211service.com
Confondre Oussama ben Laden avec Johnny Rotten
Fin février dernier, le département américain de la Sécurité intérieure (DHS) a lancé son programme d'enquête sur les recours des voyageurs pour les plus de 30 000 personnes qui, depuis le 11 septembre, ont été identifiées à tort comme des terroristes potentiels par la tristement célèbre TSA (Transportation Security Administration). listes d'interdiction de vol et de sélection. Ces personnes peuvent désormais demander des examens d'enquête via un site Internet , dans l'espoir que la TSA finira par supprimer leurs noms.
Hélas, la réalisation de leurs espoirs risque d'être longtemps différée. Officiellement, le système informatisé de présélection des passagers Secure Flight, très retardé de la TSA, sera déployé d'ici l'automne 2008 au plus tôt. Mais les administrateurs de la TSA ont déclaré au Congrès que la mise en œuvre complète du système – qui coûte déjà 140 millions de dollars et nécessite au moins 80 millions de dollars de plus – pourrait ne pas avoir lieu avant 2010. Traduction : personne au DHS et à la TSA ne prendra la responsabilité de supprimer des noms de la montre listes, et les personnes figurant sur les listes continueront de subir un contrôle supplémentaire de leurs personnes et de leurs bagages à main.
En bref, la farce des efforts fédéraux visant à créer un système efficace de profilage des terroristes pour empêcher les terroristes d'entrer dans les avions – et la farce des réactions des organisations de défense de la vie privée à ces efforts – se poursuivra. Avant le 11 septembre 2001, la liste du gouvernement américain des terroristes présumés interdits de voyager en avion contenait 16 noms. Par la suite, chaque agence gouvernementale a vidé sans discernement des informations sur chaque suspect potentiel de ses bases de données sur les listes de surveillance. En mars 2003, lorsque la TSA a effectué les premiers tests du CAPPS II (Computer Assisted Passenger Pre-screening System II), les listes de surveillance s'étaient étendues à 75 000 noms, dont beaucoup étaient notoirement courants comme Ted Kennedy et Robert Johnson.
CAPPS II aurait nécessité la collecte de quatre données personnelles – nom, adresse, numéro de téléphone et date de naissance – pour authentifier l'identité des voyageurs. Il aurait ensuite transmis ces informations à des sociétés commerciales de courtage de données (principalement AcXiom , le soi-disant leader de l'industrie dans l'utilisation de l'informatique en grille) afin de les comparer aux données extraites des rapports de crédit, des cartes d'inscription des électeurs, des dossiers de conduite, etc., afin de générer ensuite un score de risque secret pour chaque individu.
Inutile de dire que tout cela à lui seul a suffi à provoquer des organisations dédiées aux libertés civiques telles que l'American Civil Liberties Union (ACLU), l'Electronic Frontier Foundation (EFF) et l'Electronic Privacy Information Center (EPIC). De plus, cependant, la Maison Blanche, le DHS et le ministère de la Justice voulaient étendre le CAPPS II afin d'attraper les étrangers illégaux et les criminels nationaux, malgré les objections des administrateurs de la TSA qui avaient promis de limiter le système au profilage des terroristes étrangers. À l'été 2004 - alors que certains de ces administrateurs menaçaient de se mutiner, CAPPS II était en retard d'un an et non fonctionnel, et le Government Accountability Office signalait que le système ne protégerait pas la vie privée des individus - alors le chef du DHS, Tom Ridge, a malhonnêtement suggéré aux journalistes qu'il serait tué.
En fait, CAPPS II a été renvoyé à la planche à dessin et réduit. Les exigences de dépistage des criminels ont été abandonnées et le système a été rebaptisé Secure Flight. Les combats entre la TSA et les organisations de défense de la vie privée sur des questions telles que dans quelle mesure l'agence pourrait utiliser les données collectées par les sociétés de courtage de données commerciales se sont poursuivies. En février 2006, des sources du Centre national de lutte contre le terrorisme ont déclaré au Washington Post que les listes de surveillance étaient passées à 325 000 noms, soit plus du quadruple des 75 000 figurant sur les listes en 2003.
Pour l'instant, le DHS – dont la TSA est une composante – a peut-être réussi à contourner temporairement les militants. En novembre 2006, le bureau de la protection de la vie privée du DHS a révélé que son système de ciblage automatisé (ATS) analysait depuis le début les dossiers internationaux des passagers (PNR) que les compagnies aériennes envoient aux agents de contrôle du DHS. Il a également attribué des scores de risque secrets aux individus en fonction non seulement de leurs noms, adresses et attributions de sièges, mais également de la façon dont leurs billets ont été payés, avec qui les passagers pourraient voyager et avec quels numéros de téléphone ont été utilisés pour réserver des vols. . Quelque 50 organisations militant pour la protection de la vie privée ont réagi avec indignation, affirmant qu'elles avaient été faussement amenées à croire que l'ATS n'était utilisé que pour identifier le fret à bord des navires, elles avaient donc concentré leur attention sur le CAPPS II et Secure Flight. systèmes.
