Drone, l’Etat dans l’illégalité, est espionné!

Depuis le confinement dû au Covid-19 ils sont apparus dans quelques villes de France pour vous dire de #RestezChezVous. Mais c’est surtout depuis le mouvement des Gilets Jaunes que l’on voit ces engins dans le ciel de nos villes !

INTERDIT DE VOL EN VILLE
Produit par le chinois DJI, leader du marché du drone de loisir. Le drone, “Mavic Pro” utilisé par les forces de l’ordre est interdit de vol en agglomération. (DGAC)

ESPION CHINOIS
Les drones de la marque DJI fonctionne avec une application dont la firme chinoise conserve toutes les données : Temps de vol, altitude, données GPS. Pire, il est même possible à DJI d’accéder à vos images ou vidéos !

Les Drones : Sans trop de risque en milieu rural, ce type d’engin a également été utilisé au-dessus des villes pour le maintien de l’ordre. Ce fut notamment le cas dès 2017 à Lyon pour la sécurité de la Fête des Lumières avec un drone militaire “Reaper”. Rien d’étonnant, donc, à voir ce genre de dispositifs être mis en place au-dessus de nos villes pour les manifestations Gilets Jaunes. L’avocat spécialisé en droit numérique Thierry Vallat pense lui que “Ça commence à entrer dans le logiciel de maintien de l’ordre en France. Et ce n’est pas surprenant, c’est une évolution logique”.

Reste en suspend plusieurs questions sur la sécurité et le respect de la vie privée des personnes !

Mais quelle règlementation s’applique à cette surveillance des villes par des drones ?

La mairie devra faire une déclaration en préfecture, indiquant la date et l’heure du vol, au maximum cinq jours avant celui-ci et prévenir la direction générale de l’aviation civile (DGAC) .

Rappelons que l’encadrement de l’usage des drones civils est prévu par la loi n° 2016-1428 du 24 octobre 2016 et qu’il est interdit pour tout un chacun de piloter son drone en milieu urbain, forces de l’orde comprises !

Il existe en revanche des règles pour les professionnels qui doivent solliciter des autorisations spécifiques en fonction de leur scénario de vol.

Mavic Pro 2

Pour les services de l’Etat, c’est différent: l’arrêté du 17 décembre 2015 fixe pour sa part dans son article 10 des règles dérogatoires pour  “les aéronefs qui circulent sans personne à bord appartenant à l’Etat, affrétés ou loués par lui et utilisés dans le cadre de missions de secours, de sauvetage, de douane, de police ou de sécurité civile peuvent évoluer en dérogation aux dispositions du présent arrêté lorsque les circonstances de la mission et les exigences de l’ordre et de la sécurité publics le justifient, ainsi que pour les aéronefs qui circulent sans personne à bord utilisés dans le cadre de missions de secours, de sauvetage et de sécurité civile dirigées par le préfet territorialement compétent peuvent évoluer en dérogation aux dispositions du présent arrêté lorsque les circonstances de la mission le justifient”

Pour s’équiper de drones et les utiliser, un maire devra donc monter un dossier, comme pour des caméras fixes, et présenter le projet auprès de la commission départementale de vidéoprotection. Cette instance, composée du préfet, de juristes et de la Commission nationale de l’informatique et des libertés (Cnil), déciderait ensuite si les raisons exposées sont suffisantes ou non pour justifier la présence de ces appareils sur une partie de son territoire (ou la totalité). Et ce, en respectant la vie privée en floutant toutes les parties privatives en amont.

Un policier municipal pilotant un drone — Mairie d’Istres

En avril 2018 on apprenait que le maire d’astres (Bouches-du-Rhône), François Bernardini, a investi dans deux engins conçus par la société Cosmopter et que cinq agents municipaux ont été spécialement formés à leur maniement, pour un budget total de 50 000€. Bouches-du-Rhône: Des drones pour les policiers municipaux Les drones assureront une surveillance globale, en hauteur des massifs forestiers, en complément des moyens classiques déployés par la ville pour combattre les feux de forêt, mais aussi en coopération avec la police nationale. Les deux drones assureront la surveillance d’endroits sensibles, où des trafics et délits peuvent être commis ou pour sécuriser les personnes dans de grands rassemblements. « Ces dispositifs sont d’une discrétion totale et peuvent se faire invisibles. », se réjouit-il. « Ces drones pèsent moins de 4 kg et sont capables de voler à 60 km/h ». 

En revanche, la Police Nationale ou la Gendarmerie peuvent opérer, sous couvert d’opérations de sécurité civile, une surveillance par drones sans restriction. Il n’existe pour le moment aucune disposition spécifique concernant l’utilisation de drones par les forces de l’ordre à l’analogue de la règlementation mise en place pour les caméras piétons pour laquelle la CNIL avait été interrogée  Caméras-piétons utilisées par les forces de l’ordre  

Se posent pourtant de nombreuses difficultés liées à ces utilisations (de contrôle et de conservation des images, voire de recoupement avec d’autres fichiers), en particulier concernant le respect de la vie privée des personnes dans les zones qui pourraient être surveillées par drones.

