Série - flicage-brouillon

Fil des billets - Fil des commentaires

dimanche 18 janvier 2015

Flicage-brouillon - Avant-propos

Cela fait des mois, des années même, que le sujet du contrôle de nos données dans un monde connecté me titille, me démange. Autant de temps que j’ai passé à lire des articles sur les différents aspects du sujet pour le défricher, à accumuler du savoir, à rester parfois avec mes questionnements. A constater qu’autour de moi les gens ont un mal fou à comprendre ce que deviennent leurs données, tiraillés entre la paranoïa et l’impression de ne pouvoir rien y faire.

Bien sûr, je relaye sur mon blog des liens vers des articles sur ce sujet, encourageant d’autres geeks à lire sur ce sujet, à faire passer le message. J’ai lancé une série de rencontres et de conférences, les Meetups décentralisation du Net pour essayer de trouver collectivement des solutions au problème.

Mais j’ai envie d’aller plus loin quand je réalise que, même si je ne suis pas un grand intellectuel, j’ai une compréhension de l’informatique qui me permet d’appréhender le problème et, si j’en crois mes interlocuteurs, un petit talent pédagogique. C’est ainsi que m’est venue l’envie d’écrire un livre sur le contrôle des données et la vie privée en ligne. J’ai commencé à le faire. Mais il me manque la pression, le soutien et le retour qu’apportent les lecteurs d’un blog. Aussi, après avoir écrit près de la moitié du livre, j’ai besoin de cette énergie. J’ai donc décidé de publier un brouillon du livre ici, sur le Standblog, dans une série de billets, Flicage-brouillon[1], en espérant que l’interaction avec les lecteurs m’aidera à faire un meilleur travail pour l’apprenti écrivain que je suis.

Mais avant de commencer, il est important de préciser ce qu’est ce livre, et ce qu’il n’est pas.

Ce livre a pour vocation d’expliquer et de démystifier ce qui est fait de nos données sur Internet. J’essayerai d’y montrer pourquoi il est important que nous exercions un certain contrôle sur les données nous concernant et celles que nous fournissons volontairement. J’expliquerai comment nous avons perdu le contrôle sur nos données, et proposerai quelques pistes faciles à mettre en œuvre pour reprendre au moins partiellement ce contrôle, si nécessaire à mes yeux sur le long terme.

En terme d’audience, il est destiné au ‘’power-users’’, les ‘’geeks-mais-pas-trop’’ qui aiment l’informatique, qui sont souvent utilisés par leurs proches pour faire du support technique informatique (si c’est à vous que votre tante passe un coup de fil quand son Internet est cassé, ce livre vous est probablement destiné). Pourquoi eux ? Parce que ce sont les mêmes qui ont, il y a 10 ans, installé Firefox en masse sur les ordinateurs équipés d’Internet Explorer. En leur fournissant une info facile à comprendre, à reprendre, à expliquer, j’espère toucher une masse critique d’utilisateurs qui voudraient reprendre le contrôle de leurs données mais ne savent pas encore comment faire.

Par contre, ce livre n’est pas un manuel qui vous permettra d’agir de façon anonyme sur Internet ou de vous cacher d’un État dont la police secrète veut votre peau. Il existe d’excellents ouvrages pour ça, à commencer par le Guide d’autodéfense numérique, ou le livre de Martin Untersinger Anonymat sur Internet.

Sans plus attendre, je vous invite à lire le brouillon de ce livre au fur et à mesure de sa publication et à réagir en cas de contre-vérité (ou de faute de grammaire !).

Au delà de l’envie d’écrire ce livre, je ressens une véritable urgence à le faire. Je compte sur toi, cher lecteur, pour m’aider dans cette tâche !

Note

[1] En attendant que je trouve un meilleur titre pour la version définitive.

Flicage-brouillon - Introduction

Avez-vous déjà imaginé de renoncer à toute informatique pendant un mois ? Pas de mail, pas de PC, pas de smartphone, pas de Wifi ? Pendant un mois entier ? Ou même une semaine ?

