Aller au contenu principal

Stratégies – L’été 2013 aura été Snow(den)

26 décembre 2013

Arnaud Alcabez

La vie privée sur Internet aura pris un sacré coup durant l’été avec l’affaire Edward Snowden (http://www.lemonde.fr/technologies/article/2013/08/16/la-nsa-a-enfreint-la-loi-sur-la-vie-privee-des-milliers-de-fois_3462261_651865.html ) et les révélations des programmes Prism et consorts. Le cabinet d’analyse ITIF (The Information Technology & Innovation Foundation) juge même que ces révélations pourraient faire perdre aux grandes sociétés fournissant des services en ligne entre 22 et 35 milliards de dollars US de revenus durant les trois prochaines années. Source : http://www.01net.com/editorial/601007/le-scandale-prism-pourrait-couter-cher-a-l-industrie-high-tech-americaine/

Cette affaire aura toutefois permis d’exposer la valeur des métadonnées, élément plutôt inconnu du grand public, et certains comme le MIT commencent à proposer des outils (https://immersion.media.mit.edu/) permettant de mieux comprendre quelles informations les métadonnées contiennent et ce qu’elles peuvent révéler sur votre personne.

snow1

Le problème principal est que « la donnée » est une notion difficile à interpréter en droit (Source : http://blog.lefigaro.fr/bensoussan/2010/05/la-propriete-des-donnees.html/), et donc encore moins « la métadonnée ». En effet, s’il est encore assez simple d’identifier qui est le propriétaire d’une donnée, pour une métadonnée, c’est beaucoup moins évident car en dehors de celles que vous avez saisies, comme l’adresse email de votre destinataire ou l’intitulé du message, celles-ci peuvent être conçues par les outils techniques de l’entreprise ou des entreprises par lesquelles vos messages transitent. Il est en effet nécessaire de chercher la nature de chaque élément de la métadonnée pour identifier les droits qui y sont attachés. Pas simple…

Surtout que les métadonnées et les données sont forcément exploitées durant leur transit entre deux systèmes de messagerie. Google vient d’ailleurs de faire l’objet d’une polémique aux Etats-Unis sur le traitement relatif aux données où chaque manipulation, même pour des raisons légitimes, peut être rapidement sortie de son contexte (http://www.20minutes.fr/web/1210387-20130815-fausse-polemique-gmail-non-respect-vie-privee)

Vie privée ou confidentialité professionnelle ?

Mais quels sont véritablement les risques et n’y a-t-il pas une confusion entre le respect de la « confidentialité » et le respect de la « vie privée » sur Internet ?

La première chose qu’il convient de distinguer à mon sens serait déjà de savoir qui on parle (d’une entreprise ou d’un particulier ?), car les attentes ne sont pas forcément les mêmes. Pour l’entreprise, les risques d’utilisation d’une messagerie sont des risques financiers. On peut les identifier en trois thèmes, liés à la confidentialité :

  • La protection de la propriété intellectuelle, brevets ou innovations
  • Le secret des correspondances entre le client et un interlocuteur (par exemple, dans la relation médecin-patient)
  • La protection des messages à caractère financier (acquisition, marchés, etc.) pouvant donner lieu à une certaine forme de délit d’initié

Pour les particuliers, les attentes sont différentes, et concernent surtout deux sujets principaux, tous les deux liés à la notion de vie privée :

  • Une meilleure information et une protection sur la traçabilité
  • Une meilleure information et une protection sur la revente des données personnelles

Mais d’un autre côté, ces deux groupes (l’entreprise et le particulier) s’accorderont à penser qu’Internet leur est également indispensable pour exposer un certain nombre d’information leur permettant d’améliorer leur réputation sur Internet et d’accentuer leur présence sur les différents réseaux sociaux.

Le risque est-il réel ?

Certainement oui. Récemment, une enquête menée par la CNIL a abouti à la conclusion que 99% des sites consultés collectent des informations personnelles. (http://www.lemonde.fr/technologies/article/2013/08/13/la-cnil-epingle-les-sites-ne-fournissant-aucune-information-sur-la-protection-des-donnees_3460872_651865.html). 20% des applications mobiles ne donnent aucune information concernant le traitement qu’il sera fait de ces données ou comment y avoir accès. Pour les 250 sites web régulièrement consultés par les français, mobiles ou non, cette valeur est d’un peu moins de 10%.

