Archives du Mois : avril 2014

On a causé de protection des données…

Protection des données

La protection des données, un mythe ?

La question était au cœur de la Causerie du jeudi 27 mars dernier à la Muse. Près de trente personnes avaient rejoint Alexis Roussel, président du Parti Pirate Suisse et défenseur ardent et avisé du numérique, pour en discuter. 

Les opportunités liées au numériques ne sont plus à démontrer. Mais à quel prix ? Force est de constater que nous bénéficions fréquemment d’un confort technologique au prix de concessions dans le domaine de la protection des données et de la sphère privée. Certains n’y voient qu’une évolution naturelle de notre société. D’autres s’en préoccupent et tirent la sonnette d’alarme: la protection des données ne fonctionne pas, ni en Suisse, ni ailleurs !

Alexis est de ceux-ci. Il prône une réappropriation politique et juridique des données. Il souhaite une organisation du marché et est convaincu que les opportunités d’avancer dans la bonne direction existent. Et ce sont ces idées qu’il a voulu partager avec nous ce soir-là.

Il part du constat qu’Internet est résilient et fonctionne très bien malgré tout ce qu’on peut dire. Mais le problème est qu’il connaît actuellement une perte de confiance amplifiée par les affaires de ces derniers mois. D’une part nos données personnelles nous échappent et sont convoitées par de très nombreux acteurs de l’Internet, Google et Facebook en tête. D’autre part nous sommes surveillés par les gouvernements, à l’image de la NSA qui dispose d’un arsenal gigantesque pour espionner la planète numérique.

Pour illustrer la multitude des sociétés qui s’intéressent à nos données lorsque nous surfons sur Internet, Alexis nous propose une démonstration du module Lightbeam qui permet de donner un coup de projecteur sur ceux qui nous surveillent et sur là où partent nos données personnelles. Le résultat est visuel et très convaincant. On remarque notamment que Google Analytics (que nous ne voyons jamais directement) est omniprésent lorsque nous surfons sur le Web.

Lightbeam

Cette constellation de sociétés qui s’intéressent à nos habitudes de navigation et à nos données peut paraître anodine, surtout lorsque l’on estime n’avoir rien à cacher ou à se reprocher. Mais Alexis rappelle qu’il est tout à fait anormal de ne pas être au courant de ces manières de faire et surtout de ne pas être en mesure de s’en protéger (pour le commun des mortels du moins). C’est d’autant plus inquiétant lorsque l’on est un professionnel qui traite et échange sur le Web des données sensibles comme peut le faire quotidiennement un médecin ou un avocat.

L’autre problème majeur réside dans le fait que ces entreprises peuvent savoir énormément de choses sur les individus en agrégeant des données en apparence anodines en terme de protection de la sphère privée. 

Alexis pense que le problème se situe dans un premier temps au niveau juridique. En effet les mécanismes actuellement en place ne fonctionnent pas et ne prennent pas en compte notre identité numérique de manière suffisamment large. L’article 13 de la constitution helvétique précise en effet que “Chaque personne a le droit d’être protégée contre le mauvais usage de ses données personnelles”. Mais cet article ne va pas suffisamment loin. Les mécanismes juridiques appliqués à la personnes devraient en effet être appliqués à nos données afin de préserver notre intégrité numérique.

       Aujourd’hui Internet est un espace de vie ! Et la vraie question est celle de notre personnalité numérique

Pour illustrer son propos, Alexis décrypte avec nous le cas Moneyhouse qui a défrayé la chronique l’année dernière. Cette société collecte les données concernant la situation financière des individus et les revend aux entreprises (de microcrédit notamment). Avec ces manières de faire, et sans garde-fou juridique, on subit un effet d’échelle impressionnant et on abolit quasiment le droit à l’oubli. On se retrouve face à une entreprise dont on n’a jamais entendu parler et qui peut influencer durablement notre vie en vendant des données nous concernant et dont certaines peuvent même être fausses.

Et même si les moyens juridiques de se faire entendre existent, ils ne sont pas tournés à l’avantage du citoyen. Celui-ci doit la plupart du temps compter sur des organisations faîtières pour l’aider dans ce domaine, à l’image de la page proposée par la Fédération Romande des Consommateurs qui explique comment effacer ses données de Moneyhouse.