Il suffit d’essayer d’imaginer cela pour comprendre à quel point l’informatique et l’Internet ont pris un rôle central dans nos vies. Nous utilisons ces outils pour nous tenir au courant de l’actualité, pour rester en contact avec nos proches même s’ils sont loin, pour nous distraire, pour vérifier la véracité d’une information sur Wikipédia (ou le copier/coller pour un devoir), pour savoir comment aller d’un point à un autre ou pour acheter en ligne.

Le temps où l’ordinateur était une affaire de spécialiste est maintenant bien loin, car l’informatique et Internet nous touchent, nous qui sommes équipés, au quotidien. Mieux : il y a quelques années encore, un ordinateur connecté à Internet était une grosse boite métallique avec un câble d’alimentation et un câble réseau. Aujourd’hui, Il y a de fortes chances, cher lecteur, que vous ayez dans votre poche un ordinateur au moins aussi puissant que ceux de l’époque, alimenté sur batteries et connecté sans fil à Internet. C’est un ordinateur, même si on appelle cela plutôt un smartphone.

L’informatique a changé radicalement ces trois dernières décennies, et son omniprésence a transformé le rapport que nous avons avec elle : elle est disponible alors que nous nous déplaçons, et nous avons accès à des ordinateurs et des volumes de données de tailles insoupçonnés il y a encore peu de temps. Je ne cesse de m’étonner d’avoir dans la poche une encyclopédie dans plusieurs langues, des cartes du monde entier, et un accès aux toutes dernières infos, parfois sur des sujets des plus pointus. Le progrès réalisé est formidable et les possibilités sans cesse croissantes continuent de m’émerveiller chaque jour. J’aime l’informatique, j’aime Internet, et j’aime ce qu’ils me permettent de faire.

Pourtant, il y a comme un malaise.

Récemment, j’ai eu une drôle d’impression en retrouvant sur de nombreux sites la photo d’un objet que j’avais envisagé d’acheter, comme si ce dernier me suivait. J’ai appris plus tard que c’était une technique de marketing appelée retargeting ou « reciblage publicitaire ». J’ai demandé à Wikipédia, qui m’a expliqué :

Le reciblage publicitaire (en anglais : behavioral retargeting, behavioral search retargeting ou simplement retargeting) consiste à afficher des messages publicitaires sous forme de bannières sur des sites internet après qu’un internaute a fait preuve d’un intérêt particulier pour un produit sur un autre site. Des sites tels que PriceMinister, les 3 Suisses et Amazon.com utilisent les reciblages publicitaires.

Ah, quel soulagement, je ne suis donc pas fou ! C’est mon ordinateur qui informe des sites marchands que j’ai déjà été intéressé par certains articles sur d’autres sites marchands… Tout d’un coup, je regarde mon ordinateur d’un œil méfiant.

Les choses se sont aggravées quand un beau jour mon téléphone m’a envoyé une alerte : « il est temps de partir pour l’événement ». Mon téléphone avait pris l’initiative de regarder dans mon agenda l’heure et le lieu de mon prochain rendez-vous :

Introduction_-_Google_Now_Agenda.png

Il a ensuite pris l’initiative, sans que je ne lui demande rien de se renseigner sur les horaires des métros et même du tarif des tickets de métro pour me dire qu’il fallait rentrer chez moi :

Introduction_-_Google_Now_Android.png

D’un coté c’est pratique, mais c’est aussi surprenant, et je n’ai pas le souvenir de lui avoir donné la permission de faire cela. J’ai effectué quelques recherches pour comprendre et j’ai entendu parler d’un service de Google appelé « Google Location Services » . J’ai cliqué sur le lien maps.google.com/locationhistory qu’on m’avait envoyé, et je suis tombé sur la carte suivante :