En réponse, le patron du DHS, Michael Chertoff, a insisté sur le fait qu'il avait parlé de la collecte et de l'analyse de ces informations par la sécurité intérieure dans des centaines de discours, ce qu'il a fait, mais jamais à côté de mentions de l'ATS. Le 8 décembre 2006, Journal national article, Chertoff s'est livré à une petite drôlerie aux dépens des militants de la vie privée : j'ai une nouvelle règle. Si je veux garder un secret, je fais un discours à ce sujet. Parce que si je fais un discours, personne ne le reprend. Mais si je le mets dans un document et que je le glisse sous la table, alors il fait la une. Le même article rapportait que Chertoff s'était longuement plaint du penchant des militants à imposer de grandes exigences au département, puis à le réprimander pour le non-respect des délais ou pour son inefficacité.
Avec ce dernier commentaire, Chertoff a en fait raison. La couverture médiatique a tendance à présumer d'un gouvernement américain autoritaire visant à la surveillance orwellienne tout en acceptant assez sans critique les affirmations des organisations militantes pour la protection de la vie privée. Cependant, bien que de nombreuses preuves soutiennent certainement la thèse musclée du gouvernement américain, la vérité est qu'il est également logiquement incohérent pour les militants d'insister sur le fait que les noms des individus sont toutes les données que les bases de données gouvernementales devraient collecter tout en se plaignant que les identifications erronées, ou fausses positifs, sont endémiques. Latanya Sweeney, directrice du Data Privacy Laboratory à la Carnegie Mellon University's School of Computer Science, à Pittsburgh, est une informaticienne spécialisée dans l'apprentissage de la vulnérabilité des données personnelles des individus et de la façon dont leur vie privée peut être préservée au fur et à mesure que la surveillance des données se déroule - un processus elle décrit comme une révélation sélective. Sweeney dit que les faux positifs seront évidemment problématiques avec les listes de surveillance : la seule entrée est le nom, sans données secondaires pour lever l'ambiguïté des individus. De plus, la technologie de liste de surveillance est totalement inacceptable.
Sweeney signifie que les listes de surveillance du gouvernement américain, en plus de contenir des noms communs comme Ted Kennedy, dépendent des variations d'un algorithme phonétique appelé Soundex. Comme elle le dit, Soundex est un ancien brevet qui est utilisé depuis longtemps, chaque fois qu'ils ont deux bases de données où ils essaient de faire correspondre les enregistrements. En effet, Soundex remonte à une époque où les cartes perforées Hollerith étaient la toute dernière technologie informatique. Développé pour indexer et récupérer des noms de famille similaires avec des orthographes différentes (comme Rogers et Rodgers) dispersés dans une liste alphabétique, Soundex a d'abord été utilisé pour que les employés du gouvernement américain puissent analyser rétroactivement les résultats du recensement américain de 1890. Soundex fonctionne en prenant la première lettre d'un nom, en supprimant toutes les voyelles, en attribuant un numéro à chacune des trois consonnes suivantes (avec des consonnes similaires comme s et c obtenir les mêmes nombres), puis supprimer toutes les consonnes restantes. Ainsi, l'algorithme réduit tous les noms à une lettre suivie de trois chiffres.
Par conséquent, Soundex attribue au nom Laden le code L350, tout comme Lydon, Lawton et Leedham. Il s'agit, en d'autres termes, d'un algorithme tellement déficient à des fins d'identification qu'il confond Oussama ben Laden d'Al-Qaïda et Johnny (Lydon) Rotten des Sex Pistols. Pour constater par vous-même les performances médiocres de Soundex, rendez-vous sur nofly.s3.com , où Technologies de correspondance S3 a combiné l'algorithme avec une liste de noms de terroristes potentiels enregistrés dans les bases de données du gouvernement américain. Le gouvernement américain met évidemment à jour ses listes tous les jours, nous ne suggérons donc pas que cela soit à jour, a déclaré James Moore, porte-parole de l'entreprise. Mais nous avons obtenu les meilleures données disponibles sur les personnes qui seraient sur les listes de surveillance des terroristes de diverses agences de renseignement privées. L'utilisation de la version de Soundex et S3 Matching Technologies de la liste de surveillance révèle que les noms de Jésus-Christ et de George Bush ressemblent suffisamment aux noms de terroristes pour qu'ils soient attribués à la liste d'interdiction de vol ou de sélection.
Comment le gouvernement américain rationalise-t-il l'utilisation d'une telle technologie sujette aux erreurs pour ses listes de surveillance ? Sweeney dit, à qui je demande, qu'il s'agisse du DHS, de la DARPA, du ministère de la Justice, tout le monde dit essentiellement : « Nous allons juste aller de l'avant. » Au DOJ, la réponse que j'obtiens est : nous utilisons la biométrie.» Leur conviction est que le problème actuel disparaîtra parce que vous montrerez votre permis de conduire et comparerez votre empreinte digitale à l'image stockée de votre empreinte digitale sur votre permis. Sweeney propose une solution hypothétique au problème de la liste de surveillance. J'ai dit à ChoicePoint qu'ils devraient se lancer dans la liste de surveillance.
