Les identités numériques

carnet de recherche vie privée données personnelles identité numérique dispositif identitaire sciences de l'information et de la communication facebook google réseaux socionumériques

C’est mercredi privacy, épisode 25

Internet est un service de télécommunication (et donc un bien public), et non pas un service d’information. En statuant de la sorte, la FCC a entériné une règle d’égalité dans la répartition de la bande passante entre usagers. Dans la législation états-unienne, un fournisseur d’informations peut appliquer une discrimination dans son service. Un fournisseur de télécom n’en a pas le droit. De même, rappelle Marc Rotenberg (EPIC) dans une interview accordée au Los Angeles Time (26/02/2015), un fournisseur de télécom doit obtenir au préalable le consentement des usagers avant de collecter des données d’utilisation (section 222 du Communication Act, dont on prédit un renforcement pro-privacy suite à la décision de la FCC). Pour M. Rotenberg, la neutralité du Net pourrait avoir un impact fort au niveau du respect de la vie privée en ligne, en tous cas pour les FAI américains…

Authentification : un marché en ébullition

  • Un insight intéressant à lire, avant la suite : Les mots de passe toujours d’actualité, mais pas les bonnes pratiques qui vont avec (sur PrivacyAssociation)
  • Barcelona, le Mobile World Congress et les nouveaux produits, centrés sur la gestion d’identité et la biométrie. Une table-ronde est d’ailleurs consacrée à l’intersection du modèle user-centric, des questions de privacy et du mobile. Comme cela a été rappelé dans la conférence d’ouverture par J. F. Baksaas (patron de GSMA) : Society has decided that smartphones will be the link between our human identity and our digital one. Plus exactement, on veut nous faire croire qu’il n’y avait pas d’autres propositions techniques hors du mobile (ce qui n’est pas le cas : voir Plug-up Int’l, basé à Rouen, qui propose une double authentification par token USB, selon les critères FIDO. On m’indique également que d’autres projets sont en cours…). Du coup, de nombreuses innovations viennent enrichir les téléphones mobiles (bon, dans le même temps, c’est le MWC). D’un côté, GSMA continue de communiquer sur son produit Mobile Connect (qui pourrait devenir le design dominant à la vue des partenaires impliqués, j’en avais déjà parlé à propos du MWC2014 et des projets pilotes du NSTIC) ; de l’autre, des propositions autour de facteurs d’authentification améliorés, et il y a du lourd : Synaptics revient à la charge, Qualcomm Snapdragon Sense ID introduit l’ultrason, Intel et TrueKey (reconnaissance faciale), Fujitsu et la reconnaissance de l’iris (sur LMI). Bref, la biométrie semble avoir réussi son épreuve d’acceptabilité sociale !
  • L’an passé, l’entreprise suisse SilentCircle avait fait parlé d’elle avec le BlackPhone (une technologie qu’elle a complètement racheté depuis). De nouvelles annonces fortes pour l’édition du MWC2015 : le BlackPhone 2, sous stéroïdes (3GB RAM, 8-core, 5,5 » + un Androïd PrivatOS), un combiné téléphone + tablette, un véritable écosystème pro-privacy pour les entreprises (source : ZDNet).
  • Pendant ce temps, Twilio (acteur du cloud) rachète Authy, une appli du type One Time Password, pratique quand on a activé la double authentification sur des services web. Cela officialise un partenariat qui avait commencé en 2012. (Source : Let’s Talk Paiments)
  • Ils ne sont pas à Barcelone, mais à Zurich, une antenne R&D d’IBM présente son projet Identity Mixer

A lire également

  • Les projets de loi côté US : Consumer Privacy Bill, dernière étape. En Chine, une loi anti-terroriste menace la confidentialité des entreprises occidentales (un backdoor chez tous les expat’). En Europe, l’EDRI tire la sonnette d’alarme : le projet de règlement européen tant attendu connaitrait des coupes drastiques de la part du Conseil. Deux documents sont publiés : les différences entre les versions Parlement (mars 2014) et Conseil, et une analyse de ces différences. Un exemple parmi d’autre : alors que le Parlement exige le consentement des utilisateurs pour être traqué via le navigateur, le Conseil estime que ne pas réussir à régler ce paramètre dans le logiciel équivaut à consentement. Dans un autre genre, le Conseil accorde aux entreprises de tout collecter dès lors qu’elles signalent qu’elles ont un intérêt légitime à le faire. Légitime aux yeux de qui ?
European Data Protection: Broken Badly

European Data Protection: Broken Badly

  • Après le relooking extreme des privacy policies chez Facebook, Skype procède également à un relifting de ses règles de confidentialité.
  • Ian Oliver, ingénieur chez Nokia et auteur d’un livre sur l’ingénierie de la vie privée, annonce une série de billets sur la sémantique des données personnelles. On va parler RDF, ontologie et modélisation, j’ai hâte :)
  • Du côté du W3C : on réfléchit à ce que le private browser mode s’applique également aux serveurs. David Singer, ingénieur chez Apple, propose de créer des personas, des sessions pseudonymées (dans un onglet, dans une instance du navigateur, peu importe) : un onglet/une instance dédiée à acheter un cadeau pour l’anniversaire du fiston, avec des cookies qui disparaissent après l’achat/l’anniversaire, un onglet pour discuter du dernier épisode de House of Cards, avec les cookies qui reviennent pour le prochain épisode, un cookie/une session pour Facebook sans dialogue avec les autres sessions, etc.. Bref, une expérience utilisateur centrée sur le contexte (dans un deux vieux billets, j’avais appelé à réformer le user-centric en pragma-centric). A lire sur la liste de diffusion Public-Privacy.
  • La dernière fois, je parlais des efforts autour du fingerprinting : Mozilla travaille sur une Tracking protection, dépassant le quasi-mort-né DoNotTrack
  • Restructuration et recrutement chez Google : côté Europe, Londres rafle la mise et devient tête-de-pont (au détriment de Paris). Côté Produits : un an après le départ de Vic Gundotra, Google+ à nouveau au coeur d’une refonte de l’organigramme : Bradley Horowitz reprend les rênes, mais d’un produit scindé entre plateforme image (Picasa), flux de conversation (Streams) et visio (Hangouts). Ce dernier produit semble rencontrer un succès inattendu, au point de le sortir du système Google+ (dont la marque disparait de plus en plus). Fini la convergence, apparemment, Google se recentre sur des services singuliers. A confirmer (source : Le Monde Informatique, 02/03/2015)
  • L’arroseur arrosé : le gouvernement américain a longtemps combattu les technologies de chiffrement (comme PGP par exemple). Retour de manivelle : les protocoles TLS/SSL seraient désormais truffés de failles de sécurité, permettant à un pirate de commander un navigateur, voire même un serveur. Conséquence : les machines de la NSA ou de la Maison-Blanche sont fortement vulnérables par cette découverte
  • Le FBI fait du teasing, et annonce qu’il est pas loin d’arrêter les coupables dans la faille Anthem. Quel suspens !
  • Côté science
  • Du côté du LOL, on s’éloigne des identifiants en ligne et du « monde virtuel », en avant pour le cookie physique !

A venir

  • 12/03/2015 : La DARPA s’attaque à la vie privée, pardon au respect de la vie privée. A travers un programme intitulé Brandeis (du nom de l’auteur du « right to be let alone », 1890, credo fondateur de la privacy à l’américaine, et qui a dû se retourner dans sa tombe plus d’une fois depuis ces derniers mois). Les industriels curieux peuvent venir participer à une présentation (dans un hôtel d’Arlington, Virgine :))

Laisser un commentaire