Introduction_-_Google_Location_history.png

Ce que l’on y voit tracé en rouge, ce sont mes déplacements (ici, pour la date du 2 décembre 2014). Mon téléphone, connecté à Google et doté d’un GPS, me piste au quotidien et envoie mes déplacements en permanence quelque part sur un ordinateur chez Google. Mon ordinateur et mon téléphone sont toujours avec moi, savent tout de moi et certains logiciels qu’ils embarquent remontent ces informations à des ordinateurs dont j’ignore tout. Je suis surveillé en permanence, aussi bien dans mon usage de l’Internet que celui de mon téléphone… sans avoir rien demandé ! Comme je le disais plus haut, je suis passionné d’Internet et d’informatique, mais je réalise que ce n’est plus moi qui contrôle mon ordinateur ni mon smartphone.

C’est ce que je voudrais explorer dans ce petit livre : Comment prendre le potentiel positif de l’informatique connectée sans tomber dans la surveillance de masse. Avoir le beurre… et l’argent du beurre. Ou plutôt, comment avoir le Nutella sans finir obèse à cause de l’huile de palme. Pour ça, je vous invite à lire cet ouvrage, que j’espère aussi instructif que facile à lire (d’autant qu’il est garanti sans matières grasses) !

lundi 19 janvier 2015

Flicage-brouillon - Partie 1 chapitre 1 - Est-il si grave de perdre le contrôle de son ordinateur et de son smartphone ?

On vient de le voir, mon smartphone laisse fuiter des données (par exemple mes déplacements) et mon ordinateur fait de même avec la liste des pages Web que je visite. Ces données sont envoyées à des sociétés que je ne connais pas forcément, et les logiciels que j’utilise font des choses que je ne comprends pas. Ça tombe bien, même moi qui suis diplômé en informatique, je n’ai guère envie de me plonger dans les entrailles des logiciels que j’utilise. En effet, ce qui est important pour moi comme pour l’immense majorité des gens, c’est de pouvoir utiliser mon ordinateur et mon smartphone, pas de les bricoler ! Bien souvent, on se fiche de savoir comment fonctionnent les choses. C’est comme ma voiture : je ne veux pas avoir à soulever le capot. Moins je le fais, mieux je me porte. D’autant que je n’ai pas de voiture !

Pourtant, je constate dans les sondages que la majorité des internautes s’inquiète de la vie privée en ligne :

Selon un sondage PEW sur les internautes américains :

  • 91% des internautes considèrent qu’ils ont perdu le contrôle sur la façon dont les entreprises collectent leurs données personnelles.
  • 80% des utilisateurs de réseaux sociaux se disent inquiets du fait ques des tiers, comme les annonceurs publicitaires ou des entreprises récupèrent les données qu’ils partagent sur ces sites.

Mozilla publiait récemment les résultats d’un sondage dans plusieurs pays du monde, dont la France. Il en ressortait que 74% des internautes considèrent que leurs informations sont moins protégées aujourd’hui qu’il y a un an. Le même pourcentage d’internautes adultes considère que les sociétés Internet en savent trop sur eux.

Clairement, il y a une forte inquiétude de nos contemporains quant au contrôle de nos données personnelles.

mardi 20 janvier 2015

Flicage-brouillon - Partie 1 chapitre 2 - Les risques personnels

Celebgate

Les bévues liées au manque de vie privée sont légion. Le premier qui me vient à l’esprit est récent, c’est le scandale des starlettes, Jennifer Lawrence et Kirsten Dunst en tête, qui ont vu des photos confidentielles issues de leurs smartphones publiées sur le Net le 31 août 2014. Malgré tous les désagréments causés aux victimes hommes et femmes, il y a un maigre côté positif à ce scandale.

Premièrement, c’est une bonne illustration du besoin de respect de vie privée : il n’y a rien d’illégal à être nu ni à se prendre en photo, nu devant sa glace, mais ces informations, une fois devenues publiques deviennent très gênantes. Il n’y a pas besoin de faire des choses illégales pour avoir besoin qu’elles restent confidentielles. Et cela s’applique à chacun de nous : je souhaite à tous mes lecteurs d’avoir une vie sentimentale et amoureuse réussie, mais rares sont ceux qui voudraient voir publiées des photos démontrant leur vie amoureuse dans les moindres détails. Encore plus prosaïquement, les verrous dans les toilettes existent pour protéger l’intimité de chacun, même si faire ses besoins naturels est justement ce qu’il y a de plus... naturel.

