C'est lundi c'est privacy
Publié le par Julien PIERRE
Publié dans : Veille | Mots-clés : , , , , , , , , , , , , | 6 commentaires

Ce billet est l’occasion de reprendre la rubrique de veille, délaissée pendant la rédaction de la thèse. En ce qui concerne mon travail de recherche, je publierai dans quelques temps plus d’info sur Le cadre privatif : des données aux contextes (au jour d’aujourd’hui, la soutenance devrait se tenir courant avril 2013, selon les disponibilités des membres du jury).

Du côté des éditeurs

  • On commence léger avec Google, qui réfléchit à de nouveaux procédés d’authentification, notamment par des tokens de type clé USB, smartphone, voire même bijou annulaire, (via wired​.com).
  • Marissa Mayer (Yahoo!), après avoir reçu un courrier de l’EFF, propose le HTTPS dans les sessions de Yahoo!Mail. C’est en option, ça arrive après des années de réclamation (c’est par défaut chez Gmail depuis 2010 et depuis peu dans Outlook​.com), mais on va quand même dire que ça augure de bonnes résolutions ;-) [source : InfoWorld]
  • Facebook met en place ce qu’il avait annoncé dans son mail de novembre 2012 : le système de gouvernance pour la confidentialité des données est réformé (Facebook Site Governance). Le milliard d’inscrits n’aura plus qu’une seule interlocutrice, Erin Egan, et un formulaire, pour manifester son intérêt, son doute ou son mécontentement à l’égard du traitement des données personnelles réalisé par Facebook. La Chief Privacy Officer répondra une fois par mois ! Dans le même temps, Facebook réintroduit l’automatisation de la reconnaissance faciale sur les photos [c’est Génération NT qui l’affirme, mais je n’ai rien vu ailleurs…] et met en ligne l’arme de destruction massive qu’est Graph Search ! Il va être temps d’assumer ces likes : les inférences produites par croisement des anecdotes vont construire du sens qui risque d’être très fortement préjudiciable aux individus, et très rentables au commerce (petite revue de littérature : l’annonce de Facebook, les 1ères expériences chez Tom Scott, et les opinions partagées entre opportunités de business et risques majeurs).
  • ad_choices_moduleAprès avoir tardé à adopter l’initiative AdChoices, Facebook va finalement embarqué le petit logo dans ces pubs (via AdAge). Le mécanisme est le suivant (j’en parlais déjà ici) : TRUSTe (prestataire de la Digital Ad Alliance) enrichit les publicités comportementales avec un traceur permettant de suivre les traitements des données personnelles collectées à partir des encarts publicitaires. A partir de là, il est possible au titulaire de signifier son rejet du traçage comportemental (opt-​out). Cette nouvelle politique va simplifier la tâche des partenaires de Facebook, comme Vivaki (filiale de Publicis spécialisé dans l’achat d’espace numérique). Ayant constaté que de nombreux annonceurs, sous la houlette de la FTC, réclamaient des campagnes avec notification éclairée, Vivaki enjoignait les régies de Facebook et Amazon de franchir le rubicond de la transparence. Du coup, Amazon est le dernier des géants à l’heure actuelle à ne pas avoir adopté cette initiative (un article de janvier 2013, toujours dans AdAge). Toutefois, le design du dispositif ne sera pas le même, le logo d’AdChoice apparaitra au survol d’une pub (comme le petit X situé actuellement en haut à droite). En procédant ainsi, Facebook ne fait pas preuve d’une notification éclairée sur le traitement embarqué dans ses encarts. C’est une illustration des hiatus entre front-​end et back-​end politics que je développe dans la thèse, en reprenant à Richard Rogers des outils que j’applique aux Industries de la Certification d’Identité et de la Réputation (ICIR) et à Google (cf. les NymWars).

Du côté des législateurs

  • Suite de la mise à jour (directive 95/​46/​CE) : le Parlement approuve le rapport présenté à propos du futur cadre réglementaire de protection des données personnelles en Europe, et met en avant le besoin de construire une autorité transnationale indépendante, une CNIL européenne [source : europa​.eu]
  • Nym Wars, épisode 2. L’Allemagne veut du pseudo, et demande à Facebook d’autoriser ses membres à se présenter sous une fausse identité [source : datenschutzzentrum​.de]. Pendant ce temps, en Chine, avec plus d’un milliard d’utilisateurs de téléphone mobile (dont 20% en 3G), les fraudes identitaires se multiplient : le gouvernement vient donc de faire adopter une loi à double tranchant. D’un côté, consentement éclairé des usagers (pour éviter spam et autres joyeusetés), de l’autre identification obligatoire en nom propre et collaboration forcée des FAI placée sous la surveillance d’une Haute autorité. Comme le dit un commentateur :

