Les identités numériques

carnet de recherche vie privée données personnelles identité numérique dispositif identitaire sciences de l'information et de la communication facebook google réseaux socionumériques

C’est jeudi, c’est privacy

Après les attaques de Paris début janvier 2015,  puis celles de Copenhague en février, les autorités françaises, mais également européennes, se sont unies pour élaborer/accélérer des dispositifs anti-terroristes. Plusieurs projets à surveiller, qui pourraient prendre la forme d’un PatriotAct à la française, que nous sommes plusieurs à redouter, notamment dans la foulée des lois Antiterrorisme (nov. 2014)1 et Programmation militaire (déc. 2014)2. Aussi, en plus de ces dispositifs, qui n’ont pas eu le temps de monter en charge, Manuel Valls accorde des moyens humains à la lutte contre le cyberdjihadisme. Plus de 2600 emplois créés pour répondre à cet effort, dont 500 pour la DGSI, 400 millions d’euros, un  registre des vols façon PNR et un armement renforcé pour les agents de police. En effet, si l’efficacité des forces opérationnelles a été louée/applaudie, celle des agences de renseignement a par contre été unanimement questionnée.

  • On se souvient qu’à la suite du 11-Septembre, une même accusation avait été portée contre le renseignement US. Au-delà de l’embauche (« d’analystes aux profils variés », dixit le document reprenant ces actions sur le site du gouvernement), M. Valls annonce également une nouvelle loi sur le renseignement (en fait dans les tuyaux avant le 7 janvier, et certainement débattue début avril 2015). Dans ce cadre, le gouvernement souhaite que les grands opérateurs du web assument leur responsabilité dans la prétendue facilitation de l’endoctrinement au djihad : si viralité il y a, elle serait du fait des médias sociaux. La surveillance du web se fera donc avec eux, …ou sans eux.  Dans cette optique, B. Cazeneuve a traversé l’Atlantique pour rencontrer les dirigeants de principales firmes (Les Echos). M. Valls leur avait déjà fait un appel du pied il y a un an (NextINpact, 06/12/2013). Échaudés depuis qu’Edward Snowden les a pris la main dans le sac de PRISM, il y a fort à parier qu’ils vont freiner des quatre fers devant cette nouvelle injonction.
    • A ce sujet, lire le Transparency report de Twitter pour le dernier semestre : à signaler une hausse de 40% des demandes gouvernementales pour obtenir des informations sur les titulaires de certains comptes. Plus de la moitié des requêtes proviennent du gouvernement américain.

      Twitter Transparency

      Twitter Transparency

    Face aux formes de coopération qui se dessinent entre Europe et États-Unis, le web social risque bien de passer un peu plus sous les fourches caudines de l’anti-terrorisme.

  • On se souvient enfin des difficultés pour mettre en conformité les besoins du PNR avec la législation européenne (dernier épisode en 2012, avec la signature d’un compromis). Il y a ici la possibilité d’une facilitation dans les échanges de données entre Europe et États-Unis (et l’on voit monter au créneau Julie Brill de la FTC et son homologue française I. Falque-Pierrotin. Source : IAPP). Déjà en vigueur depuis la loi anti-terrorisme de novembre 2014, M. Valls demande à ce que ce dispositif soit étendu à l’échelle européenne. Les Ministres de l’intérieur européens se sont dit favorables à cette extension, ainsi que Donald Tusk, président du Conseil européen. C’est prévu pour la fin de l’année : affaire(s) à suivre…

En regard des menaces portées sur les libertés fondamentales, et à l’occasion de la Journée mondiale de la protection des données personnelles, ont été publiés de nombreux appels, dont celui de l’Association européenne pour la défense des droits de l’homme (AEDH). Les pouvoirs que va centraliser l’organisme Europol sont d’autant plus inquiétant qu’ils ne sont soumis à aucun contrôle judiciaire.

On ira regarder également ce qui se passe au Canada, où l’organisation des forces de l’ordre et du renseignement convergent, d’abord au niveau opérationnel autour d’un support commun (dans des fusion centers), ensuite en requalifiant de terroristes les écologistes opposés à l’exploitation des sables bitumeux. Source : Reporterre, via la liste Creis-Terminal.

Attaques / La NSA au banc des hackers

  • Attaque massive contre Anthem, numéro deux de l’assurance santé aux USA. 80 millions d’enregistrement personnels dérobés, sans que l’on sache quelles données (bancaires ? médicales) ni quel processus (apparemment un malware calibré précisément pour cette attaque). En tous cas, une attaque d’envergure similaire à celles qu’ont connu Community Health System, Target et Home Depot récemment [source : Bloomberg]. D’après KrebsOnSecurity, le FBI suspecte la Chine. Et la Corée du Nord est impliquée dans l’attaque de Sony, confirme la NSA, même si des doutes subsistent.
  • A l’heure où l’on pointe du doigt les attaques provenant d’Asie ou d’Europe de l’Est, une enquête révèle que les États-Unis sont les principaux fournisseurs de malware sur les marketplaces de type GooglePlay/AppStore (source : PCWorld)
  • Même provenance : la NSA aurait installé un malware dans les disques durs à destination de pays sensibles. Kaspersky (qui rappelons-le est une entreprise russe) estime que le programme, développé par une organisation nommée Equation Group – aux talents fabuleux ! – est très proche de Stuxnet. Il crée un cache dans les disques durs impossible à identifier ou éradiquer. L’infection aurait bénéficié – entre autres –  d’une tactique d’interception de courrier postal : un CD envoyé à des chercheurs revenant d’un colloque et contenant des articles, des slides, et un malware glissé dans son bon vieil autorun.inf… Kasperski n’accuse pas directement l’agence américaine, mais pointe toutes les convergences avec des affaires précédentes : ArsTEchnica revient dessus point pas point. Et de fil en aiguille, on découvre qu’Equation Group est actif depuis presque 15 ans…

