benjamin Bayart, au sujet par exemple de l’accès des mineurs aux sites pornographiques. « Au “il ne faut pas que les mineurs accèdent à du porno”, la seule réponse qu’on a, c’est : “il va falloir que la totalité des adultes prouvent qu’ils sont adultes à chaque clic qu’ils font” », note-t-il.

« Par défaut, vous êtes suspect »

Comme nous vous l’expliquions en mars dernier, une autre proposition de loi (instaurant une majorité numérique et visant à lutter contre la haine en ligne), promulguée en juillet dernier, évoque, pour les sites pornographiques, la mise en place, pour s’assurer de la majorité d’un utilisateur, d’une solution technique – qui n’existe pas encore. Il s’agirait de passer par un tiers de confiance qui délivrerait un jeton et qui confirmerait la majorité de l’utilisateur au site en question, vraisemblablement à chaque connexion.

Problème : cela fait des mois que cette solution serait expérimentée, sans qu’aucun retour ne fuite. Seule nouvelle récente de cette « expérimentation » : Jean-Noël Barrot, le ministre délégué chargé du Numérique, a concédé à demi-mot que cela ne fonctionnait pas pour l’instant à 100 %. « Je ne dis pas que ça marche à plein tube », déclarait-il le 20 septembre dernier, chez nos confrères de Tech&Co. Pour beaucoup, la solution évoquée dans la loi et expérimentée connaîtra la même trajectoire que celle observée au Royaume-Uni et en Australie. Ces deux pays avaient aussi voulu mettre en place un contrôle d’âge similaire, avant d’y renoncer, faute d’avoir trouvé une solution qui fonctionne.

Or, avec un tel système, « il y a cette idée qui s’instille dans la tête des gens que c’est à vous de prouver que vous êtes innocent parce que par défaut, vous êtes suspect. Et il vous faut le prouver en permanence, pas le prouver une et une seule fois, mais le prouver tout le temps, tout le temps, tout le temps », répète Benjamin Bayart.

Alors comment faire pour éviter ce changement de paradigme et voir à nouveau ces propositions trop rapides et parfois dangereuses finir dans le débat public ? Comment préserver nos libertés, tout en luttant contre le cyberharcèlement et en protégeant mieux les mineurs ?

Pourquoi il y a 120 magistrats dédiés aux problématiques numériques à Berlin, alors qu’à Paris, ils ne sont que six ?

Côté Parlement, il faudrait redonner du pouvoir aux députés, avance Benjamin Bayart. Et que ces derniers fassent davantage de contrôle de l’action publique, comme d’autres pays le font, estime Maître Archambault. « Plutôt que de passer par des nouvelles lois, on fait des commissions d’enquête, en demandant par exemple pourquoi il y a 120 magistrats dédiés aux problématiques numériques à Berlin, alors qu’à Paris, ils ne sont que… six. Pourquoi il faut trois ans – soit une éternité – pour que les harceleurs de Mila ou de Hoschi soient condamnés, alors qu’elles ont la chance d’être entourées de bons conseils ? »

Que les politiques écoutent davantage les experts, que les médias couvrent plus les cas de condamnation de cyberharceleurs, et qu’il y ait bien plus de moyens alloués à la justice et à la prévention du cyberharcèlement font partie des pistes d’amélioration citées. Mettre en place de grandes campagnes nationales, comme on l’a fait avec l’alcool dans les années 80, où on est passé « de la répression à la prévention », est également mentionné.

Dans ce débat, il ne faut surtout pas perdre de vue nos droits fondamentaux

Il faudrait aussi pouvoir lever plus facilement l’anonymat en cas de harcèlement en ligne ou de propos injurieux ou diffamatoires, explique Maître Barbry. Il s’agit d’un point de procédure qui a son importance. « Pour la suppression des contenus, on a de plus en plus recours aux moyens proposés les plateformes en ligne, mais c’est très aléatoire et nettement insuffisant. Et avoir la possibilité d’identifier les personnes est devenu très compliqué. Or, le seul moyen de réparer un préjudice, c’est d’avoir quelqu’un en face de vous qui répond de ses actes », relève-t-il. La raison ? Un changement des règles qui impose désormais, quand on cherche à savoir qui est derrière un compte de cyberharceleur, de passer par une procédure accélérée au fond et non plus en référé. « La procédure est plus juste d’un point de vue procédural, mais bien plus longue et complexe pour les victimes », résume-t-il.

Pour Pierre Beyssac, il faut désormais accepter que « le monde d’aujourd’hui avec les réseaux n’est plus celui d’autrefois. Il faut essayer de trouver des solutions adaptées, en évitant de céder à la tentation d’utiliser la technologie pour réduire nos libertés », souligne l’informaticien à la tête d’Eriomem. « Notre vie de tous les jours étant de plus en plus appuyée sur ces réseaux, nos droits fondamentaux vont en dépendre de plus en plus », estime-t-il. « *I*l est donc essentiel de les défendre bec et ongle, et de *t*out faire pour ne pas se tirer une balle dans le pied, sur la société que l’on veut construire ».

Online tracking: Data harvesters came for your privacy – and found it | New Scientist
thumbnail

Le profilage de nos données personnelles a de réelles conséquences sur nos vies

Pourquoi cette offre d’emploi n’est-elle jamais arrivée jusqu’à vous ? Pourquoi n’obtenez-vous pas ce crédit ? La faute à vos données personnelles. Au-delà du profilage publicitaire, elles sont désormais utilisées pour déterminer votre façon de travailler, votre profil psychologique ou si vous êtes trop dépensier. Il est temps de reprendre le contrôle, affirme cette journaliste dans “New Scientist”.

En 2021, un vendredi, je suis entrée dans un hôtel d’Exeter, en Angleterre, à 17 heures, 57 minutes et 35 secondes. Le lendemain matin, j’ai conduit pendant neuf minutes pour me rendre à l’hôpital voisin. J’y suis restée trois jours. Le trajet de retour, qui dure normalement une heure quinze, m’a pris une heure quarante. Pourquoi cette vitesse ralentie ? Parce que je transportais mon nouveau-né à l’arrière.

Il ne s’agit pas d’un extrait de mon journal intime. C’est ce que Google sait du jour de la naissance de ma fille, rien qu’avec mon historique de géolocalisation.

Et les données personnelles amassées par d’autres entreprises ce week-end-là leur permettent d’en savoir beaucoup plus encore. Netflix se souvient que j’ai regardé plusieurs comédies légères, dont Gilmore Girls et Comment se faire larguer en 10 leçons. Instagram a noté que j’avais liké un post sur l’accouchement déclenché et que je ne me suis pas reconnectée pendant une semaine.

Et alors ? Nous savons tous aujourd’hui que la moindre de nos activités en ligne est suivie et que les données collectées sont extrêmement détaillées et s’accumulent en continu. D’ailleurs, peut-être appréciez-vous que Netflix et Instagram connaissent si bien vos goûts et préférences.