Rappelons qu’un amendement Lardet n° CL155 au projet de loi “SÉCURITÉ INTÉRIEURE ET LUTTE CONTRE LE TERRORISME” avait été déposé qui se proposait de commander au gouvernement un rapport dans les six mois “relatif aux possibilités d’utilisation des drones de surveillance par les forces de police ou les forces armées dans le cadre de leur mission”.

Pour la député LREM Frédérique Lardet, les drones pourraient être utilisés par les forces de polices ou les forces armées pour effectuer des missions de surveillance par exemple autour des périmètres de protection (manifestation culturelle, sportive, locale, etc.) soumise à risque terroriste.

Une telle utilisation pourrait avoir un effet dissuasif, mais aussi permettre d’identifier rapidement, à moindre coût et avec des moyens humains plus réduits les zones sensibles où une intervention serait nécessaire.

L’objectif de ce nouvel article était donc de demander au Gouvernement un rapport sur la faisabilité d’une telle utilisation, à la fois au niveau technique et au niveau légal pour analyser le cadre juridique de ces utilisations, en particulier concernant le respect de la vie privée des personnes dans les zones qui pourraient être surveillées par drones..Mais l’amendement avait finalement été retiré

Il s’agit donc d’une nouvelle utilisation des drones de surveillance après les essais l’été dernier d’un drone équipé d’une caméra constituant la nouvelle arme des policiers de la route pour contrôler les chauffards sur l’autoroute A10.

Enfin, que ce soit en milieu urbain ou rural, la captation d’images par la voie des airs au moyen d’un drone survolant une propriété privée peut-être considérée comme une ingérence dans la vie privée. En conséquence, le constat d’une infraction sur une propriété privée à l’aide d’un drone sera considéré comme illicite dès lors que la zone contrôlée est inaccessible aux regards (lire notre article de janvier 2018  Des drones contre les fraudeurs )

Il serait sans doute temps qu’un cadre légal plus précis puisse intervenir pour règlementer l’utilisation de la surveillance par des drones, ceux -ci constituant en sus des caméras dont sont dotées la plupart des municipalité désormais, un nouveau moyen très invasif de contrôle des individus

Me Thierry Vallat a été interrogé par 20 Minutes sur la légalité de ces équipements  Bouches-du-Rhône: Des drones pour les policiers

mise à jour du 23 mars 2019 – Suite aux exactions des casseurs lors de l’acte 18 des Gilets Jaunes de samedi 16 mars dernier, il a été annoncé par le Premier ministre Edouard Philippe une stratégie renforcée contre les black blocs avec des interdictions de manifester dans les quartiers les plus touchés (Champs-Élysées, la place Pey-Berland à Bordeaux, place du Capitole à Toulouse) et l’utilisation de moyens supplémentaires comme des drones de surveillance ou des fameux produits marquants (PMC)

Me Thierry Vallat est intervenu le 19 mars sur la question des drones de surveillance sur

BFMTV  Quels sont les nouveaux moyens de la police pour lutter contre les casseurs

sur France Info le 20 mars 2019  Les mesures d’Edouard Philippe peuvent-elles enrayer la violence

et le 23 mars 2019 pour le Huffington Post  Acte XIX des gilets jaunes: ce que l’utilisation de drones dit de l

ainsi que sur Sud Radio  le 20 mars 2019 

(Crédit dessin: Cabinet Thierry Vallat)

Pour l’acte XIX des gilets jaunes, des drones seront utilisés pour le maintien de l’ordre.
DRONE : PHANTOM IV (Non autorisé de vol en milieu urbain !!!)

Acte XIX des gilets jaunes: ce que l’utilisation de drones dit de l’évolution du maintien de l’ordre

DJI : “vos données ne nous regardent pas”
Nous : on en doute !

DJI, l’espion chinois (?)

Le hacker Kevin Finisterre est parti en croisade contre DJI , et l’armée américaine a décidé de ne plus utiliser d’appareils de la marque .
DJI est accusé de stocker des données sur des serveurs, principalement en Chine, à l’insu de ses utilisateurs. 

A la fin de l’été 2017, DJI avait annoncé vouloir récompenser les spécialistes des failles informatiques en mesure de trouver des trous de sécurité dans les produits de la marque. Kevin Finisterre, un spécialiste de la sécurité appliquée aux drones, relève le défi et publiera un long texte racontant ses déboires face aux responsables juridiques de DJI. « Comment j’ai abandonné la récompense de $30000 de DJI ». https://regmedia.co.uk/2017/11/16/whyiwalkedfrom3k.pdf

En mai 2019, une note émise par le Department of Homeland Security américain (DHS), accuse les drones DJI d’être des espions potentiels.

