Dans quelle mesure les différentes générations sont-elles plus ou moins sensibles à la notion de surveillance ? Un regard sur les personnes nées au tournant des années 80 et 90 montre que ces dernières abandonnent probablement plus facilement une part de contrôle sur les données personnelles et n’ont sans doute pas eu totalement conscience de leur grande valeur.
Peut-être qu’à l’approche des Jeux olympiques de Paris, avez-vous vaguement protesté lors de la mise en place d’un fichier vidéo algorithmique ? Et puis avez-vous haussé les épaules : un fichier de plus. Peut-être par résignation ou par habitude ? Comme d’autres, vous avez peut-être aussi renseigné sans trop vous poser de questions votre profil MySpace ou donné votre « ASV » (âge, sexe, ville) sur les chats Caramail au tournant des années 1990-2000 et encore aujourd’hui vous cliquez quotidiennement sur « valider les CGU » (conditions générales d'utilisation) sans les lire ou sur « accepter les cookies » sans savoir précisément ce que c’est.
En effet, peut-être, faites-vous partie de ce nombre important d’individus nés entre 1979 et 1994 et avez-vous saisi au vol le développement de l’informatique et des nouvelles technologies. Et ce, sans forcément vous attarder sur ce que cela impliquait sur le plan de la surveillance des données que vous avez accepté de partager avec le reste du monde…
Pour se convaincre de l’existence de cette habitude rapidement acquise, il suffit d’avoir en tête les grandes dates de l’histoire récente de l’informatique et d’Internet : Apple met en 1983 sur le marché le premier ordinateur utilisant une souris et une interface graphique, c’est le Lisa.
Puis le World Wide Web est inventé par Tim Berners-Lee en 1989, 36 millions d’ordinateurs sont connectés à Internet en 1996, Google est fondé en 1998 et Facebook est lancé en 2004. L’accélération exponentielle d’abord des machines elles-mêmes, puis des réseaux et enfin du partage de données et de la mobilité a suivi de très près les millennials.
La génération précédente, plus âgée, a parfois moins l’habitude de ces outils ou s’est battue contre certaines dérives initiales, notamment sécuritaires. La suivante, qui a été plongée immédiatement dans un monde déjà régi par l’omniprésence d’Internet et des réseaux, en connaît plus spontanément les risques (même si elle n’est pas nécessairement plus prudente).
Probablement du fait de ce contexte, la génération née entre le début des années 1980 et le milieu des années 1990 est aussi celle qui est la plus optimiste face au développement des technologies.
Cet état de fait apparaît d’autant plus clairement que la « génération Z », plus jeune, est marquée généralement par une plus grande apathie voire un certain pessimisme notamment quant au devenir des données personnelles.
En effet, aujourd’hui, les plus jeunes, déjà très habitués à l’usage permanent des réseaux sociaux et aux surveillances de toute part, se trouvent très conscients de ses enjeux mais font montre d’une forme de résignation. Celle-ci se traduit notamment par le « privacy paradox » mis en lumière par certains sociologues et qui se traduit par une tendance paradoxale à se réclamer d’une défense de la vie privée tout en exposant très largement celle-ci volontairement par l’utilisation des réseaux sociaux.
A contrario, cette confiance en la technologie se manifeste spécialement par une forme de techno-optimisme, y compris lorsqu’il s’agit de l’usage de données personnelles. Cet état d’esprit se traduit dans de nombreux domaines : lorsqu’il s’agit de l’usage des données de santé par exemple ou plus généralement quant à l’utilisation des technologies pour régler des problèmes sociaux ou humains comme le réchauffement climatique.
Cet optimisme est aussi visible lorsqu’il s’agit d’évoquer les fichiers policiers ou administratifs. S’il n’existe pas de données précises sur l’acceptation des bases de données sécuritaires par chaque tranche d’âge, il n’en demeure pas moins que la génération des 30-45 ans n’est plus celle de l’affaire Safari dont l’éclatement, après la révélation d’un projet de méga-fichier par le ministère de l’Intérieur, a permis la naissance de la CNIL.
Cette génération a, au contraire, été marquée par des événements clés tels que les attentats du 11 septembre 2001 ou la crise économique de 2009.
Ces événements, et plus généralement le climat dans lequel cette génération a grandi et vit aujourd’hui, la conduisent à être, d’après les études d’opinion récentes, plus sensible aux questions de sécurité que d’autres. Elle entretient ainsi un rapport différent à la sécurité, moins encline à subir des contrôles d’identité répétés (qui sont bien plus fréquents chez les plus jeunes) mais plus inquiète pour l’avenir et plus sensible aux arguments sécuritaires.
Cet état d’esprit favorise en conséquence une plus grande acceptation encore des fichiers et aux dispositifs de sécurité qui sont perçus comme des outils nécessaires à l’adaptation aux nouvelles formes de délinquance et de criminalité, par exemple à l’occasion de l’organisation des futurs Jeux olympiques et paralympiques en France ou rendus utiles pour permettre la gestion d’une pandémie comme celle du Covid-19.