“Il y a de quoi être horrifié”

Pourtant, les enquêtes et procès se multiplient et dressent un tableau où la collecte de nos données a une incidence nettement plus insidieuse que ce que la plupart d’entre nous imaginent. En me penchant sur le sujet, j’ai découvert que la collecte de mes données personnelles pouvait avoir des conséquences sur mes perspectives professionnelles, mes demandes de crédit et mon accès aux soins.

Autrement dit, cette pratique a potentiellement des répercussions sur ma vie dont je n’ai même pas idée. “C’est un immense problème, et chaque jour il y a de quoi être horrifié”, résume Reuben Binns de l’université d’Oxford.

On pourrait croire qu’avec la mise en place en 2018 du RGPD (Règlement général sur la protection des données) – la loi européenne qui permet aux internautes de mieux contrôler la collecte et l’utilisation de leurs données personnelles –, les questions de vie privée ont été essentiellement résolues. Après tout, il suffit de ne pas accepter les cookies pour ne pas être pisté, non ? Alors que je tiens ce raisonnement devant Pam Dixon, représentante du World Privacy Forum, elle part dans un grand éclat de rire incrédule. “Vous croyez vraiment ça ? me lance-t-elle.

95 % des sites en infraction

Des centaines d’amendes ont déjà été infligées pour manquement au RGPD, notamment contre Google, British Airways et Amazon. Mais pour les spécialistes, ce n’est que la partie émergée de l’iceberg. Selon une étude menée l’an dernier par David Basin, de l’école polytechnique de Zurich, près de 95 % des sites Internet pourraient être en situation d’infraction.

Alors que la loi devait aider les citoyens à mieux comprendre de quelles données ils autorisent la collecte, plusieurs études montrent que les politiques de confidentialité des marques sont devenues de plus en plus complexes, et non l’inverse. Et si vous vous croyez protégé par les bloqueurs de publicité et les VPN qui masquent votre adresse IP, détrompez-vous. Bon nombre de ces services vendent également vos données.

Nous commençons à peine à mesurer l’ampleur et la complexité du problème. Une poignée de grandes entreprises – Google, Meta, Amazon et Microsoft – pèsent lourd dans l’équation, reconnaît Isabel Wagner, chercheuse en cybersécurité à l’université de Bâle, en Suisse. Mais derrière eux se cache une myriade d’acteurs, des centaines, voire des millions d’entreprises, qui achètent, vendent, hébergent, pistent et analysent nos données personnelles.

Qu’est-ce que cela signifie pour une personne ordinaire comme moi ? Pour le savoir, je me suis rendue à Lausanne, à HestiaLabs, une start-up fondée par Paul-Olivier Dehaye, mathématicien et principal lanceur d’alerte dans le scandale de Cambridge Analytica. Ce cabinet de conseil politique avait illégalement utilisé des données d’utilisateurs Facebook pour faire pencher l’élection présidentielle de 2016 en faveur de Donald Trump. L’enquête de Paul-Olivier Dehaye sur Cambridge Analytica a révélé jusqu’où s’étendait le pouvoir d’influence des vendeurs et acheteurs de données. C’est pour changer cela qu’il a créé HestiaLabs.

Avant notre rendez-vous, je demande à plusieurs entreprises de me fournir les données personnelles qu’elles ont enregistrées sur moi – une démarche plus laborieuse qu’on ne serait en droit de le croire depuis le RGPD. Puis, je retrouve Charles Foucault-Dumas, responsable de projet à HestiaLabs, dans les bureaux de la société, un modeste espace de coworking en face de la gare de Lausanne. Installés face à son ordinateur, nous chargeons mes données sur son portail.

Mes données s’affichent devant moi sous la forme d’une carte indiquant tous les endroits où je suis allée, tous les “j’aime” que j’ai distribués et toutes les applications ayant contacté une régie publicitaire. Sur les lieux que je fréquente régulièrement, comme la crèche de ma fille, des centaines de points de données forment de grosses taches colorées. Mon adresse personnelle est marquée par un énorme point, impossible à manquer. C’est édifiant. Et un peu terrifiant.

Fan de rugby, de chats et du festival Burning Man ?

Le plus surprenant est de découvrir quelles applications contactent des services tiers en mon nom. La semaine dernière, le comportement le plus coupable – 29 entreprises contactées – est venu d’un navigateur Internet qui se vante précisément de respecter votre vie privée. Mais, finalement, qu’il s’agisse d’un simple outil de prise de notes ou d’une appli de courses en ligne, à peu près toutes les applications de mon téléphone sollicitent en permanence des entreprises pendant que je vis ma vie.

En règle générale, une entreprise qui vend un produit ou un service s’adresse à une agence de communication faisant le lien avec des plateformes de vente, d’achat et d’échanges d’espaces publicitaires, elles-mêmes connectées à des régies publicitaires chargées de placer les annonces sur un média. Chaque fois que vous allez sur un site Internet ou que vous survolez un message sur un réseau social, toute cette machinerie se met en route – et produit plus de 175 milliards d’euros par an.

Quelles données personnelles ces entreprises s’échangent-elles ? Pour le savoir, il faudrait que je pose la question à chacune d’entre elles. Et même dans le cas de celles que j’ai pu contacter avec l’aide d’HestiaLabs, la réponse n’est pas toujours évidente.

Prenons l’exemple d’Instagram. Le réseau social liste 333 “centres d’intérêt” associés à mon profil. Certains sont pour le moins surprenants : le rugby, le festival Burning Man, le marché immobilier et même “femme à chats”. Ami lecteur, sache que je n’ai jamais eu de chat.

D’autres sont plus justes, et sans surprise : un certain nombre d’entre eux sont liés à la parentalité, qu’il s’agisse de marques comme Huggies ou Peppa Pig, de discussions sur les lits de bébé ou le sevrage. J’en viens à me demander de quelle manière ces données n’ont pas seulement influencé mes achats mais aussi la vie de ma fille. Sa fascination pour les aventures d’une famille de petits cochons roses est-elle entièrement naturelle ou nous a-t-on “servi” ces vidéos en raison de certaines de mes données personnelles transmises par Instagram ? Tous ces messages sur le sevrage sont-ils apparus spontanément sur mes réseaux sociaux – influant sur la façon dont j’ai initié ma fille à la nourriture solide – ou ai-je été ciblée ? Impossible de reconstruire les liens de cause à effet. J’ignore complètement si mes “centres d’intérêt” m’ont désignée pour d’éventuels démarchages.

