Au début du mois d'octobre, David Luzzi, premier vice-recteur, a installé des détecteurs de mouvement sous tous les bureaux de l'Interdisciplinary Science & Engineering Complex (ISEC) de l'université de Northeastern, une installation utilisée par les étudiants diplômés et abritant le Cybersecurity and Privacy Institute, qui étudie la surveillance.
Ces capteurs ont été installés la nuit, à l'insu des étudiants et sans leur consentement, et lorsqu'on leur a demandé des explications, on leur a dit que cela faisait partie d'une étude sur « l'utilisation des bureaux », selon un billet de blog de Max von Hippel, un candidat au doctorat de l'Institut de la protection de la vie privée qui a décrit la situation dans le bulletin d'information de la Tech Workers Coalition.
Ces déploiements font partie de ce que Cory Doctrow, blogueur, journaliste et auteur de science-fiction, appelle la « courbe d'adoption des technologies de merde », par laquelle des technologies horribles, contraires à l'éthique et immorales sont normalisées et rationalisées en étant déployées sur des populations vulnérables pour des raisons en constante évolution. On commence par les personnes dont les préoccupations peuvent être ignorées - les migrants, les prisonniers, les sans-abri - puis on passe à l'échelle supérieure - les enfants à l'école, les entrepreneurs, les travailleurs non syndiqués. Lorsque l'on arrive aux personnes dont les préoccupations et les objections seraient les plus fortes et les plus essentielles à son rejet, la technologie a déjà été largement déployée.
Envoyé par Cory Doctrow
Von Hippel a déclaré que l'utilisation des bureaux peut déjà être suivie car les bureaux sont attribués et des badges sont nécessaires pour entrer dans les salles. Il pense plutôt que les capteurs étaient une raison pour l'administration - qui est propriétaire du bâtiment - d'écarter les étudiants en informatique qui n'utilisent pas le bâtiment autant que les autres.
« Pendant la pandémie, de nombreux étudiants en informatique ont cessé de venir au bureau aussi souvent, et ce pour une bonne raison : il n'était pas sûr de venir pour de nombreux étudiants et, de plus, tout ce que nous faisons est d'écrire du code informatique - nous n'avons pas vraiment besoin d'être dans le bureau. C'était une sorte de mauvaise image », a déclaré von Hippel.
« Si vous vous promeniez dans ce grand et beau bâtiment en verre, vous regardiez autour de vous et vous voyiez un grand bâtiment vide - mais c'est l'un des bâtiments que Northeastern utilise pour faire la publicité de l'école. Vous pouvez voir comment cela dérangerait l'administration, elle voudrait donc faire entrer plus d'étudiants et de personnes dans le bâtiment, ce qui est assez raisonnable. »
En octobre, l'université a discrètement introduit des capteurs de chaleur sous les bureaux sans en informer les étudiants ni leur demander leur consentement. Les étudiants ont retiré les dispositifs, les ont piratés et ont pu obliger l'université à mettre fin à sa surveillance.
Ces dernières années, la surveillance s'est introduite sans relâche dans les écoles, les universités et une grande partie de la vie quotidienne, accélérée par la pandémie de COVID-19. En octobre, cependant, des étudiants diplômés de l'université de Northeastern ont réussi à s'organiser et à repousser une tentative d'introduction de dispositifs de surveillance invasifs placés discrètement sous les bureaux de leur école.
En réponse, les étudiants ont commencé à soulever des préoccupations au sujet des capteurs, et un courriel a été envoyé par Luzzi pour tenter de répondre aux problèmes soulevés par les étudiants.
« Afin de développer les meilleures pratiques pour l'attribution des bureaux et des sièges au sein de l'ISEC, le bureau du doyen va mener une étude visant à quantifier l'utilisation des sièges actuellement attribués dans les zones d'écriture à l'extérieur des laboratoires et les bureaux de recherche informatique », a écrit Luzzi dans le courriel. "Les résultats seront utilisés pour développer les meilleures pratiques pour l'attribution des bureaux et des sièges au sein de l'ISEC (et de l'EXP en temps voulu). »
À cette fin, écrit Luzzi, l'université a déployé "un système de surveillance de l'occupation Spaceti » qui utiliserait des capteurs de chaleur au niveau de l'aine pour « agréger les données par sous-zones afin de générer quand un bureau est occupé ou non. » Luzzi a ajouté que les données seraient rendues anonymes, regroupées pour examiner des « thèmes » et non le temps passé par chaque étudiant à son bureau, qu'elles ne seraient pas utilisées dans les évaluations et qu'elles ne seraient pas communiquées aux superviseurs des étudiants. Suite à ce courriel, une séance d'écoute impromptue a été organisée dans l'ISEC.