Deuxièmement, il y a un aspect pédagogique à ce scandale. En effet, la majorité des victimes n’avaient pas du tout réalisé que les photos prises par avec leurs iPhones étaient automatiquement envoyées aux serveurs d’Apple pour sauvegarde. Des pirates ont mis la main sur ces sauvegardes et ont publié les photos. Même si les smartphones des victimes n’ont pas été volés ou piratés, les données (ici des photos intimes) ont été copiées sur des ordinateurs d’Apple où elles ont été piratées. Il faut bien comprendre qu’Apple, qui est une des sociétés les plus respectueuses de la vie privée, ne fait pas ses copies pour faire fuiter des données. Ce sont des copies de sauvegarde conservées chez Apple pour que l’utilisateur puisse les récupérer au cas où son smartphone est perdu ou cassé. Certains ont reproché à Apple le manque de protection de ces sauvegardes, et la marque à la pomme a depuis augmenté la sécurité des serveurs.

Mais le « Celebgate », ce scandale de stars dénudées, ne doit pas être l’arbre qui cache la forêt. Les scandales liés au manque de protection des données par des sociétés qu’on pourrait croire sérieuses sont nombreux. Le journal Los Angeles Times a recensé quelques superbes bévues relatives à la vie privée en 2014.

ING et publicité

Au mois de mars 2014, la banque néerlandaise ING a eu une initiative « intéressante », en analysant les dépenses figurant sur les relevés de compte de ses clients. Le directeur de la branche « banque privée » d’ING se vantait sur leur site d’être en charge de la plus grande quantité de paiements dans le pays et donc de savoir « non seulement ce qu’achètent les gens, mais aussi où ils achètent ». Ces informations, pour la première fois, ont été utilisées à des fins publicitaires, menant à un scandale qui a poussé la banque à faire marche arrière alors qu’elle expliquait que les données étaient la propriété des clients et non pas celle de la banque.

Les taxis Uber et le mode « Vision de Dieu »

La société américaine Uber, qui offre des services de VTC (Véhicules de Tourisme avec Chauffeurs) concurrents des taxis, a une façon étonnante de distraire ses visiteurs lors de soirées, en affichant sur grand écran les trajets des véhicules en cours, parfois avec les noms des passagers connus. Le suivi des véhicules et des occupants peut mener à des situations scabreuses, par exemple quand Uber s’amuse à suivre les gens qui vont en soirée à un endroit le samedi soir via un véhicule Uber et qui ne repartent de là-bas que le lendemain, toujours avec un véhicule Uber : Uber sait quels sont les clients qui ont découché suite à une soirée. Ces « trajets de la gloire », comme les appelle la compagnie, ont fait l’objet d’un article sur le blog de la société. L’article a été retiré depuis, compte tenu de l’outrage qu’il a causé : il est en effet très désagréable de réaliser que la compagnie de taxi que vous utilisez sait si vous avez « pécho »… et s’en vante sur son site Web ! Et ça n’est pas le seul usage : Uber sait si ses clients se rendent régulièrement à un hôpital spécialisé dans la lutte contre le cancer, ou dans un centre de planning familial ou chez un concurrent de leur employeur…

Mais la vraie question, c’est que les clients n’imaginent que très rarement que ces données existent. On imagine encore moins que ces données sont accessibles par n’importe quel employé Uber, et l’impact que de telles informations peuvent avoir quand elles sont employées contre l’utilisateur, pour lui nuire.