DJI a choisi de diligenter une étude indépendante pour prouver sa bonne foi. La société choisie est Kivu Consulting, qui opère aux Etats-Unis pour le compte de McDermott Will & Emery LLC, à qui DJI a commandé le rapport.

Peut-on faire confiance à cette société de consulting et à son rapport ? Kivu Consulting semble jouir d’une excellente réputation aux Etats-Unis et ne pas entretenir de relations particulières avec la Chine. Cela dit il faut être lucide : dans le domaine de la sécurité, rien n’est jamais certain à 100 %.

L’étude de Kivu Consulting met en lumière d’autres échanges de données. On y trouve des diagnostics de l’état du drone, et des performances de l’application DJI GO 4 sur smartphone. Le numéro de série fait partie des données stockées. DJI GO 4 envoie automatiquement la durée des vols, la distance parcourue, le nombre moyen de photos prises chaque vol, mais sans y adjoindre de position GPS ni de données relatives à l’utilisateur. Il est possible de désactiver l’envoi de ces informations dans DJI GO 4, assure Kivu Consulting.

Le cas complexe des zones sensibles

DJI GO 4 envoie sur ses serveurs, il est intéressant de le noter, la position du drone au moment de sa mise en route. Ce n’est pourtant pas une position exacte, indique le rapport de Kivu Consulting après étude du contenu de la base de données, c’est une coordonnée générique ou aléatoire positionnée dans un rayon de 10 km. En clair ? C’est un marqueur qui catégorise l’endroit : par exemple Hong Kong, Paris, Dieppe, ou une position proche mais aléatoire quand il n’y a pas de « point d’intérêt » à proximité.

Pour quoi faire ?

Cette information de position approximative est confrontée à la base de données des zones interdites ou restreintes de vol de DJI. A quoi sert vraiment cet échange de données ? Kivu Consulting ne l’explique pas, mais indique qu’il est possible de prévenir l’envoi de ces informations en coupant la connexion à Internet. Ce qui ne permet pas pour autant de voler en zones interdites, puisque la base de données de DJI est embarquée à bord de ses drones, donc utilisable par DJI GO 4 même sans accès à Internet. Kivu Consulting note qu’un « Local Data Mode » est proposé sur l’application DJI Pilot. Cette fonction n’est pas disponible sur DJI GO 4.

Les informations personnelles et la reconnaissance des visages

Lorsqu’un utilisateur s’inscrit sur le service de DJI, il doit indiquer une adresse mail et un numéro de téléphone. Ce sont les seules informations indispensables, assure Kivu Consulting. Il est possible d’indiquer d’autres données personnelles, mais DJI ne cherche pas à les vérifier. Les utilisateurs peuvent donc conserver leur anonymat s’ils le désirent. Kivu Consulting indique qu’avec le Spark, DJI procède à une reconnaissance des visages. Mais elle ne vise pas à identifier les personnes, uniquement à détecter la présence d’un visage et sa distance par rapport au drone.

Les serveurs de DJI

C’est une notion importante. Kivu Consulting a noté que les serveurs de DJI pour les usages aux Etats-Unis sont ceux d’Amazon Web Services aux USA, à l’exception des données du service Skypixel, qui sont stockées sur les serveurs Cloud d’Alibaba situés aux Etats-Unis. Kivu Consulting note que l’endroit de stockage des données varie selon la position géographique du drone. Ce ne sont par conséquent pas les mêmes serveurs en France ou en Chine. L’étude ne donne pas d’indications supplémentaires, en précisant que ses tests n’ont été conduits qu’aux Etats-Unis. Il n’y a pas non plus d’informations sur d’éventuels tests des différents serveurs. DJI a confirmé à Kivu Consulting que des données stockées sur les serveurs Cloud de la marque avaient été rendues publiques par erreur. Kivu indique avoir vérifié que les correctifs avaient été apportés.

Ce qu’on en pense ?

Le rapport assure qu’aucune donnée ne transite sans votre accord entre votre drone, DJI GO 4, les serveurs de DJI en Europe, en Chine, aux USA. Des conclusions qui balayent d’un revers de la main les interrogations de l’armée américaine – dont la décision semble, par ailleurs, plus politique que guidée par un souci de sécurité. Mais puisque le commanditaire de l’étude est DJI, il convient d’être prudent sur les conclusions du rapport. Pour lever totalement les doutes, il faudrait disposer d’une étude menée par un organisme totalement indépendant de DJI.

Source : www.helicomicro.com

Qu’en aux forces de l’ordre : Est-il prudent d’utiliser de tels engins… Pour nous et même pour la Sécurité Nationale ???