    Les victimes d'Equation Group

    Les victimes d’Equation Group

  • Encore et toujours, la NSA accusée d’avoir piratée les clés de chiffrement des puces Gemalto. C’est donc tout le réseau GSM, une partie du réseau Visa/MasterCard, des millions de passeports biométriques (des milliards avec l’Inde) qui sont compromis. Pas grave, l’entreprise estime qu’il n’y aura pas d’impact financier
    Document Snowden

    Document Snowden

    Il faut se rappeler qu’au début des années, un fond d’investissement texan avait fait main basse sur la start-up française, et qu’avaient été exprimées des craintes de manipulation par le renseignement US (Libération 19/08/2002) :

    Selon plusieurs cadres dirigeants, un début de projet a même été élaboré. Certains pensent y voir la main de la CIA. «Ce n’est pas du tout exclu. La carte à puce est presque la seule technologie que les Américains ne maîtrisent pas. Or elle va devenir de plus en plus stratégique en matière, notamment, de sécurisation des transactions sur l’Internet», explique, aujourd’hui, Frédéric Spagnou, ancien vice-président de Gemplus.

    Inquiet, l’État avait opéré à la manœuvre pour évincer TPG en 2010. Trop tard, semble-t-il… [Lire l’article de Libération du 20/02/2015].
    Au final, les applis, les cartes à puce et les disques durs sont sous la coupe de la NSA. Youpi!

  • J’en termine avec la NSA : il n’y a que Jeb Bush (de la famille Bush :) pour soutenir les efforts de collecte de l’agence. Quand on sait qu’il est candidat aux primaires républicaines pour les prochaines élections américaines, nous voilà rassurés !
  • Margo Seltzer (professeure d’informatique à Harvard en même temps que Mark Zuckerberg y était étudiant) déclare que la sphère privée telle que nous la connaissions ne peut plus exister, la façon dont nous envisagions avant la sphère privée, c’est fini. Et de parler de minidrones voleurs d’ADN, au milieu d’autres universitaires et entrepreneurs réunis à Davos.
  • Le nouveau Catcha de Google capture des données personnelles (source).

Défenses

  • La CNIL met en demeure les Ministères de l’Intérieur et de la Justice de lui fournir des explications à propos du fichier TAJ (Traitement des antécédents judiciaires, fusion du STIC et de JUDEX). Les services trainent des pieds pour satisfaire aux demandes de droits d’accès indirects (un citoyen demande à la CNIL qui demande aux services de police/gendarmerie qui demandent au Parquet qui renvoie à un magistrat de la CNIL…). « Certains dossiers sont en souffrance depuis 2010 » peut lire dans le communiqué de presse.
  • L’autorité italienne de protection des données personnelles va envoyer ses agents auditer les services de Google directement au sein du QG de la firme (source : garanteprivacy.it). Tous les trimestres, il sera vérifier que les règles de confidentialité sont conformes (ou que sont réalisés des efforts de mise en conformité) avec la réglementation italienne (et par extension avec la doctrine européenne) : c’est-à-dire consentement éclairé des utilisateurs, notification claire des règles en vigueur, durée de conservation des données personnelles et bien entendu déréférencement à la demande. C’est la première fois que qu’une autorité européenne s’arroge le droit d’aller inspecter des services américains : mais alors que certains s’offusquent d’une atteinte à la souveraineté nationale , il faut rappeler que Google est une entreprise de droit privé.
  • La Justice anglaise, à travers l’Investigatory Powers Tribunal, a déclaré illégale la collaboration entre le GCHQ et la NSA. En fait étaient illégales les écoutes précédant 2014, date à laquelle le parlement britannique a légiféré en leur faveur [source: le document officiel de l’IPT, le commentaire de Privacy International et un article du Monde/Pixels]. Comme on peut le lire dans l’arrêt du tribunal : [les collaborations entre UK et US] contreviennent aux article 8 et 10 de la Déclaration européenne des droits de l’homme, but […] it now complies with the said Articles.
  • De son côté, la Belgique estime que les règles de confidentialité de Facebook ne sont toujours pas conforme avec le droit européen, malgré sa récente mise à jour (source : The Guardian). Nous en parlions ici, évoquant surtout un lifting en termes de lisibilité et, comme le souligne le rapport belge, un ensemble de bonnes pratiques entre pairs. Or, ces règles achoppent principalement sur la question des tierces-parties et de leur accès et exploitation des données utilisateurs. Les mécanismes d’opt-out (dont celui concernant la géolocalisation) sont également pointés du doigt. Depuis le 1er janvier, date d’entrée en vigueur de ces privacy policies, on remarque surtout un durcissement de la real name policy (lire un témoignage sur Rue89).
  • Un article très intéressant de Kashmir Hill sur la Privacy Team de Facebook. Pilotée par Yul Kwon (juriste formé à Yale, et vainqueur de la dernière édition de CBS/Survivor à force de diplomatie), l’équipe se présente as the privacy sherpas, accompagnant chaque employé dans un process de privacy-by-design (bootcamp, test utilisateur, code review, privacy checkup, etc.). L’objectif est d’éviter les erreurs à la Google Street View ou les études façon Contagion Emotion. Secoué par la FTC (mais favorablement auditée par la suite), Facebook souhaite laisser loin derrière ses rapports ambigus avec la vie privée. Ainsi du projet Nearby Friends : l’histoire remonte au rachat de Glancee, une start-up fondée par Andrea Vaccari et dont la proposition de valeur deviendra Nearby friends. Entre temps, Andrea a été coaché par Yul Kwon.