Lors de cette première séance d'écoute, Luzzi a demandé aux étudiants diplômés présents de "faire confiance à l'université puisque vous leur faites confiance pour vous donner un diplôme", Luzzi a également soutenu que "nous ne faisons pas de science ici" comme une autre défense de la décision de ne pas demander l'approbation de l'IRB.
« Il s'est simplement présenté. Nous sommes tous en train de travailler, nous avons des délais à respecter pour la rédaction de documents et toutes sortes de tâches à accomplir. Il ne nous a donc pas prévenus qu'il venait, il s'est présenté en exigeant un public, et plusieurs étudiants lui ont parlé », a déclaré von Hippel. « Il a été assez condescendant, a ignoré leurs préoccupations et a dit que c'était vraiment productif - qu'il était heureux qu'ils travaillent ensemble pour trouver une solution, ce qui était ridicule parce que la seule solution que nous acceptions était celle où ils se débarrassaient des capteurs. »
Après cela, les étudiants du Privacy Institute, qui se spécialisent dans l'étude de la surveillance et l'inversion de ses méfaits, ont commencé à retirer les capteurs, à les pirater et à travailler sur un guide open source afin que d'autres étudiants puissent faire de même. Luzzi avait affirmé que les dispositifs étaient sécurisés et les données cryptées, mais les étudiants du Privacy Institute ont appris qu'ils étaient relativement peu sécurisés et non chiffrés.
« Les étudiants de cet établissement, moi y compris, la façon dont nous obtenons des publications est que nous prenons des systèmes comme celui-ci et nous en explorons les failles. Nous expliquons ce qui est mauvais en eux, pourquoi ils ne fonctionnent pas, et donc ils n'auraient pas pu choisir un groupe d'étudiants plus apte à comprendre pourquoi leur étude était stupide. »
Après avoir piraté les appareils, les étudiants ont écrit une lettre ouverte à Luzzi et au président de l'université, Joseph E. Aoun, demandant que les capteurs soient retirés parce qu'ils étaient intimidants, qu'ils faisaient partie d'une étude mal conçue et qu'ils étaient déployés sans l'approbation de l'IRB, même si des sujets humains étaient au centre de la soi-disant étude.
« L'ISEC abrite le Cybersecurity and Privacy Institute, l'un des principaux groupes mondiaux d'étude de la confidentialité et du suivi, avec un accent particulier sur les dispositifs IoT », peut-on lire dans la lettre. « Le déploiement d'un système de suivi sous le bureau des chercheurs qui exposent régulièrement les dangers de ces technologies est, au mieux, une image extrêmement négative pour une université qui vante régulièrement les réalisations de ces chercheurs. Au pire, cela soulève des problèmes de rétention et constitue un sérieux problème de réputation pour Northeastern. »
Une autre séance d'écoute a suivi, cette fois-ci réservée aux professeurs, et au cours de laquelle Luzzi a affirmé que les dispositifs n'étaient pas soumis à l'approbation de l'IRB car « ils ne détectent pas les humains en particulier - ils détectent toute source de chaleur ». D'autres capteurs ont ensuite été retirés et placés dans le hall du bâtiment, où l'on pouvait lire NON !
Luzzi a ensuite envoyé un courriel programmant une autre séance d'écoute pour s'adresser aux étudiants et au corps enseignant en réponse à la lettre ouverte, qui a circulé et reçu des centaines de signatures, ainsi qu'aux plaintes continues et aux retraits de capteurs. Cette séance d'écoute a été, au dire de tous, un désastre.