The Internet needs not only self-​purification, but also outside discipline
[source : china​.org​.cn]

On appréciera l’association entre discipline et purification : comme disait Confucius (…à moins que ce soit le grand Mao ?), « Web sucks ! »

  • Pendant ce temps, en France, on réfléchit à taxer la chaine de valeur des données personnelles. Ainsi, Colin & Collin, les deux rapporteurs, estiment que les internautes fournissent un travail gratuit en livrant des données personnelles sur le web (saisie endogène). A l’autre bout de la chaîne, les entreprises excellent dans l’optimisation fiscale. Il y a un jeu d’externalités au détriment du titulaire qui se renforce au fur et à mesure que se développe l’économie numérique : son business model repose ainsi intégralement sur le traitement de ces données personnelles (traitement qui permet de réduire les aléas dans la commercialisation des biens, autre point de la thèse). Cette taxe serait proportionnelle au cadre privatif appareillé par les opérateurs de la chaîne de valorisation, sur le principe du pollueur-​payeur. Elle requiert donc d’une part un déploiement à l’international (dans la mesure où l’on peut fixer un « établissement stable » de ces acteurs économiques), d’autre part une explicitation du cadre privatif. Cette deuxième partie pourrait d’ailleurs donner lieu à de nouvelles activités économiques : gardiens du temple des données personnelles d’un côté, meilleurs services d’analyse de l’autre. On va en voir quelques exemples pas plus tard que tout de suite…

Du côté des écosystèmes nationaux

  • IdéNum : Fleur Pellerin remet à l’ordre du jour le projet initié par NKM, afin de réduire la même inquiétude que la taxe précédente. Les systèmes d’IDaaS sont pour l’instant des offres étrangères (cf. le premier point de ce billet, à propos du futur token de Google) : il s’agirait alors de nationaliser ce secteur (au profit d’acteurs publics et privés : Euro Information — Crédit mutuel et CIC -, Pages Jaunes, SFR et La Poste). L’annonce a d’ailleurs été faire lors du Forum internationale de la Cybersécurité (à Lille), avec des références à Morpho, EADS, Thales et toute la bande… [source : Le Monde]
  • IdA : dans le cadre de la réforme du système de prestations sociales au Royaume-​Uni, le gouvernement conservateur a mis en place un système appelé Universal Credit (prestation unique) par lequel toutes les allocations (chomage, logment, etc.) sont regroupées et gérées par l’individu via un portail en ligne (GOV​.UK). La connexion au site se fera par un tiers de confiance certifiant l’identité de l’allocataire. Ces tiers ne seront plus des agents publics, mais des entreprises privées ayant répondu à un appel d’offre. Voilà pour ce qui avait été publié à l’automne 2012. A cette époque, et reprenant le discours officiel, Facebook, Google ou PayPal avaient été annoncés comme des tiers plausibles (ou à tout le moins, l’une des mentions dans le cahier des charges stipulait que le tiers devait permettre l’interconnexion entre le compte gov​.uk et ceux de Facebook ou Google). Tout le monde y était allé de son laïus pro libéral ou dénonçant la privatisation du bien public (et des prérogatives royales), pire : la crainte de voir revenir par la fenêtre la carte d’identité nationale détruite à grand bruit précédemment. mais comme l’affirmait alors Andrea di Maio (gartner research), il n’y aura pas de base de données centralisée (je précise : au niveau national; elle sera en fait distribuée à travers les différents prestatataires). Et les nominés sont… The Post Office, Cassidian (ex EADS Défense), Digidentity (des tiers-​de confiance hollandais), Experian (entreprise française leader dans la gestion du risque financier), Ingeus (groupe australien spécialisé dans les RH et la réinsertion), Mydex (start-​up anglaise surfant sur la tendance MiData) et Verizon (géant américain des télécom et de l’identité numérique). Bon la liste date de novembre 2012, mais PayPal (et donc eBay) a été rajouté récemment… Plusieurs remarques à propos de cette liste : peu d’acteurs nationaux, des tailles et des activités très variés (de la start-​up à la multinationale), des origines liées au risque financier et au savoir-​faire militaire, et surtout l’absence de Facebook et Google, pourtant donnés comme exemple au lancement du projet. Ça confirme la structuration des Industries de la certification d’identité et de la réputation (ICIR) évoquée dans la thèse.