Les échanges de données personnelles forment un écheveau quasiment impossible à démêler. Il n’est pas rare que des données soient copiées, segmentées et ingurgitées par des algorithmes et des systèmes d’apprentissage automatique. Résultat, explique Pam Dixon, même avec une législation comme le RGPD, nous n’avons pas accès à la totalité de nos données personnelles. “Il y a un double niveau à ce problème. Il existe une première strate, constituée par les données que nous pouvons retrouver, poursuit-elle. Et une seconde que l’on ne voit pas, que nous n’avons légalement pas le droit de voir, personne.”

Au-delà du ciblage publicitaire

De récents rapports offrent toutefois quelques aperçus. En juin, une enquête du journal américain The Markup a révélé que ce type de données cachées permettait aux publicitaires de nous catégoriser en fonction de nos affinités politiques, de notre état de santé et de notre profil psychologique. Suis-je une “maman accro à son portable”, une “bonne vivante”, “une facilement découragée” ou une “woke” ? Je n’en sais rien. Ce que je sais, c’est que toutes ces étiquettes sont effectivement utilisées par les régies publicitaires en ligne.

Il est perturbant d’apprendre que je suis ainsi étiquetée sans savoir pourquoi ni comment. Une part de moi se demande si c’est vraiment grave. Car je comprends l’intérêt d’avoir des publicités qui tiennent compte de mes préférences, ou d’ouvrir mon application de navigation et de voir apparaître les musées et les restaurants où je suis déjà allée ou qui sont susceptibles de me plaire. Mais, croyez-moi, la désinvolture avec laquelle nous acceptons ce marché est l’un des moyens les plus sûrs de faire grincer des dents un spécialiste de la vie privée.

D’une part, commence Pam Dixon, les utilisations de ces données vont bien au-delà du ciblage publicitaire. Il suffit d’un détail aussi insignifiant que l’enseigne où vous faites vos courses (être client d’une chaîne discount est un indicateur de faible revenu) ou l’achat d’un produit de sport (signe que vous faites de l’exercice) pour modifier votre profil de candidat à l’entrée d’une université ou le montant de votre prime d’assurance médicale. “On ne parle pas que de publicité ici, insiste-t-elle. C’est la vie réelle.”

Aux États-Unis, de récentes lois ont levé le voile sur les pratiques de certaines entreprises. Adopté en 2018 dans le Vermont, le Data Broker Act a ainsi révélé que les courtiers en données enregistrés dans cet État – mais également présents dans d’autres – vendaient des données personnelles à de potentiels employeurs ou bailleurs, souvent via des intermédiaires. En juillet, le bureau américain de protection financière du consommateur a découvert que des données cachées servaient à “noter” les consommateurs, un peu de la même manière que les banques vous attribuent une note financière globale lorsque vous faites une demande de prêt. Reuben Binns explique :

“Il y a les choses que vous faites, les sites que vous visitez, les applications que vous utilisez, tous ces services peuvent alimenter des plateformes qui vérifient si vous êtes un bon candidat à la location et quelles conditions de crédit vous proposer.”

À HestiaLabs, je comprends que j’ai peut-être moi aussi été affectée par ces pratiques dans mon quotidien, pas seulement à travers le ciblage publicitaire mais également par la façon dont mes données sont traitées par les algorithmes. En effet, sur LinkedIn, un des présupposés liés à mon profil indique que je ne suis ni “une personnalité de leader” ni “un manager senior”. Alors que j’ai dirigé une équipe de 20 personnes à la BBC et qu’avant cela j’ai été rédactrice en chef de plusieurs sites web de la chaîne – autant d’informations que j’ai spécifiquement compilées sur mon profil LinkedIn. Cela a-t-il une incidence sur mon évolution professionnelle ? Lorsque je pose la question à un représentant de la plateforme, on m’assure que ces “présupposés” ne sont aucunement utilisés “pour sélectionner les offres d’emploi qui [me] sont proposées sur ce réseau”.

Une protection de la vie privée qui laisse à désirer

Pourtant, plusieurs actions en justice ont révélé que, sur Facebook, des données étaient utilisées afin de cacher aux femmes certaines offres d’emploi dans le secteur des technologies. En 2019, la maison mère du réseau, Meta, a supprimé cette possibilité pour les annonceurs. Sauf qu’il est très facile de trouver d’autres moyens d’exclure les femmes, soulignent les spécialistes, par exemple en ciblant les profils comportant des intérêts associés à des stéréotypes masculins. “Ces préjudices ne sont pas visibles sur le moment pour l’utilisateur. Ils sont souvent très abstraits et peuvent intervenir très tard dans le processus de filtrage”, explique Isabel Wagner.

Plus le volume de données collectées augmente, plus la liste des problèmes signalés dans les médias s’allonge. Des applications de suivi d’ovulation – ainsi que des SMS, des courriels et des recherches sur Internet – ont été utilisées pour lancer des poursuites contre des femmes s’étant fait avorter aux États-Unis depuis la suppression de l’[arrêt Roe vs Wade](https://www.courrierinternational.com/article/carte-le-nombre-d-avortements-augmente-aux-etats-unis-malgre-l-arret-de-la-cour-supreme#:~:text=La décision de la Cour,avortements pratiqués dans le pays.) l’an dernier.

Des prêtres ont vu leur homosexualité dévoilée après qu’ils ont utilisé l’application de rencontre Grindr. Un officier russe a été tué lors de son jogging matinal après avoir été suivi, présume-t-on, par l’intermédiaire des données publiques de son compte Strava. La protection des données vise à empêcher ce genre de problèmes. “Mais de toute évidence la mise en œuvre laisse fortement à désirer”, soupire Reuben Binns.

Le problème tient en partie au manque de transparence des entreprises. Nombre d’entre elles optent pour des systèmes “protégeant la vie privée” où les données d’une personne sont segmentées en plusieurs points de données qui sont disséminés dans différents serveurs ou localement chiffrés. Paradoxalement, cela complique surtout la tâche pour l’utilisateur qui souhaite accéder à ses propres données et comprendre comment elles sont utilisées.

Du point de vue de Paul-Olivier Dehaye, le fondateur d’HestiaLabs, il ne fait aucun doute que les entreprises peuvent et doivent nous rendre le pouvoir sur nos données. “Si vous allez sur un site maintenant, une multitude d’entités en seront informées dans la seconde et sauront qui vous êtes et sur quel site vous avez commandé une paire de baskets il y a deux semaines. Dès lors que l’objectif est de vous inonder de mauvaises pubs, les entreprises sont capables de résoudre tous les problèmes. Mais demandez-leur vos données, et elles ne savent plus rien faire. Mais il existe un moyen de mettre cette force du capitalisme à votre service plutôt qu’au leur.”

J’espère qu’il a raison. Alors que je marche dans les rues de Lausanne après avoir quitté les bureaux d’HestiaLabs, je vois un homme devant la vitrine d’un magasin de couteaux, son téléphone portable dépassant de sa poche, puis une femme tirée à quatre épingles, un sac Zara dans une main et son portable dans l’autre. Un peu plus loin, un homme parle avec animation dans son téléphone devant le commissariat de police.