Luzzi s'efforce d'apaiser les craintes que l'étude soit invasive, mal planifiée, coûteuse et probablement contraire à l'éthique. Luzzi affirme qu'ils ont soumis une proposition à l'Institutional Review Board (IRB) - qui veille à ce que les droits et le bien-être des sujets de recherche humains soient protégés - pour finalement admettre que cela n'a jamais eu lieu lorsqu'un membre du corps enseignant révèle que l'IRB n'a jamais reçu de proposition. Luzzi a également tenté de rejeter les préoccupations comme étant propres au Privacy Institute parce que « votre expérience vécue est plus centrée sur le bureau » par rapport aux autres étudiants diplômés.
Par la suite, von Hippel s'est rendu sur Twitter et a partagé ce qui est devenu un fil semi-viral documentant toute la chronologie des événements, de l'installation secrète des capteurs à la session d'écoute qui a eu lieu ce jour-là. Quelques heures plus tard, les capteurs sont retirés et Luzzi écrit un dernier courriel :
« Compte tenu des préoccupations exprimées par une partie de nos étudiants diplômés concernant le projet de collecte de données sur l'utilisation des bureaux dans un bâtiment de recherche modèle (ISEC), nous retirons tous les capteurs d'occupation des bureaux du bâtiment. Pour ceux d'entre vous qui ont participé à la discussion, veuillez accepter ma gratitude pour cet engagement. »
Cet épisode est particulièrement instructif car il montre que la surveillance n'est pas forcément permanente, qu'elle peut être refoulée par les personnes concernées, ensemble. Von Hippel explique qu'une partie de leur succès est due au fait que le département d'informatique est saturé de membres du syndicat. Un grand nombre des étudiants concernés n'étaient pas syndiqués et, plus généralement, les étudiants diplômés de l'université ne relèvent pas d'un syndicat officiel de la NLRB. Il n'en reste pas moins que les étudiants diplômés sont bien placés pour arracher des revendications aux universités lorsque celles-ci imposent des conditions onéreuses ou des exigences contraires à l'éthique.
« L'outil le plus puissant à la disposition des étudiants diplômés est la capacité de faire grève. Fondamentalement, l'université fonctionne grâce aux étudiants diplômés. Nous enseignons ou assistons à une quantité phénoménale de cours et il y a des centaines d'étudiants de premier cycle dans ces classes qui ne peuvent littéralement pas fonctionner sans étudiants diplômés pour noter les travaux », a déclaré von Hippel.
« Le département d'informatique a pu s'organiser rapidement parce que presque tout le monde est syndiqué, a signé une carte et est relié en réseau par le syndicat. Dès que cela s'est produit, nous avons communiqué par les canaux du syndicat. Nous nous sommes rencontrés personnellement et avons parlé du problème, nous avons défini une série d'actions concrètes que nous pouvions entreprendre, et nous les avons entreprises. Retirer les capteurs, pirater les capteurs, demander aux gens de rédiger des réunions et de les partager en ligne, et tweeter ou écrire sur le sujet ensemble. »
Ce type de réaction rapide est essentiel, d'autant que de plus en plus de systèmes adoptent des capteurs pour des raisons de plus en plus fallacieuses ou inquiétantes. Les capteurs ont été déployés dans d'autres universités, comme l'université Carnegie Mellon, ainsi que dans des systèmes scolaires publics. Ils ont été utilisés dans des contextes plus militarisés et carcéraux, comme à la frontière entre les États-Unis et le Mexique ou dans le système pénitentiaire américain.
Tous les étudiants diplômés ne peuvent pas faire grève ou ne peuvent pas se permettre de quitter un programme qui refuse d'arrêter le déploiement d'un programme de surveillance - comme le dit von Hippel, les docteurs en informatique gagneront des salaires élevés dans l'industrie, qu'ils terminent ou non leur programme. Mais l'infrastructure permettant d'agir collectivement - syndicats, fonds de grève, infrastructure de communication - fait toute la différence pour rassembler les gens et déterminer la meilleure façon de riposter.
Source : Max von Hippel's blog post
Et vous ?
La décision de surveiller les étudiants est-elle bonne ou mauvaise ?
Que pensez-vous de la réaction des étudiants de l'université de Northeastern ?
Voir aussi :
La pandémie a-t-elle normalisé les logiciels de surveillance des employés ? Des rapports indiquent que ces logiciels se répandent rapidement
Le Parlement européen approuve la surveillance massive des communications privées, malgré la mise en garde sur les risques pour la sécurité et la confidentialité