Le podomètre mouchard

Il est une source de données qu’on ne soupçonne pas forcément, alors qu’elle est en plein essor. Je veux parler de ces objets connectés que l’on porte sur soi, les « trackers d’activité physique » des genres de podomètre électronique sophistiqué. Il existe différentes marques sur le marché, mais le principe général est le même : ils comptent les calories dépensées pendant la journée en fonction de nos mouvements, avec des objectifs quotidiens. Les données sont transmises sans fil jusqu’à notre ordinateur ou notre smartphone et sont ensuite envoyées à un serveur, un ordinateur qui analyse ces données. J’en ai un moi même, et je reconnais que c’est efficace quand on a une vie sédentaire et qu'il s’agit de se motiver pour bouger.

Mais voilà, les données collectées ne sont pas forcément utilisées pour faire de l’exercice, mais aussi dans des procès pour demander des dommages et intérêts. Un récent article du magazine Forbes explique comment une jeune femme qui menait une vie active est devenue moins active depuis un accident de voiture. Pour prouver cela, les avocats de la jeune femme lui ont fait porter pendant plusieurs mois un bracelet de marque FitBit qui mesure l’activité physique. Cela pourrait bien permettre à la jeune femme de toucher de copieux dommages et intérêts. Le souci, c’est que les assureurs demanderont un jour à accéder à ces données de façon à détecter si leurs clients ont une activité régulière, espérant ainsi augmenter le prix des assurances pour les gens qui s’activent moins que la normale. Après tout, il est déjà courant de passer une visite médicale quand on contracte un emprunt important, alors pourquoi ne pas aller piocher directement chez les fournisseurs de podomètres électroniques ? On notera à cet effet qu’un assureur, AXA, distribue des podomètres Withings à ses nouveaux clients et aura accès aux données de santé des utilisateurs (nombre de pas effectués par jour, rythme cardiaque, taux d’oxygène dans le sang et qualité du sommeil) si ce dernier l’autorise. Combien de temps avant que cela ne se généralise et que les assureurs ne fassent payer plus cher les clients qui refusent de porter un tel mouchard connecté ou ceux qui font moins de 10’000 pas par jour ?

Le smartphone

Le fait est que les sociétés de technologie savent beaucoup de choses sur leurs utilisateurs grâce à des données collectées pendant l’usage du service qu’elles proposent, même pour des services aussi simples qu’un taxi, un podomètre amélioré ou une banque.

Dans cette fuite des données, le smartphone n’est pas en reste, à en croire une récente étude de la CNIL qui a mesuré avec l’aide des informaticiens de l’INRIA que certaines applications piochaient allègrement dans nos données personnelles, avec une préférence pour les identifiants du téléphone (numéros uniques) et… la position GPS de l’utilisateur.

Comme le rappelle la CNIL,

une base de données de localisation (permet) de déduire des informations détaillées sur les habitudes et modes de vie des personnes : lieux de vie et de travail, sorties, loisirs, mobilités, mais aussi éventuellement fréquentation d’établissements de soins ou de lieux de culte.

Indirectement, notre smartphone pourrait révéler nos pratiques religieuses, nos problèmes de santé et nos goûts en terme de loisirs ou de fréquentation de restaurants.

On notera que parmi les applications observées par la CNIL, une a accédé à la géolocalisation plus d’un million de fois en trois mois, soit plus d’une demande par minute. De son côté, certains éléments des smartphones Android (par Google) ne font guère mieux :

L’application-widget « Actualités et météo » a accédé 1 560 926 fois à la localisation de l’utilisateur pendant les trois mois de l’expérimentation. Cette application a aussi communiqué 341 025 fois avec internet.

Le problème, comme le souligne la CNIL, c’est que :

ces applications étant présentes par défaut sur l’appareil et ne pouvant être supprimées, l’utilisateur n’a pas pu consulter les informations collectées, qui sont généralement affichées avant le téléchargement et l’installation d’une application sur Android.

Un morceau de logiciel d'un smartphone qui cherche où on se trouve et qui se connecte de lui-même à Internet toutes les 2,6 minutes pendant les trois mois de l’expérience sans savoir ce qui est échangé en terme de données, voilà qui n’est guère rassurant...