Pour eux comme pour moi, tous ces instants sont aussi brefs qu’insignifiants. Mais pour les entreprises qui collectent nos données, ce sont autant d’occasions à saisir. Des opportunités monnayables. Et tous ces points de données ne disparaîtront peut-être jamais.

Reprendre le contrôle

Suivant les conseils de Paul-Olivier Dehaye et des autres spécialistes que j’ai interrogés, je décide en rentrant chez moi de faire le tri dans mon téléphone et de supprimer les applications dont je ne me sers pas. Je me débarrasse également de celles que j’utilise peu et qui contactent un peu trop d’entreprises ; je les utiliserai depuis mon ordinateur portable à la place. (J’utilise un service appelé “TC Slim” qui m’indique quelles entreprises sont en lien avec mes applications.) J’installe également un nouveau navigateur qui respecte réellement – semble-t-il – ma vie privée. Les applications et navigateurs open source et non commerciaux sont généralement de bonnes solutions, explique Isabel Wagner, car leurs développeurs ont moins d’intérêt à collecter vos données.

J’ai également commencé à éteindre mon téléphone lorsque je ne m’en sers pas. Car la plupart des téléphones continuent à transmettre vos données de géolocalisation même lorsque vous coupez la connexion wifi et les données mobiles ou activez le mode avion. Sur mon compte Google, j’ai décoché l’option de sauvegarde des lieux, même si pour le moment une sorte de nostalgie m’empêche de demander la suppression de tous mes historiques.

On peut également modifier notre façon de payer. Pam Dixon qui préconise d’avoir plusieurs cartes bancaires et de choisir “minutieusement” lesquelles utiliser sur Internet. Pour les achats susceptibles d’envoyer un signal “négatif”, dans un magasin discount par exemple, préférez les paiements en liquide. Elle recommande également d’éviter les sites et applications liés à la santé. “C’est un terrain miné en général”, résume-t-elle. Malgré toutes les mesures que vous prendrez, les entreprises trouveront toujours des moyens de contourner vos garde-fous. “C’est un jeu où on ne peut que perdre”, conclut Paul-Olivier Dehaye. Raison pour laquelle la solution ne relève pas des seuls individus. “Nous avons besoin d’un véritable changement sociétal”, confirme Reuben Binns.

Si suffisamment de gens parviennent individuellement à faire entendre leur voix, nous pourrons faire évoluer le système, espère Paul-Olivier Dehaye. La première étape consiste à faire une demande d’accès à vos données personnelles. “Faites comprendre aux entreprises que si elles font un pas de travers vous ne leur ferez plus confiance, résume-t-il. À l’ère des données, si vous perdez la confiance des gens, votre entreprise est condamnée.”

23andMe says private user data is up for sale after being scraped | Ars Technica
thumbnail

23andMe says private user data is up for sale after being scraped

Records reportedly belong to millions of users who opted in to a relative-search feature.

Dan Goodin - 10/7/2023, 1:58 AM

Genetic profiling service 23andMe has commenced an investigation after private user data was scraped off its website

Friday’s confirmation comes five days after an unknown entity took to an online crime forum to advertise the sale of private information for millions of 23andMe users. The forum posts claimed that the stolen data included origin estimation, phenotype, health information, photos, and identification data. The posts claimed that 23andMe’s CEO was aware the company had been “hacked” two months earlier and never revealed the incident. In a statement emailed after this post went live, a 23andMe representative said that "nothing they have posted publicly indicates they actually have any 'health information.' These are all unsubstantiated claims at this point."

23andMe officials on Friday confirmed that private data for some of its users is, in fact, up for sale. The cause of the leak, the officials said, is data scraping, a technique that essentially reassembles large amounts of data by systematically extracting smaller amounts of information available to individual users of a service. Attackers gained unauthorized access to the individual 23andMe accounts, all of which had been configured by the user to opt in to a DNA relative feature that allows them to find potential relatives.

In a statement, the officials wrote:

We do not have any indication at this time that there has been a data security incident within our systems. Rather, the preliminary results of this investigation suggest that the login credentials used in these access attempts may have been gathered by a threat actor from data leaked during incidents involving other online platforms where users have recycled login credentials.

We believe that the threat actor may have then, in violation of our terms of service, accessed 23andme.com accounts without authorization and obtained information from those accounts. We are taking this issue seriously and will continue our investigation to confirm these preliminary results.

The DNA relative feature allows users who opt in to view basic profile information of others who also allow their profiles to be visible to DNA Relative participants, a spokesperson said. If the DNA of one opting-in user matches another, each gets to access the other’s ancestry information.

The crime forum post claimed the attackers obtained “13M pieces of data.” 23andMe officials have provided no details about the leaked information available online, the number of users it belongs to, or where it’s being made available. On Friday, The Record and Bleeping Computer reported that one leaked database contained information for 1 million users who were of Ashkenazi heritage, all of whom had opted in to the DNA relative service. The Record said a second database included 300,000 users who were of Chinese heritage who also had opted in.

The data included profile and account ID numbers, display names, gender, birth year, maternal and paternal haplogroups, ancestral heritage results, and data on whether or not each user has opted in to 23andme’s health data. Some of this data is included only when users choose to share it.

The Record also reported that the 23andMe website allows people who know the profile ID of a user to view that user’s profile photo, name, birth year, and location. The 23andMe representative said that "anyone with a 23andMe account who has opted into DNA Relatives can view basic profile information of any other account who has also explicitly opted into making their profile visible to other DNA Relative participants."

By now, it has become clear that storing genetic information online carries risks. In 2018, MyHeritage revealed that email addresses and hashed passwords for more than 92 million users had been stolen through a breach of its network that occurred seven months earlier.

That same year, law enforcement officials in California said they used a different genealogy site to track down a long-sought suspect in a string of grisly murders that occurred 40 years earlier. Investigators matched DNA left at a crime scene with the suspect’s DNA. The suspect had never submitted a sample to the service, which is known as GEDMatch. Instead, the match was made with a GEDMatch user related to the suspect.

While there are benefits to storing genetic information online so people can trace their heritage and track down relatives, there are clear privacy threats. Even if a user chooses a strong password and uses two-factor authentication as 23andMe has long urged, their data can still be swept up in scraping incidents like the one recently confirmed. The only sure way to protect it from online theft is to not store it there in the first place.

This post has been updated to include details 23andMe provided.

Et maintenant, l'interdiction de certains VPN en France sur smartphone ? - Numerama
thumbnail

Et maintenant, l’interdiction de certains VPN en France sur smartphone ?

Julien Lausson : L'amendement qui assume son inefficacité

Certains VPN pourraient être exclus de l’App Store et de Google Play en France. Un amendement souhaite conditionner leur visibilité sur les boutiques d’applications pour smartphone au bon respect de la loi.

