Le ministère de la justice américain (Department of Justice – DoJ) vient de remettre au Sénateur Patick Leahy (président de la commission de la justice) un rapport très attendu sur les outils de fouille de données informatiques (Data Mining) utilisés par les agences gouvernementales. Ce document est prévu par la section 126 du Patriot Act révisé en 2005, qui précise que le DoJ doit soumettre au Congrès tout projet en cours de préparation concernant l’utilisation d’outils informatiques de ce genre. Le Sénateur Leahy a exprimé son mécontentement quant à ce document, en critiquant la politique de développement de telles technologies par le gouvernement Bush.
Le rapport révèle pour la première fois publiquement le fonctionnement de six outils de fouille de données mis en place par le FBI, en insistant particulièrement sur un programme en cours d’élaboration. Ce logiciel, appelé System To Assess Risk (STAR), est développé par le groupe Foreign Terrorist Tracking Task Force (FTTTF) du FBI. Il permettra d’automatiser et d’accélérer le travail manuel des analystes anti-terroristes. Le système prend en entrée des données telles que des noms, des dates de naissance, des lieux et, pour chacun des individus, attribue un score en pondérant les résultats de 35 règles prédéfinies. STAR fonctionne en mode question-réponse et ne peut donc pas lever des alertes de façon automatique ou conclure à des comportements terroristes arbitrairement. Une fois qu’un degré de risque a été attribué, des analyses plus poussées sont menées. Le but affiché de cet outil est donc de réduire le champ de recherche une fois qu’une première liste de suspects a été établie. Actuellement en cours de développement, une première version de test est prévue dans les mois qui viennent pour emploi sur des données réelles, dès que les Privacy Impact Assessments (PIA) auront été validés par le FBI. Ce système a été créé pour compléter les bases existantes, car aucun outil sur étagère ne satisfaisait les exigences du FBI. Le rapport précise que les autres bases gouvernementales pour la lutte contre le terrorisme ne permettent que de prévoir les impacts en cas de destruction d’infrastructures ou de sites à risques et ne répondaient donc pas au besoin exprimé.
STAR analyse trois bases de données :
– la Terrorist Screening Center database (TSCDb),
– la base des dispenses de visa I-94 fournie par le Department of Homeland Security,
– Accurint (produit de LexisNexis), qui contient des données publiques sur des adresses, des numéros de téléphone, des informations fournies par des employeurs, les permis de conduire et les licences de pilotes d’avion
Toutefois le rapport reste vague en ajoutant que des données sont également extraites de la base ChoicePoint (concurrente de LexisNexis, qui contient plus de 17 milliards d’entrées concernant la vie des américains), ainsi que de bases issues des compagnies aériennes (données PNR ?). Les résultats renvoyés par STAR seront classés "Secret", mais stocker temporairement ou non scores attribués ne semble pas encore avoir fait l’objet d’une décision.
Les autres outils d’analyse de données décrits dans ce rapport sont :
– Identity Theft Intelligence Initiative : identifie des personnes et leurs associés pour usurpation d’identité, consécutivement à plusieurs plaintes enregistrées localement dans un court laps de temps
– Health Care Fraud Initiative : à partir de modèles statistiques sur les dépenses moyennes en frais de santé, cet outil permet d’identifier d’éventuels fraudeurs à l’assurance maladie
– Internet Pharmacy Fraud Initiative : identifie les pharmacies sur Internet qui délivrent des prescriptions illégales ou des médicaments contrefaits suite à des plaintes de la Food and Drug Administration. Ces "pharmacies" sont souvent celles qui ventent leurs produits dans les spams
– Housing Fraud Initiative : analyse les transactions immobilières frauduleuses à partir des données issues de la base ChoicePoint sur les vendeurs, acheteurs et locataires
– Automobile Accident Insurance Fraud Initiative : identifie les fraudes à l’assurance automobile
La majorité de ces outils s’appuient sur des tableaux Excel et les logiciels Microsoft Access et Analyst Notebook I2. Le rapport met l’accent sur la protection des données utilisées et sur le respect des libertés des américains dans les résultats renvoyés.
D’autres systèmes de surveillance de risque terroriste ont déjà été mis en lumière, comme le très critiqué Automated Targeting System (ATS) du Department of Homeland Security qui attribue une note aux passagers qui entrent et sortent des Etats-Unis par les airs (voir "Polémique sur les points terreur", BE Etats-Unis 60 : https://www.bulletins-electroniques.com/actualites/40483.htm). ATS n’est pas mentionné dans le rapport du DoJ, sûrement parce que la méthode de recherche de cet outil ne rentre pas dans la définition exacte de la fouille de données telle qu’elle a été définie dans la section 126 du Patriot Act. Le Sénateur Patrick Leahy déclarait en janvier dernier qu’il existait 199 programmes de fouille de données utilisés par 52 agences gouvernementales. Ces systèmes sont également exclus du document qui vient d’être remis au Sénat.
Source :
– Data on Americans mined for terror risk, 10 Juillet 2007 : https://news.yahoo.com/s/ap/20070711/ap_on_go_ca_st_pe/fbi_data_mining_5
– FBI Plans Initiative To Profile Terrorists, 11 Juillet 2007 : https://www.washingtonpost.com/wp-dyn/content/article/2007/07/10/AR2007071001871.html
– Data mining at the FBI: digging for terrorists, insurance scammers, and identity thieves, 16 Juillet 2007 : https://arstechnica.com/news.ars/post/20070716-data-mining-at-the-fbi-digging-for-terrorists-insurance-scammers-and-identity-thieves.html
– U.S. Details Some Data-Mining Programs, Hints at Others : https://www.wired.com/politics/onlinerights/news/2007/07/feds_data
Pour en savoir plus, contacts :
– "REPORT ON "DATA-MINING" ACTIVITIES, PURSUANT TO SECTION 126 OF THE USA PATRIOT IMPROVEMENT AND REAUTHORIZATION ACT OF 2005" : https://blog.wired.com/27bstroke6/files/070709_doj_data_mining1.pdf
– Audition au Sénat du 10 Janvier 2007 par le Sénateur Patrick Leahy : https://judiciary.senate.gov/hearing.cfm?id=2438
– "USA PATRIOT IMPROVEMENT AND REAUTHORIZATION ACT OF 2005", Public Law 109-177 : https://boulder.lib.co.us/patriotact/PATRIOTact2005_text.pdf
– Site Internet de ChoicePoint : https://www.choicepoint.com
Autres brèves sur le Data Mining parues dans les Bulletins Electroniques :
– "Après la tragédie à Virginia Tech, "data-mining" sur l’Internet pour anticiper les tueurs et terroristes ?", BE Etats-Unis 76 : https://www.bulletins-electroniques.com/actualites/42466.htm
– "Polémique sur les "points terreur", BE Etats-Unis 60 : https://www.bulletins-electroniques.com/actualites/40483.htm
– "A la recherche de Big Brother, pour protéger l’Amérique des terroristes…", BE Etats-Unis 53 : https://www.bulletins-electroniques.com/actualites/39770.htm
– "Un nouvelle technique de filtrage sélectif des accès à l’information", BE Etats-Unis 47 : https://www.bulletins-electroniques.com/actualites/39116.htm
Code brève
ADIT : 43731
Rédacteur :
Vincent Reboul [email protected]