La combinaison des données

Avec un tracker d’activité physique, nos changements physiologiques (rythme cardiaque, mouvements), sont mesurés et stockés « dans le Cloud », c’est à dire quelque part sur un serveur d'une société privée. Cela signifie que cette société, pour peu qu’elle s’en donne la peine, peut déterminer facilement quand vous faites l’amour : certains de ces trackers permettent déjà de mesurer les différentes phases du sommeil. Une simple modification de l’algorithme permettrait de déterminer quand le sujet a des relations sexuelles.

Par ailleurs, comme démontre ci-dessus par la CNIL, nos smartphones savent en permanence où nous sommes. Cela n’est pas grave en soi, mais il est intéressant d’imaginer ce qui pourrait arriver si on combinait ces données… avec celles d’autres personnes. Ainsi, on pourrait savoir qui est le partenaire de qui, juste en regardant quelles coordonnées GPS et quels indicateurs de relations sexuelles correspondent. Ces données pourraient intéresser les assureurs (des relations sexuelles régulières seraient bénéfiques pour le cœur), mais pourraient aussi permettre de ficher les personnes ayant des relations extra-conjugales ou homosexuelles.

De telles informations peuvent se révéler très utiles quand il s’agit de faire pression sur une personne pour des raisons politiques ou commerciales.

Heureusement, cette situation de combinaison de données n’est qu’imaginaire pour l’instant. Il y a quelques années, elle était juste impensable. Aujourd’hui, la plupart des éléments pour la rendre possible sont déjà en place...

Flicage-brouillon - Partie 1 chapitre 3 - Google sait tout sur nous, voici comment

Il est une société qui sait presque tout sur ses utilisateurs, car, comme elle l’explique elle même :

La mission de Google est d’organiser l’information du monde, de la rendre utile et accessible de partout.

Source : https://www.google.com/about/compan….

La somme d’informations que Google a de nous est inimaginable, car c’est sa mission de tout collecter. Du coup, dans la plupart de ses produits, du moteur de recherche à sa messagerie Gmail ou son outil statistique Google Analytics, tout est prévu pour en apprendre plus sur les internautes, leurs intérêts, leurs comportements et leurs données. Cela commence bien sûr par son produit phare, son moteur de recherche, qui a plus de 95 % de parts de marché en France.

Voici un récapitulatif très partiel des produits proposés par Google, avec les données qui sont collectées. Sources : variées, dont Google Dashboard

  • Google Search (moteur de recherche)
    • Questionnements de l’utilisateur et ses intérêts
  • GMail
    • Contenu des emails, y compris les pièces jointes. Destinataires, carnet d’adresses. Fréquence des échanges.
  • Google Analytics
    • Déplacement de l’internaute sur le Web. Liste des pages visités, temps passé. Google peut pister les visiteurs de 88 % des sites Web d’après une étude scientifique. Il existe aussi une version pour les applications mobiles permettant de suivre tout ce que fait un utilisateur au sein d’une application sur son smartphone.
  • Google Maps
    • Lieux géographiques intéressant l’utilisateur. Itinéraires prévus.
  • Smartphone Android
    • Déplacements géographiques, vitesse de déplacement, carnet d’adresse, historique des appels téléphoniques, des SMS, applications installées
  • Google Calendar
    • Rendez-vous, lieux, dates, interlocuteurs, sujets de vos rendez-vous (personnels et/ou professionnels).
  • Google Wallet
    • Mon numéro de carte bancaire, mes achats en ligne
  • Google Docs & Drive
    • Documents bureautiques (contenu de feuilles de tableur, textes, présentations
  • Google Chrome, navigateur
    • Mots de passe, historique des sites visités, temps passé sur les sites, fréquence de visite
  • Google Photos
    • Photos, lieux de prise de vue
  • Youtube
    • Vidéos vues, temps passé devant, moments où l’on fait pause ou qu’on passe en boucle, vidéos qu’on veut regarder plus tard
  • Google Private results (option de Google Search)
    • Rendez-vous, factures à payer, livraisons en attente, vols en avion, réservations d’hôtels ou de restaurants
  • Nest : Thermostat et détecteur de fumée
    • Présence à la maison, température, qualité de l’air, consommation d’énergie