Du côté des pratiques sociales

  • Un sondage EMC/​IFOP compare les représentations entre parents et enfants (11−17 ans) de l’usage des TIC numériques, et principalement du web [version PDF complète]. A part quelques écarts significatifs sur lesquels je vais revenir, l’un des indicateurs intéressants est la méfiance à l’égard du traitement des données personnelles, et les pratiques qui s’en suivent. 59% des enfants et 58% de leurs parents considèrent l’Internet comme étant dangereux. Cette méfiance viendrait de la sensibilisation opérée d’abord par les parents (68%), puis par l’école (45%). Sans surprise, c’est dans la sphère privée qu’on apprend ce que veut dire la vie privée, et la délégation de surveillance aux parents s’estompe avec l’âge (on ne donne plus son mot de passe, on n’utilise plus de solution de contrôle parental, mais reste-​t-​on encore amis sur Facebook ?). Dans les usages, l’enfant ne donnerait pas d’éléments identifiants, encore moins aux inconnus. Et c’est là que s’opère une différenciation avec les représentations des parents, qui imaginent leurs chères têtes blondes complètement immergées dans la toile, et prisonnières des dangereux narco-​pédo-​serial-​terroriste dont on parle ci-​dessous.

Big Brother aussi aime le LOL

  • Je n’en dirais pas plus, Michel Guillou a très bien résumé le site E-​Reputation de la Mairie de Paris : du gros LOL ! Pour preuve du discours de la peur que véhicule ce projet (y a que des super-​vilains sur Internet), on trouve parmi les 5 sites proposés en lien la CNIL (OK, jusque là tout va bien) puis le Ministère de l’Intérieur, le Portail de la Sécurité informatique, la Préfecture de Paris et la Police Nationale. Ne crains plus rien, jeune internaute, le RAID viendra bientôt débusquer les dangereux anonymes qui se moquent de toi !
  • Vive le Royaume enchanté ! Puisque le web, c’est mâââl, tous les bambins (et leurs parents) qui iront s’amuser chez Mickey porteront dorénavant un ma-​gni-​fique ruban avec des super-​pouvoirs magiques inside ! Niché à l’intérieur d’une boucle en latex, une puce RFID remplacera le ticket de parking, le billet d’entrée, les FastPass et même la carte de crédit. Reliée à un site web et une appli mobile, MyMagic+ pourrait bien être l’innovation majeure pour tout ce qui concerne les parc d’attraction et autres grands complexes touristiques (et bientôt dans les hypermarchés, les parcs régionaux et les cours d’école). Coût estimé : entre 800 millions et 1 milliard de dollars. Quant on sait que Disney accueille 12 millions de personnes par an, et génère 13 milliards de revenus, le développement et surtout le ROI semblent judicieux. De même que l’est la remarque du sous-​traitant du dispositif :
When Disney makes a move, it moves the culture
  • C’est aussi un formidable vecteur d’adoption sociale sur un équipement à priori anodin, quasi ludique. Pourtant, avec son ruban magique, Disney va s’offrir l’un des meilleurs outils de traçage et d’analyse comportementale. Mais tout ça, c’est pour le fun, einh ?

MagicBands can also be encoded with all sorts of personal details, allowing for more personalized interaction with Disney employees. Before, the employee playing Cinderella could say hello only in a general way. Now — if parents opt in — hidden sensors will read MagicBand data, providing information needed for a personalized greeting: “Hi, Angie,” the character might say without prompting. “I understand it’s your birthday.”

[source : New York Times]

  • Anticipation toujours ! Après l’internet du frigo, la voiture connectée : il s’agit d’un essai mené à Ann Arbor, où quelques 3000 voitures communiquent entre elles. Et qu’est-ce qu’une voiture peut bien raconter à une autre voiture ? Sa vitesse, son trajet, et surtout les incidents qu’elles rencontrent (obstacle, ralentissement, etc.). Les signaux émis par un véhicule sont perçus dans une sphère de 400 mètres (Digital Short Range Communications ou DSRC, du 802.11p), et traduits sur un écran vidéo dans l’habitacle (Ne pas dépasser, Ralentir, etc.). Si les avantages paraissent évidents en termes de sécurité routière, des questions se posent néanmoins : au niveau du dispositif, si l’interfaçage entre les contrôleurs de la voiture et ceux du DSRC est indépendant, la réception des certificats est problématique. Il suffirait qu’un composant soit en panne (la pression des pneus par exemple) pour que tout le dispositif soit mis hors service. Dès lors, un véhicule deviendrait muet et ne serait plus pris en compte par ses voisins (son certificat serait blacklisté). Encore plus dangereux que l’angle mort…
    Du point de vue des données personnelles, Christie Dudley, une experte de l’IEEE mandatée pour l’audit du dispositif, présente au cours d’une conférence du Computer Chaos Club les risques d’un tel dispositif : publicité géolocalisée, partenariat entre le DSRC et des opérateurs de service type TomTom, traçabilité encore plus forte des véhicules et de leurs occupants, possibilité d’accès aux données du véhicule par la police, ou pire encore, par des pirates !!! [source : computerworld]

Et pour finir, une bande-​annonce d’un documentaire présenté au Sundance Film Festival : Terms And Conditions May Apply (via IAPP Daily Dashboard).