Nouvel assaut contre les VPN à l’Assemblée nationale, alors que le projet de loi sur la sécurisation et la régulation de l’espace numérique (dite loi SREN) entre en débat en séance publique à partir du 4 octobre. En effet, des députés du groupe Horizon et apparentés (centre droit) soutiennent un nouvel amendement qui entend exclure certains VPN de l’App Store (iOS) et de Google Play (Android).

L’objectif affiché de l’amendement est d’empêcher les internautes d’accéder à des applications de VPN qui permettraient « l’accès à un réseau Internet non soumis à la législation et règlementation française ou européenne ». Mais, considérant que les fournisseurs de ces VPN pourraient ne pas jouer le jeu, les députés misent donc sur Google et Apple pour faire le tri.

En effet, la proposition de mise à jour législative entend confier aux deux sociétés américaines la mission de faire la police sur chaque store. Ainsi, Google Play et l’App Store doivent s’assurer de ne garder que les applications en conformité avec la législation. Sinon, la boutique fautive s’exposera à une amende pouvant atteindre 1 % de son chiffre d’affaires mondial.

Ce n’est pas la première fois que la question des VPN est abordée dans le cadre du projet de loi SREN. En commission, un autre amendement — retiré depuis — avait été déposé pour interdire l’utilisation d’un VPN pour interagir activement sur un réseau social. En clair, l’utiliser pour consulter le site communautaire, oui. S’en servir pour publier ou commenter, non.

L’amendement, qui figure parmi le bon millier déposé en séance publique, et qui suit les 952 examinés en commission, doit encore être débattu, à supposer qu’il ne soit pas déclaré irrecevable par les services de l’Assemblée nationale. Les VPN font par ailleurs l’objet de deux autres amendements, mais qui demandent la production de rapports (amendements 662 et 916).

Des faiblesses techniques déjà relevées

Signalé sur X par le journaliste Marc Rees, l’amendement fait face à des limites techniques notables. D’abord, il n’adresse en aucune façon la possibilité de se servir d’un VPN sur son ordinateur. Or, les solutions du marché fournissent tout le nécessaire pour se connecter à un réseau privé virtuel depuis un PC sous Windows, Mac ou Linux.

Autre enjeu : il est possible d’installer une application en zappant la boutique officielle. Cela demande un peu d’huile de coude, et tout le monde ne saura pas (ou n’osera pas) installer un APK sur son smartphone, mais cela reste une manipulation accessible. Sur un strict plan de sécurité informatique, ce n’est toutefois pas le plus conseillé, si l’on ignore ce que l’on fait.

On peut installer une application mobile sans passer par une boutique officielle

Toujours est-il que c’est cette méthode qui est utilisée pour récupérer des applis avant l’heure (Threads, ChatGPT, Mario Kart), par exemple pour ne pas être soumis à un quelconque blocage géographique… C’est aussi d’ailleurs comme cela que l’on peut installer une vieille version d’une application mobile, pour assurer une compatibilité ou retrouver une fonctionnalité.

Les limites techniques apparaissent d’ailleurs admises par les parlementaires eux-mêmes, qui se disent « conscients de l’impossibilité technique d’encadrer le recours à des VPN, notamment dans un but de contournement de la loi ». Il s’agirait moins de proposer un amendement applicable que de soulever le sujet « afin, à terme, de trouver une solution technique pertinente et efficace. »

Pornhub, YouPorn, Xvideos… Comment les « tubes » ont bouleversé le porno
thumbnail

Pornhub, YouPorn, Xvideos… Comment les « tubes » ont bouleversé le porno

Par Pauline Croquet , Damien Leloup et Florian Reynaud

Publié hier à 20h00, modifié à 01h36 sur Le Monde

En quelques années, ces sites ont imposé comme modèle l’accès facile et gratuit à une masse de contenus pour adultes, souvent peu contrôlés. Ils sont aujourd’hui au cœur d’un rapport du Haut Conseil à l’égalité, mais aussi des débats sur les outils de vérification de l’âge des internautes, discutés mercredi à l’Assemblée nationale.

​ Août 2006. Alors que YouTube est encore un « petit » site peu connu (il ne sera racheté par Google que trois mois plus tard), un site pornographique d’un genre nouveau est discrètement mis en ligne : nom similaire, page d’accueil avec des vignettes imagées, possibilité de mettre en ligne ses propres contenus… YouPorn reprend les codes de ce qui deviendra le géant mondial de la vidéo.

​ Et le succès est immédiat. A la fin du mois de novembre, les administrateurs anonymes du site remplacent la page d’accueil par un message d’erreur : « Nous sommes à court de bande passante ! Nous avons utilisé 31 téraoctets en deux jours, sur 2 300 000 téléchargements [visionnages]. Nous cherchons des fournisseurs de serveurs illimités en Europe. »

​ Ces audiences, stratosphériques pour l’époque, ne passent pas inaperçues. L’année suivante, des dizaines de clones apparaissent en ligne, dont certains sont toujours présents aujourd’hui dans le top mondial des sites les plus visités. Pornhub, RedTube, Xvideos et Xhamster se lancent ainsi à quelques mois d’intervalle, marquant le début d’une guerre des « tubes » – le nom qui désignera les sites de ce type – qui durera des années.

​ Monter un site de ce type n’est pas particulièrement compliqué. Les outils techniques, et notamment les algorithmes de compression vidéo indispensables pour limiter les frais de bande passante, se démocratisent très vite. Trouver du contenu est également très simple : outre une poignée de vidéos amateur tournées et mises en ligne par les utilisateurs, l’écrasante majorité est pillée sur les sites payants ou d’autres « tubes ». Aucune modération, aucun contrôle de l’âge des internautes, aucun scrupule, mais des audiences gigantesques : le modèle des « tubes » bouscule en quelques années le monde de la pornographie en ligne.

Une oligarchie du porno

​ Dans le chaos de ces premières années, un homme va jouer un rôle déterminant : Fabian Thylmann. Ce jeune Allemand s’est spécialisé dans la publicité des sites pour adultes et investit dans plusieurs « tubes », dont il finit par prendre le contrôle, notamment Pornhub et YouPorn. Ses différentes plates-formes font à l’époque l’objet de dizaines de plaintes pour infraction au droit d’auteur, déposées par les sociétés de production et les studios du X.

​ Grâce à l’argent accumulé par ses sites, Fabian Thylmann résout en partie le problème… en s’offrant les entreprises qui l’attaquent. Brazzers, qui avait des accords avec certains « tubes », est rachetée en 2009 ; trois ans plus tard, le mastodonte Digital Playground et Reality Kings passeront également sous son contrôle.