Grâce à son moteur de recherche, Google connaît les questions que nous nous posons. Avec l’outil de mesure d’audience Google Analytics, le leader du secteur, Google sait quels sites nous visitons. Grâce aux téléphones Android (de marque Samsung, LG, etc.) il connaît nos déplacements. Grâce à Google Maps, il sait quels endroits nous envisageons de visiter. Grâce à Google Calendar, il sait avec qui nous avons rendez-vous, quand, et pourquoi. Grâce à Google Docs, il sait sur quoi nous travaillons. Grâce à Google Chrome, le navigateur, il sait quels sites nous visitons et le temps que nous y passons. Il a aussi accès à nos mots de passe, qui sont envoyés aux serveurs Google. Je pourrais mentionner la longue liste des produits Google et ce que cela donne à Google en terme de connaissance de ses utilisateurs, mais ce livre n’y suffirait pas.

Bref Google sait presque tout sur nous, bien plus qu’on pourrait l’imaginer, comme l’atteste le tableau ci-dessus. Il faut noter que nous donnons consciemment des données à Google, mais aussi qu’il en collecte sur nous sans que nous en ayons conscience, puis il recoupe ces données automatiquement entre elles pour les valider.

On se rassurera en se disant que oui, Google sait tout sur nous, mais nos informations sont bien protégées. Ou pas.

En effet, il existe cinq raisons pour lesquelles ces informations pourraient fuiter au risque de pénaliser les utilisateurs. Passons-les donc en revue…

1er cas : Google dénonce volontairement l’utilisateur à la police

Dans certains cas, Google peut décider, après avoir analysé les données de l’utilisateur, de le dénoncer aux autorités de police. C’est ce qui est arrivé à un américain en août 2014, utilisateur de la messagerie GMail.

En effet, ce Texan a envoyé via GMail une photo pornographique d’une mineure en pièce jointe.

Or, Google le dit lui-même dans ses conditions d’utilisation :

“Nos systèmes automatisés analysent vos contenus (y compris les e-mails) (…). Cette analyse a lieu lors de l’envoi, de la réception et du stockage des contenus. »

Le pédophile texan a été arrêté immédiatement et sa caution a été fixée à 200 000 dollars, soit 150 000 EUR environ.

Personne utilisant Google (donc 95 % des internautes français) ne devrait être surpris de cette information. Google nous surveille, et l’indique noir sur blanc. J’avoue pourtant avoir été surpris en comprenant que Google ouvre nos pièces jointes de messagerie et analyse leur contenu, même quand il s’agit d’images. Pour l’instant, le système est encore rudimentaire, mais Google vient d’annoncer, avec des chercheurs de Stanford, un système remarquablement perfectionné permettant à un ordinateur de décrire une scène photographiée.

Bien sûr, c’est une excellente chose que de voir un pédophile mis hors d’état de nuire. Mais la question de la surveillance généralisée, associée à la dénonciation est plus problématique quant à l’impact que cela a sur l’ensemble de la société. C’est un sujet que nous aborderons dans un prochain chapitre. Mais pour l’instant, revenons aux différents scénarios relatifs aux données qui pourraient être mal utilisées.

2ème cas : l’employé bizarre qui harcèle des enfants

On pourrait croire au scénario d’un feuilleton policier ordinaire, mais c’est malheureusement la réalité : un ingénieur de Google a utilisé son accès aux données privées des utilisateurs pour les harceler.

Évidemment, Google souhaite étouffer l’affaire pour ne pas faire peur aux utilisateurs, mais se doit en même temps de montrer que des mesures ont été prises contre l’employé en question. De ce fait, les détails sur l’affaire sont peu nombreux. On sait toutefois que l’ingénieur a accédé sans autorisation aux comptes GMail et GTalk (messagerie instantanée) d’au moins quatre mineurs des deux sexes, utilisant les données trouvées pour faire pression sur ses victimes.