TACMA Preview from Hyrax Films Private on Vimeo.

[EDIT : Grrr… les TACMA de Vimeo (et du producteur de la vidéo) nous conduisent à regarder cette bande-​annonce à la source !]

Publié le par Julien PIERRE
Publié dans : Veille | Mots-clés : , , , , , , , , , , , | Laisser un commentaire

J’avais laissé passer l’info à l’époque, plongé que j’étais dans la rédaction de ma thèse. Le groupe de pilotage du NSTIC a publié la liste des cinq lauréats qui mèneront les premiers projets de développement d’un dispositif compatible avec l’Écosystème identitaire. Source : communiqué de presse du NIST (20÷09÷2012)

  1. The American Association of Motor Vehicle Administrators (AAMVA) (Va.): $1,621,803
    Sécurisation des identités numériques dans le cadre des transactions électroniques visant à réduire les fraudes du type id. theft ou fake, apparemment en utilisant des marqueurs biométriques. On peut imaginer le système déployé auprès des concessionnaires et des sites de ventes entre particuliers. L’association bénéficie du soutien de Biometric Signature ID, de Microsoft et d’AT&T.
  2. Criterion Systems (Va.): $1,977,732
    Système multi-​modal de certification d’identité centré utilisateur, permettant aux usagers de partager des recommandations marchandes, aux vendeurs d’accéder à des services de crédit, à des agents de gérer des chaines logistiques et à des fonctionnaires d’accéder à des services de santé. Criterion travaille avec AOL Corp., LexisNexis®, Ping Identity Corp., et Internet2 Consortium/​In-​Common Federation.
  3. Daon, Inc. (Va.): $1,821,520
    Fourniture d’appareils sécurisés (de type tablettes/​smartphones) dédiés à un public de séniors. Partenaires : PayPal et l’American Association of Airport Executives.
  4. Resilient Network Systems, Inc. (Calif.): $1,999,371
    Autre système multi-​modal dédié au secteur de la santé et de l’éducation : American Medical Association, Aetna, the American College of Cardiology, ActiveHealth Management, LexisNexis, the Kantara Initiative, et the National eHealth Collaborative.
  5. University Corporation for Advanced Internet Development (UCAID) (Mich.): $1,840,263
    Connu aussi sous le nom d’Internet2, consortium universitaire qui opère en tant que fournisseur d’attributs et de certificats (anonymes et multi-​modaux) : ce sont eux qui opèrent Shibboleth, la fédération d’identités utilisée par les universités françaises (et qui permet entre autres de se connecter au portail cairn​.info avec ses identifiants d’étudiant ou d’enseignant).

Sans surprise, les domaines de la santé et du commerce sont privilégiés, la biométrie est convoquée (explicitement ou dans les process multi-​modaux), les partenaires appartiennent aussi bien aux universités, au secteur des télécoms (industries de la communication), des contenus (industries de la culture), et de la certification d’identité. J’ai indiqué ce type de rapprochement entre ICIC et ICIR dans un chapitre de la thèse (également ébauché ici et ). De même, un autre chapitre est consacré à la configuration d’acteurs d’un telle organisation : les membres du groupe de pilotage du NSTIC (l’IdESG) sont tous partenaires des projets pilotes.

Ce qui est intéressant à noter par contre, c’est la place accordée aux systèmes transverses (de type B2B ou inter-​administration), et ce quelle que soit la cohérence (homogène dans le projet 5, Internet2 ; particulièrement hétérogène dans le projet 2, Criterion). Cependant, il est possible d’imaginer les modèles d’affaire et le cadre de fonctionnement de ces projets : le plus explicite à mon sens est le projet n°3, Daon, dédié aux séniors. On peut déjà imaginer la place que PayPal occuperait dans la distribution des étrennes de Papi et Mamie… ou dans quelle mesure la logistique des vols inter-​États serait facilitée, permettant aux retraités (actionnaires des fonds de pension) d’aller flamber à Miami, Végas ou Hawaii.

Étapes suivantes :

  • Surveiller côté US le déploiement et les premiers résultats de ces projets…
  • et s’en inspirer pour proposer des services similaires en France !