​ L’ascension éclair de Fabian Thylmann est brutalement stoppée en 2012 lorsqu’il est interpellé et mis en examen pour fraude fiscale. Il revend l’année suivante son empire du porno – considéré comme le plus grand au monde – à deux autres entrepreneurs du secteur, les Canadiens Feras Antoon (cofondateur de Brazzers) et David Tassilo. C’est la naissance de MindGeek, aujourd’hui rebaptisé Aylo. Son principal concurrent, WGCZ Holding (Xvideos, Xnxx…), fondé par les Français Stéphane et Malorie Pacaud, rachète ou lance lui aussi en parallèle des studios en plus de ses sites de « tubes », comme Bang Bros et Legal Porno. Avec Wisebits Group (Xhamster, Stripchat), ces trois holdings contrôlent l’écrasante majorité des sites gratuits pour adultes les plus populaires au monde.

​ En quelques années, une poignée de plates-formes a ainsi révolutionné la manière dont les internautes accèdent aux vidéos pornographiques. « Quand les premiers “tubes” sont apparus, personne n’avait conscience d’à quel point ils allaient complètement modifier les habitudes de consommation de vidéos, se souvient Carmina, actrice et réalisatrice indépendante de films pour adultes et également rédactrice en chef du site spécialisé Le Tag parfait. Mais ça n’est pas propre au porno : c’était exactement la même chose pour YouTube ! »

Changement d’échelle et « prescription »

​ Des sites pour adultes existaient bien sûr avant l’arrivée de Xvideos ou Pornhub, mais les « tubes » ont solidifié l’idée que la pornographie était, au moins en partie, accessible gratuitement en ligne, donnant lieu à un changement d’échelle. « La montée des “tubes”, avec leur offre infinie de vidéos gratuites, a coïncidé avec le déclin global de l’économie de 2008 (…), et la très forte demande a entériné le fait que de nombreux utilisateurs ne seraient plus prêts à payer pour leur porno », expliquait en 2019 la chercheuse Margaret MacDonald (aujourd’hui au conseil consultatif de la maison mère de Pornhub) dans sa thèse sur l’industrie du porno.

​ L’avènement de ces plates-formes coïncide par ailleurs avec l’apparition des smartphones. Ensemble, ces deux éléments ont fait entrer le porno dans la sphère domestique, selon le chercheur Florian Vörös. « On peut le visionner en déplacement, dans les toilettes au travail, ça va changer les pratiques pour aller dans le sens d’une consommation qui s’insère dans les routines de la vie quotidienne », explique le sociologue à l’université de Lille.

​ Jusqu’à créer des addictions ? Répondant à un appel à témoignages du Monde, plusieurs internautes ont confié leur malaise devant leur propre consommation, mettant souvent en avant la facilité d’accès à la pornographie comme un facteur déterminant. Et sur le forum américain Reddit, certaines communautés rassemblent depuis des années des centaines de milliers de personnes exprimant une souffrance générée par une consommation massive de contenus pour adultes. Même si, d’un point de vue scientifique, l’addiction à la pornographie fait encore l’objet de nombreux débats.

​ Reste que les « tubes », en rendant tous les types de sexualité accessibles, les ont aussi rendus plus visibles. Côté pile, cela permet d’explorer librement sa sexualité, y compris lorsqu’elle va à rebours de tabous sociétaux : aux Etats-Unis, plusieurs études ont montré que la consommation de vidéos mettant en scène des personnes homosexuelles ou transgenres était proportionnellement plus forte dans les Etats les plus conservateurs. Côté face, ces plates-formes rendent aussi plus accessibles des contenus violents ou extrêmes, a fortiori lorsqu’elles sont mal, voire pas du tout, modérées.

​ Car, depuis leur apparition, une vive controverse existe sur leur caractère « prescripteur », faisant écho à un débat similaire plus large concernant l’impact de la pornographie sur la sexualité de ses consommateurs. Pornhub et ses concurrents sont ainsi régulièrement accusés de promouvoir, sur leur page d’accueil ou dans les suggestions de vidéos, une image violente, caricaturale ou malsaine de la sexualité, notamment avec le système des « tags ». Ces mots-clés peuvent aussi bien renvoyer à des descriptions physiques des actrices et acteurs qu’aux actes sexuels présentés ou au décor des vidéos. Nombre d’entre eux sont régulièrement dénoncés pour leur teneur raciste et misogyne, ou encore lorsqu’ils font la promotion de l’inceste.

​ « Certes, quand on a un intérêt spécifique, un “kink”, c’est hyperpratique pour trouver des vidéos correspondantes, reconnaît Carmina. Le problème, c’est qu’ils ont tendance à être fortement sexistes, racistes, classistes, hétéronormés… Catégoriser les corps avec des tags, ça peut être un problème ; mais les problèmes sur la vision du corps de la femme, ça n’est pas un débat inhérent au porno, c’est dans toutes les industries, dont le cinéma. »

La bataille du contrôle de l’âge

​ Devenus incontournables, la plupart des gros « tubes » ont tenté ces dernières années d’asseoir une forme de légitimité et d’engager un processus de « normalisation ». Certains ont mis fin au piratage à grande échelle de contenus, ont lancé des services pour rémunérer les « modèles », et tous ceux appartenant à de grands groupes ont conclu des accords avec des plates-formes payantes. En début d’année, MindGeek a même été racheté par Ethical Capital Partners, un fonds d’investissement canadien.

​ Mais tous sont encore aujourd’hui visés par des plaintes en justice et des enquêtes dans divers pays. De nombreux articles de presse récents ont montré que ces sites continuaient d’héberger des vidéos illégales, de violences sexuelles notamment, et ne répondaient pas, ou trop tardivement, aux demandes de suppression de contenus relevant du revenge porn (« pornodivulgation »), qui consiste à diffuser sans le consentement de quelqu’un des images censées rester privées. Le studio Legal Porno est notamment accusé d’imposer des conditions de travail et des scènes extrêmement violentes aux actrices : une enquête a été ouverte en République tchèque. En France, le scandale French Bukkake a révélé des pratiques violentes et un système de « prédation » organisé pour les tournages de ce site, en accès payant mais dont les vidéos se retrouvent aussi sur certains « tubes ».

​ De son côté, Pornhub a joué un rôle central dans le scandale Girls Do Porn, un studio accusé d’avoir monté un vaste système d’intimidation et de coercition pour imposer à des femmes de tourner des scènes en leur promettant une distribution confidentielle, alors même que les vidéos étaient diffusées sur des sites à forte audience. La plate-forme a également été impliquée en 2020 dans un autre scandale après la publication d’une enquête du New York Times sur la présence sur le site de vidéos pornocriminelles et de viols. A l’époque, Visa et Mastercard avaient coupé leurs services auprès de Pornhub, et l’entreprise avait supprimé en catastrophe une grande partie des contenus mis en ligne par ses utilisateurs.

​ Quatre plates-formes de « tubes » (Pornhub, Xvideos, Xnxx et Xhamster) sont directement visées par le récent – et controversé – rapport sur la pornographie du Haut Conseil à l’égalité entre les femmes et les hommes, publié en France le 27 septembre.