Après ce tableau introductif plutôt noir de la situation actuelle, Alexis évoque le futur ! Et il n’est pas forcément plus rose. Avec par exemple l’arrivée sur le marché des Google Glass qui permettent potentiellement de filmer tout un chacun en tous temps, partout, et sans son consentement. Où iront ces données ? Quel contrôle aurai-je sur elles lorsqu’on me filme ? Comment régir les interactions des individus dans ce contexte ? On aborde ici de vraies questions sociales. Il y a certes des avantages amenés par ces services numériques qui nous facilitent la vie. Mais à quel prix ? Il faut une vraie réflexion de fond sur le sujet avant de se laisser déborder par des usages dont nous n’aurons ni souhaité ni même envisagé toutes les conséquences. 

DataNSAAlexis évoque également le gros trou noir lié à la sécurité nationale. On assiste depuis quelques années à un tabou intolérable: personne n’a plus un mot à dire lorsqu’elle est mise en avant. Que faire alors ? Ne plus bouger ? Alexis pense que non. Il prône tout d’abord de remettre en question le Safe Harbour qui régit les transferts de données numériques entre l’Europe et les Etats-Unis. Les conditions d’utilisation notamment doivent être revues pour aller vers plus de simplicité. Dans le même temps il faut donner aux citoyens plus d’informations sur le sujet ainsi que les outils pour mieux gérer la question.

Le problème réside dans le fait que les outils en place, qu’ils soient technologiques ou juridiques, considèrent Internet comme un vecteur de communication. Or c’est beaucoup plus que cela: c’est un espace de vie ! Les outils à créer doivent ainsi permettre de protéger l’être humain dans son intégrité numérique.

            Data is not data ! Data is us!

 

Mais au-delà de la volonté des politiques à faire appliquer des mesures adaptées, il faudra veiller à leur applicabilité. Cela nécessitera de repenser le fonctionnement du marché de la donnée, que celle-ci soit personnelle ou anonymisée. A terme le système devrait nous permettre d’aller devant un juge si l’on sait que quelqu’un possède des données nous concernant sans que nous en soyons informés.

Mais où sont les évidences ? questionne le professeur Michel Léonard qui souligne qu’il est très difficile de les obtenir dans le monde numérique. Les outils juridiques risquent ainsi de ne pas trouver de réponse technologique pour faire appliquer les lois.

Alexis est dans tous les cas convaincu qu’une meilleure prise en compte de la protection des données attire les individus et les entreprises et constitue ainsi un moteur à l’innovation. Dans ce sens, la juridiction suisse en la matière peut constituer un avantage compétitif. Preuve en est le nombre croissant d’entreprises qui viennent installer leurs serveurs de données chez nous: la Suisse est en train de devenir un paradis de la vie numérique. Les européens l’ont compris puisqu’ils sont en train de réviser leur droit dans le domaine de la protection des données.

Causerie 'Protection des données'

Le sujet de cette Causerie nous a ensuite emmené vers des thèmes divers et variés : on a notamment évoqué le cloud computing, la monnaie numérique Bitcoin, la plateforme Ethereum, les banques d’informations de demain ou le rôle crucial de l’éducation (à tous les niveaux).

Alexis a eu le mot de la fin en affirmant qu’il faut faire basculer la société en augmentant son niveau de maturité dans le domaine de la protection des données. Le débat commence à avoir lieu dans la population. Il faut maintenant qu’il remonte au niveau politique en interpellant les décideurs pour les aider à mieux comprendre le sujet et à faire les bons choix. Et c’est là l’une des missions que s’est donnée le Parti Pirate.