Agir plutôt que se plaindre

Pourtant, il existe de nombreux moyens de se protéger afin d’éviter de divulguer trop d’informations personnelles sur Internet liée à la protection de la vie privée. A titre d’exemple, PrivacyFix (d’AVG) (http://www.privacyfix.com) est un excellent petit logiciel permettant d’analyser les données personnelles collectées à partir de votre navigateur Internet et de reconfigurer automatiquement le service ou le navigateur afin d’éviter des collectes non sollicitées. Vous pouvez en profiter pour installer sur votre navigateur « healthbar Privacyfix » qui vous permettra d’identifier sur un certain nombre de sites connus les risques que vous prenez. La capture ci-dessous présente respectivement l’analyse de PrivacyFix depuis mon navigateur lorsque je me connecte à Linkedin, Facebook et Twitter (en haut en bas).

snow2

Concernant les données, que l’on peut catégoriser comme suit :

  • Messages électroniques
  • Communications instantanées et VoIP
  • Documents et données
  • Applications, processus et paramètres
  • Archives

Seul le chiffrement est la bonne parade dès lors que ces informations sont confiées de manière volontaire ou non à un tiers. Personnellement, j’évite d’utiliser des logiciels de chiffrement fournis par des services en ligne ou des sociétés commerciales, et privilégie principalement les solutions dont le code source est ouvert à la lecture de spécialistes, ou de logiciels mis à disposition des communautés. Mes deux préférés sont TrueCrypt pour chiffrer les données sensibles sur mon disque, et lorsque je dois émettre à un tiers, je préfère utiliser mon propre logiciel de chiffrement, plutôt que la solution de l’éditeur, basé sur PGP. Une liste des outils pouvant être utilisés est disponible ici :  http://lifehacker.com/5677725/five-best-file-encryption-tools

De même, je prends certaines précautions lors de mes envois et réception de messages : La première précaution que je prends est que je préfère utiliser des messageries dont je connais les administrateurs. La seconde étant que je fais toujours attention à ce que les intitulés de mes messages ne contiennent aucune information sensible pouvant amener à donner un indice sur la valeur du contenu. La dernière étant que toute donnée ayant de la valeur est forcément dans une pièce-jointe chiffrée, et ni directement en clair dans le corps du message ou simplement attachée en pièce jointe en clair.

Enfin, il reste les données vraiment confidentielles dont je parlais au début de mon article, celles des entreprises. J’évoque souvent aux sociétés qui me demandent comment sécuriser leurs données numériques qu’elles ne se posent pas les mêmes questions lorsqu’elles utilisent leur téléphone opéré par un réseau public. Soyons clair, tout ce qui sort de l’entreprise amène à prendre un risque en termes de confidentialité des données, dès lors qu’on n’a aucun moyen de contrôle fiable sur le tiers qui sert d’intermédiaire. La confidentialité des données sur Internet ou sur le Cloud Computing est donc tout à fait illusoire.

Remettre l’intranet au goût du jour ?

Ce n’est pas parce qu’une technologie apparaît dans le paysage informatique, comme le Cloud Computing, qu’elle pourra remplacer à elle seule toutes les technologies précédentes. Comme je l’évoquais, pour assurer la confidentialité des données, il est nécessaire de maîtriser la sécurité de bout-en-bout. Une solution de collaboration complète, basée sur un Intranet, avec une connexion VPN et un client léger reste la meilleure plateforme pour assurer le travail collaboratif et la sécurité des données. Demandez leur avis aux dirigeants nord-coréens !

Dommage que l’Intranet soit un sujet qui enthousiasme peu les jeunes générations, qui privilégient le Cloud Computing comme la solution miracle à tous les problèmes. Mais c’est peut-être que nos jeunes informaticiens sont aussi beaucoup moins sensibilisés aux notions de confidentialité et de vie privée que leurs aînés. Mais ils ont aussi des excuses : souvent leur vie numérique a commencé avant même leur naissance, avec un papa ou une maman fiers de poster sur Facebook la première échographie. Comment voulez-vous leur parler de vie privée après ça ?

Quel logiciel utiliser pour créer un Intranet sécurisé ? Fondamentalement, n’importe lequel, sauf si bien entendu vous demandez son avis à l’agence de sécurité nationale américaine (NSA) qui semble avoir une dent contre SharePoint depuis l’affaire Edward Snowden (http://www.theregister.co.uk/2013/07/19/nsa_sharepoint_leaks/). Ce qui en soit est totalement injustifié, car cela reviendrait à accuser le fournisseur de la serrure qu’un voleur ait réussi à faire un double de votre clé. Vous l’aurez compris : votre sécurité ne pourra se reposer à elle seule sur un logiciel, mais surtout sur la formation et la qualité des équipes et des procédures que vous dévouerez à cette tâche. A vous d’en fixer le prix.

IT Pro Magazine, Septembre 2013

Les commentaires sont fermés.

%d blogueurs aiment cette page :