​ Plus menaçant encore pour ces sites, une bonne dizaine d’Etats américains et plusieurs pays, dont la France, ont cherché ces trois dernières années à leur imposer un contrôle strict de l’âge de leurs visiteurs. En Louisiane, où un mécanisme de vérification a été mis en place, Pornhub a « instantanément vu son trafic chuter de 80 % », expliquait à la mi-juillet au Monde Solomon Friedman, l’un des dirigeants de Aylo, propriétaire de la plate-forme. Dans l’Hexagone, le projet de loi visant à sécuriser et réguler l’espace numérique, débattu mercredi 4 octobre à l’Assemblée nationale, veut permettre le blocage des sites qui ne se plient pas aux règles, sans avoir à passer par une décision de justice.

​ Partout où elles sont proposées, ces lois imposant la vérification d’âge sont férocement contestées par les « tubes ». Système en double anonymat, empreinte de carte bleue, analyse faciale… si les modalités techniques d’un tel contrôle sont débattues, ce qui se joue en réalité est surtout leur modèle économique. Pour des sites qui ont bâti leur empire sur des revenus publicitaires et un océan de contenus accessible en deux clics, tout système de vérification constituera une entrave. Et donc une menace existentielle.

NFT : encore plus stupide — Pavillon rouge et noir
thumbnail

NFT : encore plus stupide

Par Pablo le jeudi 20 janvier 2022, 13h12

L’objectif d’un NFT est d’établir un titre de propriété. L’idée est de certifier une association entre une identité numérique (le propriétaire) et un objet (la propriété, le plus souvent numérique également), et d’utiliser la technologie de la blockchain pour stocker et distribuer ce certificat de propriété.

Ça commence mal : les personnes qui prétendent utiliser une blockchain pour établir des titres de propriétés mentent ou ne savent absolument pas de quoi elles parlent. Cela a été établi dans un précédent billet (dont je vous conseille la lecture avant celui-ci) où j’expliquais qu’une blockchain ne peut pas servir de source de vérité pour quoi que ce soit qui ne soit pas intrinsèquement “dans” ladite blockchain. Cette technologie n’a donc aucun avantage par rapport au papier[1], mais a par contre beaucoup d’inconvénients que le papier n’a pas (consommation énergétique, transactions acentrées impossibles, etc.).

Ce que prétendent apporter les NFT, c’est la décentralisation et l’absence de la nécessité de tiers de confiance. Cela suffit en soi à discréditer complètement l’idée des NFT, puisqu’il s’agit de titre de propriété sur une blockchain et que justement, l’utilisation d’une blockchain ne permet en réalité aucune décentralisation ni aucune suppression du besoin de confiance comme cela est démontré dans le billet cité précédemment. Mais comme l’indique le titre de ce billet : les NFT sont encore plus stupides.

NFT signifie “non-fungible token”, c’est à dire “jeton non-fongible” : il s’agit d’un morceau d’information non interchangeable, par opposition aux unités de cryptomonnaies par exemple. Quand on a 1 bitcoin, on a 1 bitcoin n’importe lequel, ils sont tous équivalents, au sens strict d’avoir la même valeur. Chaque NFT est unique et identifiable. Un billet de 10€ vaut la même chose que n’importe quel autre billet de 10€ (ou que n’importe quel ensemble de pièces et billets qui valent 10€) : les euros sont fongibles. En revanche si on décide que les billets de 10€ n’ont plus cours mais qu’on les garde et qu’on ouvre un marché des billets de 10€ où chacun est unique et identifié par son numéro de série, alors je peux espérer vendre plus cher mon billet numéroté 198357 que celui numéroté 840414 par exemple en disant que c’est un nombre premier et qu’il y a un nombre limité de tels billets (ce qui est faux puis stupide, mais je peux le dire quand même…).

Cette idée illustre ce qu’on entend par “non-fongibilité”. C’est ça qui fait que numéroter des objets en quantité limité augmente leur valeur[2] : non seulement ils sont rares mais en plus ils sont maintenant uniques puisque chacun a un numéro différent. Mais dans le cas des NFT, c’est encore plus stupide : des NFT, absolument rien n’empêche d’en créer plusieurs (et même autant qu’on veut) pour exactement le même objet (donc il peut y avoir plusieurs certificats de propriété pour une même œuvre), et n’importe qui peut en créer pour n’importe quoi (donc aucune garantie que la personne qui crée ou vend un NFT ait des droits sur la propriété de l’objet associé). Tout se passe comme si un même billet de 10€ (au sens de l’objet physique, nécessairement unique) pouvait avoir une infinité de numéros de série, et que c’est à ces numéros de série qu’on attribuait de la valeur, et potentiellement des valeurs différentes à chacun. Oui oui, ça n’a absolument aucun sens.

En fait c’est même encore plus stupide : l’objet associé à un NFT est généralement un objet numérique, dont la rareté n’existe donc pas[3] puisqu’il est transmissible par copie (par opposition à mon billet de 10€ que je n’aurais forcément plus en ma possession quand je l’aurais transmis à quelqu’un·e d’autre). Cela signifie que l’objet associé au NFT (et qui manifestement contribue à sa valeur sur le marché alors qu’on a déjà vu au paragraphe précédent que ça ne fait pas sens) peut lui même être répliqué infiniment. Cela peut sembler évident mais on a vu vraiment beaucoup de cas de personnes ayant acheté une image en NFT pour l’utiliser comme photo de profil sur des réseaux sociaux et traitant de voleurs les personnes qui récupéreraient cette image par un simple clic droit puis “enregistrer l’image sous…”, par exemple.

Toutes ces critiques sont déjà valides en admettant encore l’idée qu’un NFT serait effectivement un titre de propriété, mais en réalité c’est encore plus stupide. En principe, du moins du point de vue des défenseurs de cette technologie, posséder un NFT associé à l’objet (numérique ou non) X permet de dire « Je suis le propriétaire officiel de X, j’ai un certificat qui le prouve. ». Sauf que la notion propriété n’a absolument rien de naturelle, elle n’existe pas autrement que comme une construction sociale. La propriété peut résulter d’un rapport de force “brute”[4] ou d’un accord commun, mais dans tous les cas, il s’agit d’une forme de violence. Dans le premier cas le rapport de force doit être renouvelé sans arrêt. Dans le second cas il est nécessaire qu’une forme d’autorité extérieure fasse respecter l’accord aux différentes parties (avec un pouvoir de sanction en cas de non respect, ou un pouvoir absolu de contrainte). Et dans les deux cas, la notion de propriété n’existe et n’a de sens que pour la communauté concernée[5]. Bref, un titre de propriété n’a aucune valeur dans l’absolu si il n’y a pas une autorité tierce qui le fait appliquer, et lui donne par là même sa valeur. C’est vrai quand le titre de propriété prend la forme d’un bout de papier, mais c’est vrai aussi quand il prend la forme d’un NFT. En écrivant dans une blockchain que tel personne est propriétaire de tel objet, on a absolument rien fait de plus que si on avait écrit cette même affirmation sur du papier : ça n’a absolument aucune valeur tant qu’il n’y a pas une autorité tierce qui fait appliquer, qui rend vrai, ce qui est écrit[6]. Exit donc une fois de plus l’idée de décentralisation ou de désintermédiation…