Aux côtés de Lexis-Nexis et AcXiom, ChoicePoint est l'une des trois grandes sociétés de courtage de données et, à bien des égards, la plus intéressante d'entre elles. Evan Hendricks, rédacteur en chef du journal basé à Washington Temps de confidentialité , dit, Bien que la plupart des Américains ne connaissent pas ChoicePoint, c'est une entreprise qui en sait beaucoup sur des centaines de millions d'Américains. ChoicePoint aurait-il un minimum de quatre points de données - nom, adresse, numéro de sécurité sociale et date de naissance - pour presque tous les citoyens américains adultes, et aurait-il donc suffisamment d'informations pour différencier, disons, cinq personnes dont les noms seraient codés par Soundex ? sortir pareil? Hendricks répond, c'est certainement vrai. Il en serait de même pour les trois principales sociétés d'évaluation du crédit. Cependant, poursuit Hendricks, alors que les trois grandes agences d'évaluation du crédit - Experian, Trans Union et Equifax - calculent les cotes de crédit des individus, ChoicePoint se définit comme une société d'agrégation de données dans le domaine de la vente de renseignements exploitables à la fois à l'industrie et au gouvernement, les informations relatives au crédit n'étant qu'un sous-ensemble de cet ensemble.
ChoicePoint ne possède pas seulement de nombreux dossiers sur les citoyens américains (sa filiale, VitalChek Network, fournit la technologie pour traiter et vendre les dossiers de naissance, de décès, de mariage et de divorce dans chaque État américain). Elle a également acquis des données sur quelque 300 millions de citoyens du Mexique, du Brésil, de la Colombie, de l'Argentine, du Nicaragua, du Guatemala, du Honduras, d'El Salvador et du Costa Rica – un fait qui est apparu en 2003, après que la société a révélé qu'elle avait acheté des données (apparemment y compris les numéros de passeport et les numéros de téléphone non répertoriés) sur l'ensemble des 65 millions d'électeurs inscrits au Mexique. On ne sait pas si ChoicePoint conserve encore ces informations puisque, dans le cadre de son contrat annuel de 67 millions de dollars avec le ministère américain de la Justice, la société fournissait les informations au gouvernement américain, et le Mexique, le Nicaragua et le Costa Rica ont répondu par des mandats d'arrêt - et dans le cas du Mexique, a menacé de porter des accusations de trahison contre les individus locaux qui avaient vendu les données à ChoicePoint. En juin 2003, la société a affirmé aux pays concernés qu'elle avait supprimé les informations de leurs citoyens de ses bases de données.
Parmi les autres produits et services fournis par ChoicePoint, citons l'identification ADN des victimes des attentats du Word Trade Center le 11 septembre via sa filiale, le Groupe technologique Bode (vendu par ChoicePoint en mars), et Recherche intelligente , qui effectue des recherches génériques pouvant créer un profil personnel complet en quelques minutes, en commençant par un prénom ou une adresse partielle. Plus controversée, la filiale ChoicePoint Technologies de base de données (également appelées DBT Online) a été chargé de constituer une liste d'électeurs interdits de vote par l'État de Floride et était responsable de 57 700 personnes présumées – principalement des démocrates afro-américains et hispaniques – répertoriées à tort comme des criminels lors des élections américaines de 2000. D'autres divisions ChoicePoint fournissent tout types de vérification des titres de compétences, vérifications des antécédents professionnels, tests de dépistage de drogue, casiers judiciaires, dossiers de véhicules à moteur, recherche d'actifs hypothécaires, vérification des locataires, logiciel de base de données, informations médicales et services pour les domaines de l'assurance-vie et de l'assurance-maladie.
Serait-ce une bonne ou une mauvaise chose, dans l'ensemble, si le gouvernement confiait à ChoicePoint l'administration des listes de surveillance dans leur intégralité ? Hendricks dit, je pense que ce serait globalement une très mauvaise chose. En cela, Hendricks fait écho au sentiment général des défenseurs de la vie privée. Lors des cérémonies de remise des prix Big Brother organisées chaque année par des Confidentialité Internationale , ChoicePoint a été lauréat à deux reprises : en 2001, en tant que Greatest Corporate Invader pour la vente massive de documents, précis et inexacts aux flics, aux spécialistes du marketing direct et aux fonctionnaires électoraux, et à nouveau en 2005, en tant que Lifetime Menace Award pour ses efforts continus pour construire des dossiers sur personnes.
Il est bien sûr extraordinaire que des entreprises privées aient eu les moyens d'accumuler et d'échanger plus de données personnelles sur les Américains que le gouvernement américain n'en possède. De plus, des voies limitées de rectification et de réparation sont à la disposition des citoyens face à la mer d'erreurs qui existent dans les bases de données de ces entreprises. Néanmoins, dans une large mesure, les militants de la vie privée ont joué un rôle non négligeable dans la réalisation de cette situation extraordinaire, comme nous le verrons dans la deuxième partie de cet article la semaine prochaine.