Contacté par la presse, Google s’est contenté d’affirmer avoir « pris les mesures nécessaires » mais « ne peut pas en dire plus ». Il semble qu’au moins un autre cas similaire ait déjà eu lieu

3e cas : Le piratage des serveurs

Nos données sont concentrées dans des « Data centers », genre de hangars climatisés connectés à Internet où sont alignés des ordinateurs qui traitent ces données. Cette concentration de données fait qu’un pirate réussissant à accéder au contenu de ces disques durs peut les recopier à distance.

De tels piratages arrivent fréquemment, et je vous propose d’en passer quelques uns en revue pour se faire une idée du problème.

Parmi les sociétés qui ont été piratées on trouve des grands noms comme eBay (on estime à 145 millions de comptes rendus publics), Adobe (152 millions de comptes compromis), les jeux Ubisoft, Apple (comptes de 275 000 développeurs d’applications), la Banque Centrale Européenne et même… Domino’s Pizza, qui a vu près de 600 000 comptes de clients français récupérés par des pirates qui demandaient une rançon de 30 000EUR. Parmi les informations recueillies, les noms des clients, leur adresse, les instructions de livraison (code porte et interphone), et mots de passe. Domino’s Pizza ayant refusé de payer, les informations ont été rendues publiques en novembre 2014.

La liste est très longue et les curieux pourront se référer au site Informationisbeautiful.net.

La palme revient peut-être à Sony, qui a connu deux piratages successifs de grande envergure. Fin novembre 2014, un groupe de pirates appelé « Guardians of Peace » a pénétré le réseau informatique de Sony Pictures, la filiale de Sony basée à Hollywood et qui produit des films. Plus de 100 téra-octets de données ont été piratés, dont au moins cinq films qui ne sont pas encore sortis en salle, des scripts de films, les données personnelles (salaire) de tous les employés, parmi lesquels des acteurs comme Sylvester Stallone. Comme l’expliquent les patrons de la société, « nous devons imaginer que toutes les données qu’avait l’entreprise sont potentiellement dans les mains de ceux qui nous ont attaqués ».

Sony est déjà passé par un épisode dans le même genre, mais cette fois en 2011 avec sa filiale Sony Online Entertainment qui gère les jeux en réseau pour les consoles Playstation. Plus de 100 millions de comptes ont été concernés par cette attaque, dont au moins 10 millions contenaient les numéros de cartes bancaires des joueurs.

Au final, nombreux sont les experts en sécurité qui affirmeront qu’il y a deux types d’entreprises : celles qui ont été piratées et celles qui ne savent pas qu’elles l’ont été Certes, les serveurs de Google sont sûrement bien protégés mais ils ont aussi le défaut d’être particulièrement convoités par des personnes mal intentionnées car contenant des données sur à peu près tout le monde !

4e cas : les données sont siphonnées par les services secrets

Les documents du lanceur d’alerte Edward Snowden sur la NSA sont parfaitement clairs sur le sujet : certains services secrets, la NSA américaine et le GCHQ anglais ont mis en place plusieurs méthodes pour aller piocher chez Google et consorts des données personnelles. Nous détaillerons ceci dans le chapitre 6.

5e cas : Les données facilement accessibles par qui s’en donne la peine

Ce dernier cas est paradoxal, car les données visibles par quelqu’un de mal intentionné vient du fait… que l’utilisateur lui-même les a publiées, sans imaginer qu’elles sont accessibles à d’autres. Il existe aujourd’hui sur Internet de nouvelles nuisances comme le Doxing, (de l’abréviation « Docs » pour documents) qui consiste en fait à accumuler des informations peu glorieuses relatives à une personne auprès de services en ligne comme Facebook, Twitter ou Instagram de façon à « monter un dossier » sur cette personne. Ensuite, il suffit de publier le dit dossier pour faire chanter la personne… sur la base d’informations qu’elle a elle-même publiées.

page 1 de 7 -