Mais accrochez-vous car ce n’est pas fini : l’association d’un objet à un NFT ne se fait généralement pas directement sur la blockchain pour des raisons techniques (pour les objets physiques — montres de luxe, œuvres d’art, etc. — c’est évident ; et les objets numériques sont trop volumineux pour ça). Notez bien que même dans les très rares cas où l’objet est enregistré sur la blockchain, tout ce qu’on a dit jusque là s’applique parfaitement. Ce qui est stocké sur la blockchain est en fait le plus souvent un lien vers une page web[7] qui pointe à son tour vers l’objet associé au NFT. Ce qui signifie qu’on perd toute idée de décentralisation (qui est la raison d’être de cette technologie — même si cette croyance n’est que le fruit d’une énorme incompréhension comme on l’a déjà vu) puisqu’une plateforme centralisée est nécessaire pour faire le lien entre le NFT et l’objet associé. C’est déjà assez affligeant mais en fait c’est encore plus stupide : du fait de la centralité de ce tiers de confiance imposé, le NFT lui même est sujet au risque de pointer vers un lien mort dans le meilleur des cas (par exemple si le site de la plateforme disparaît ou change d’adresse). Mais cela peut être pire : le site pourrait se faire pirater ou simplement être remplacé plus tard par un autre qui ferait des associations fantaisistes, afficherait de la pub, tenterait d’infecter ses visiteurs avec des virus, ou se contenterait tout simplement de troller.

Il est donc assez clair que la technologie des NFT est purement et entièrement du vent et n’a aucune application sérieuse possible (en dehors d’enrichir les plus hauts étages d’une pyramide de Ponzi tout en accélérant le réchauffement climatique). Regardons tout de même de plus près le cas d’usage non purement spéculatif qui semble être le plus souvent mis en avant par les défenseurs de cette technologie : son utilisation dans un metavers ou le domaine du jeu vidéo (je vais parler de “monde virtuel” de façon général) pour des marchés d’accessoires “in game”.

Ce qui fait que cette idée semble fonctionner, c’est que dans le cas d’un monde virtuel dont on contrôle tout, on peut effectivement décider que la blockchain sur laquelle on enregistre les NFT est une source de vérité. Techniquement, ça fonctionne. Le monde virtuel peut complètement empêcher les participant·es qui ne sont pas identifié·es comme propriétaires d’un NFT de bénéficier de l’objet associé à celui-ci. L’entreprise qui édite le jeu, au travers de l’implémentation du monde virtuel, c’est à dire des règles écrites dans son code source, a ici le rôle de l’autorité tierce et centralisée qui a le pouvoir absolu de rendre vrai ce qu’elle veut, et donc entre autre ce qui serait écrit sur une blockchain. Si l’entreprise change d’avis, la vérité dans le monde virtuel change avec… Et c’est même encore plus stupide. Contrairement à ce qu’on peut régulièrement lire sur le sujet, cela ne permettrait absolument pas de transférer des objets d’un monde virtuel à l’autre si ce n’est pas prévu dans le code des mondes virtuels en question : si un jeu n’a pas prévu de code pour afficher un chapeau rouge sur votre avatar, vous ne pourrez pas y afficher un chapeau rouge sur votre avatar, même si vous être le “propriétaire” d’un NFT associé à l’idée d’un chapeau rouge et que le jeu prend en compte la blockchain sur laquelle c’est le cas par ailleurs. Les NFT ne permettent pas non plus un marché de revente d’objets entre joueur·ses au sein d’un même monde virtuel si celui-ci ne prévoit pas la possibilité de transfert de propriété (ce qu’il pourrait décider de ne faire qu’avec une taxe par exemple…). Bref, tout ce qui relèverait d’autre chose que du marché spéculatif de (re)vente de faux titres de propriété à des acheteurs crédules dépend entièrement de la volonté de l’entité qui contrôle le monde virtuel. On est donc bien dans un système entièrement centralisé, et il n’y a aucun avantage à utiliser des NFT et donc une blockchain pour ça. Techniquement il y a même de nombreux désavantages : ce sera plus coûteux en ressources et moins efficace qu’une simple base de données pour arriver au même résultat.

Mise à jour (22/01/2022) : il a été porté à mon attention que le terme “débile” est problématique car il semble être encore beaucoup attaché aux handicaps cognitifs, j’ai donc pris la décision de le remplacer par “stupide” qui a la même signification sans être validiste.

Notes

  1. ^ Je parle de papier un peu pour forcer le trait, mais la critique reste la même dans le monde numérique, avec les technologies qu’on utiliserait à la place d’une blockchain, qu’elles soient distribuées (dépôt Git, DHT, etc.) ou centralisées (comme une base de données tout à fait classique).
  2. ^ On ne parle ici que de valeur d’échange sur un marché de la rareté et en supposant une demande forte. La valeur intrinsèque, la valeur d’usage de ces objets, n’a évidemment aucune raison de changer parce qu’ils sont numérotés…
  3. ^ Il est possible d’essayer de créer de la rareté artificiellement sur des objets numériques, mais les NFT sont incapables de ça. La seule chose qui le permet sont les DRM (“digital rights maganement” ou MTP en français pour “mesures techniques de protection”), qui sont historiquement un échec cuisant au niveau technique, et qui ne peuvent absolument pas fonctionner sans tiers de confiance par ailleurs, ce qui annihile encore une fois l’intérêt potentiel des NFT.
  4. ^ Guerre de territoire dans les sociétés humaines, combat (ou juste pipi qui sent plus fort ^^) dans certaines communautés animales, par exemple.
  5. ^ Chez les animaux qui marquent leur territoire par exemple, la plupart des autres espèces (en tout cas celles avec qui il n’y a pas de rapport de prédation ou de coopération quelconque) n’ont probablement rien à faire des marqueurs de territoire, si tant est qu’elles soient capables de les interpréter. Il en va de même pour nos barrières et nos frontières (sinon on ferait des OQTF aux moustiques).
  6. ^ L’idée développée dans ce paragraphe est détaillée dans le billet évoqué plus haut : la vérité sur la blockchain.
  7. ^ Et seulement un lien, même pas de condensat cryptographique de l’objet permettant de s’assurer de son intégrité… Sauf dans quelques rares cas où le lien est un identifiant IPFS, mais ça ne change rien aux autres problèmes.

« La nécessité de la preuve de travail (ou d'enjeu)