Références

  • Le billet bien senti de Jacques-André Widmer (qui a participé à la Causerie) sur le blog de la Tribune de Genève
  • Le site d’information citoyenne Ethack 
  • Le site de l’Electronic Frontier Foudation (EFF) qui défend nos droits dans le monde numérique
———————————————————————————————————————————————————–Alexis Roussel
Alexis Roussel est juriste et entrepreneur. Il est président du Parti Pirate Suisse et est à ce titre un militant actif, ardent défenseur du numérique tout en pointant ses dérives.
———————————————————————————————————————————————————–

Ce qu’il faut savoir sur Heartbleed et la sécurité des informations

Le bug Heartbleed est un grave défaut dans OpenSSL, un logiciel de chiffrement qui est en arrière plan des communications sécurisées sur le web. Il a été annoncé par des chercheurs en sécurité informatique, le 7 Avril 2014. Voyons ce qu’il en est.

heartbleed

Comment cela fonctionne-t-il? Le protocole SSL inclut une option “rythme cardiaque” (heartbeat) qui permet à un ordinateur d’envoyer un court message pour vérifier que l’ordinateur avec qui il est en contact est toujours en ligne et obtenir une réponse. Les chercheurs ont constaté qu’il est possible d’envoyer un de ces messages formé de façon malicieuse afin de forcer l’ordinateur contacté à divulguer des informations secrètes. Plus précisément, un ordinateur vulnérable peut être amené à transmettre le contenu de la mémoire du serveur.

Quelles sont les informations qui peuvent être compromises? En triant ces informations récoltés et en filtrant uniquement les parties intéressantes (en utilisant par exemple une technique simple appellée “pattern matching”), des personnes mal intentionnées tentent de trouver des clés secrètes, des mots de passe et des informations personnelles comme les numéros de carte de crédit.

Quels sont les ordinateurs qui sont en risque? Ce type de faille touche principalement ce qu’on appelle les serveurs. Autrement dit la plupart de nos ordinateur familiers au bureau et à la maison ne sont pas les plus exposés. Ce sont plutôt les sites web et les services en ligne que l’on utilise qui sont touchés. Par exemple, les services de messagerie, de stockage de fichiers à distance, de réseaux sociaux, de e-commerce, de banques, etc. La plupart des sites concernés ont pris des mesures pour mettre à jour leur logiciel et sécuriser leurs services. Le nombre exact de sites touchés n’est pas connu, mais la vulnérabilité est censée affecter une fraction importante de l’ensemble des sites sécurisés sur le Web (500’000 sites importants selon certaines sources).

Mais en fait c’est quoi exactement SSL? SSL est le protocole de sécurisation (Secure Socket Layer) qui chiffre les informations transmises entre un ordinateur et le site web visité. Lorsque l’on visite un site sécurisé, l’adresse apparaît avec le préfixe “https” et un petit cadenas fermé apparaît dans la plupart des navigateurs. Le SSL a été introduit depuis longtemps (Netscape 1994) et son implémentation logicielle varie. Plusieurs failles on déjà été trouvées par le passé, mais celle-ci est la plus étendue et la plus dangereuse.

Et pourquoi parle-t-on de OpenSSL? OpenSSL est un programme open source qui met en oeuvre le protocole SSL et qui est l’un des plus largement utilisés au monde. Il est distribué notamment avec les serveurs de sites Apache et nginx. La vulnérabilité existe depuis avril 2012 et elle peut être contournée.

Que dois-je faire comme utilisateur? Si vous êtes simple utilisateur, vous devez vous assurer que les sites que vous utilisez ont fait le nécessaire pour mettre à jour la partie défaillante. Vous pouvez toujours aussi avertir le propriétaire du site de votre questionnement et demander qu’il vous renseigne. De façon plus directe, les ressources ci-dessous vous permettront d’avoir une information avec l’adresse web du service. Dans le doute, il est préférable d’éviter d’introduire des informations qui doivent être sécurisées (password, login, cartes de crédit et autres informations sensibles) et de changer de password, seulement une fois que vous êtes certain que le site à été mis à jour. Ainsi vous vous assurez que les informations éventuellement compromises ne pourront pas être utilisées. Si vous êtes en charge d’un serveur, il faut absolument vérifier sa sécurité et prendre les mesures techniques nécessaires.

Quelles sont les ressources utiles?

Une liste des sites les plus connus et leur statut ainsi que les actions recommandées est disponible ici
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

Une liste de sites testés est disponible ici
https://github.com/musalbas/heartbleed-masstest/blob/master/top10000.txt

Une adresse pour savoir si le site que vous allez visiter est affecté par le bug
http://filippo.io/Heartbleed/