    It was frustrating at first, says Vaccari. I came into Facebook to launch this thing I believed in and I wanted to launch it to as many people as possible. At first the recommendations felt too conservative, but I learned quickly to appreciate the value of these recommendations. A bad launch could have hurt our ability to grow in the future.

    Le risque bien entendu est de verrouiller l’innovation avec la vie privée. Y. Kwon le reconnait : You’re trying to find the right balance between coming out with innovative delightful products that still respect privacy. Un challenge d’autant plus compliqué que Facebook cherche à effacer l’ardoise des années précédentes : les efforts sont louables, mais le passif est lourd.

En vrac / A lire ailleurs

  • Samsung cherche à rattraper son retard face à Apple et son système de paiement sur mobile : le « géant coréen » rachète une start-up développant une solution magnétique (contre le NFC de l’iPhone qui requiert des terminaux spécifiques, dont les commerçants US ne sont toujours pas équipés). Source : Le Monde Informatique.
  • Des échos critiques à l’égard du Big Data : Le Monde informatique (18/02/2015) publie un article reprenant diverses publications de professionnels (de l’informatique et du marketing) et de revues scientifiques
  • Jeremy Grant, pilote en chef du NSTIC depuis 4 ans, va chercher ailleurs de nouvelles expériences. Salué par tous pour sa pugnacité à rassembler autour d’une même tables autant d’acteurs de la sécurité et de l’identité, il aura conduit le projet vers de nombreux cas concrets. Les derniers projets test sont … Pour info, l’autorité de tutelle – le NIST – va toucher un budget de 1,1 milliards de dollars dans la foulée du nouveau plan Cybersecurité de Barack Obama.
  • Après les lois sur les drones (interdits pour Facebook, Google et surtout Amazon, mais autorisés pour le renseignement US), les travaux sur l’Internet des objets (lire également l’article de The Verge à ce sujet), un débat en cours sur les rapports privacy-robotics. Les robots domestiques vont également poser des problèmes de confidentialité : pour gagner en autonomie, ils vont devoir assimiler quantité de données sensibles. Quel cadre légal faudra-t-il concevoir ? En Europe, le groupe de réflexion RoboLaw avait publié un rapport en 2012, préconisant les méthodes de privacy-by-design. Comme il y a de fortes possibilités que se multiplient les robots, notamment dans les espaces commerciaux, la collecte et la confidentialité des données risque de devenir un véritable challenge, d’ingénierie mais également de protection légale. On lira avec intérêt l’appel au débat proposé par le cabinet Hogan Lovells et publié sur le site de l’IAPP.
  • Pendant ce temps, au W3C, on propose de relier identité réelle et identité en ligne (sur le blog du Web Paiyments Interest Group). Et de l’autre côté on cherche à réduire le fingerprinting (chaque navigateur web laisse une signature singulière – cache, extensions, etc. – qui permet d’identifier son utilisateur). Un groupe de travail se penche sur un ensemble de bonnes pratiques pour les rédacteurs de spécifications afin qu’ils minorent le plus possible l’impact de leur API sur cette empreinte (Fingerprinting Guidance for Web Specifications Authors). Un cas de privacy-by-design
  • L’AFNOR va standardiser l’e-reputation : l’agence de normalisation propose d’établir un standard international (norme ISO) pour encadrer les avis de consommateurs sur le Web. Il existe déjà une norme française (NF ZF4-501, jillet 2013) qui q’applique aux entreprises françaises et leur interdit de déposer des faux commentaires chez leurs concurrents, mais si ces derniers sont étrangers, ils ont les mains libres …pour l’instant.

Notes

  1. Lire l’analyse critique sur le NouvelObs
  2. Dont un certain décret d’application est entré en vigueur deux semaines avant l’attaque de CharlieHebdo

Laisser un commentaire