Les deux phénomènes – optimisme face au développement des technologies et sensibilité à la question sécuritaire – sont d’autant plus inextricables qu’il existe un lien important entre usages individuels et commerciaux des technologies d’une part et usages technosécuritaires d’autre part. En effet, les expériences en apparence inoffensives de l’utilisation récréative ou domestique des technologies de surveillance (caméras de surveillance, objets connectés, etc.) favorisent l’acceptabilité voire l’accoutumance à ces outils qui renforcent le sentiment de confort tant personnel que sécuritaire.
La génération des trentenaires et quadra actuelle, très habituée au développement des technologies dans tous les cadres (individuels, familiaux, professionnels, collectifs, etc.) et encore très empreinte du techno-optimisme de l’explosion des possibilités offertes par ces outils depuis les années 1990 est ainsi plus encline encore que d’autres à accepter leur présence dans un contexte de surveillance de masse.
Cet état d’esprit favorise en conséquence une plus grande acceptation encore des fichiers et aux dispositifs de sécurité qui sont perçus comme des outils nécessaires à l’adaptation aux nouvelles formes de délinquance et de criminalité. Maxim Hopman/Unsplash, CC BY-NC-ND
La pénétration très importante de ces dispositifs dans notre quotidien est telle que le recours aux technologies même les plus débattues comme l’intelligence artificielle peut sembler à certains comme le cours normal du progrès technique. Comme pour toutes les autres générations, l’habituation est d’autant plus importante que l’effet cliquet conduit à ne jamais – ou presque – remettre en cause des dispositifs adoptés.
Partant, la génération des 30-45 ans, sans doute bien davantage que celle qui la précède (encore marquée par certains excès ou trop peu familiarisée à ces questions) que celle qui la suit (davantage pessimiste) développe une forte acceptabilité des dispositifs de surveillance de tous horizons. En cela, elle abandonne aussi probablement une part de contrôle sur les données personnelles dont beaucoup n’ont sans doute pas totalement conscience de la grande valeur.
Au contraire, les réglementations (à l’image du Règlement général sur la protection des données adopté en 2016 et appliqué en 2018) tentant de limiter ces phénomènes sont parfois perçues comme une source d’agacement au quotidien voire comme un frein à l’innovation.
Sur le plan sécuritaire, l’acceptabilité de ces fichages, perçus comme nécessaires pour assurer la sécurité et la gestion efficace de la société, pose la question de la confiance accordée aux institutions. Or, là encore, il semble que la génération étudiée soit moins à même de présenter une défiance importante envers la sphère politique comme le fait la plus jeune génération.
Demeurent très probablement encore d’autres facteurs explicatifs qu’il reste à explorer au regard d’une génération dont l’état d’esprit relativement aux données personnelles est d’autant plus essentiel que cette génération est en partie celle qui construit le droit applicable aujourd’hui et demain en ces matières.
Le phishing consiste à se faire passer pour quelqu’un en qui vous avez confiance (organisme officiel, supérieur hiérarchique, un proche…) afin de récupérer vos données ou de s’introduire dans votre système informatique, sans que vous en ayez conscience.
Faux SMS de l’assurance maladie, liens piégés sur Telegram, publicités Facebook frauduleuses, entourloupes reproduisant les sites de Total et Engie… Les tentatives de phishing, ou d’hameçonnage, peuvent venir d’à peu près n’importe où, ce qui ne les rend pas toujours simples à repérer. Reprenons donc les bases, pour éviter de tomber dans le panneau.
Les phishings n’ont de limite que l’imagination des fraudeurs. Dans l’actualité récente, des campagnes d’hameçonnage ont ainsi pu prendre la forme de mails de vérification de compte imitant la communication de l’éditeur de cartes tickets restaurants Swile, d’annonces alléchantes pour un faux jeu concours Lidl ou un vélo électrique soi-disant gagné auprès de Décathlon.
Certaines arnaques se font passer pour le site des impôts, pour la Police nationale ou pour l’application TousAntiCovid… Mails officiels, publicité sur les réseaux sociaux, messages envoyés par SMS ou n’importe quelle application de messagerie : à peu près tous les éléments que nous utilisons quotidiennement en ligne et sur nos téléphones peuvent être utilisés pour tenter de piéger les internautes — même les commentaires de documents partagés !
« Le grand public manque de sens critique envers ce qu’il se passe en ligne, c’est assez étrange, s’étonne Gérôme Billois, Partner cybersécurité et confiance digitale chez Wavestone. Dans la rue, si vous voyez des gens louches, vous changez de trottoir. Beaucoup de gens suspendent cette approche dans l’univers numérique, alors que tout ce qui y est dit n’est pas nécessairement vrai. »
Le premier conseil que l’on puisse donner pour éviter de tomber dans le panneau d’un hameçonnage, c’est donc de rester en alerte : si c’est trop beau pour être vrai, il vaut mieux vérifier avant de cliquer. S’il y a une notion très forte d’urgence, il faut redoubler d’attention : suggérer le besoin d’une action immédiate (« votre ordinateur est infecté, il faut le nettoyer ! », « j’ai besoin de quelques centaines d’euros dans la demi-heure pour me sortir d’une mauvaise passe ! ») est un mécanisme fréquemment utilisé dans les arnaques.
Un cran au-dessus, il y a quelques réflexes utiles à prendre : vérifiez les URL vers lesquelles renvoient les sites ou les textos que vous recevez, par exemple. Semblent-elles correctes, ou y a-t-il une petite erreur, un i à la place d’un l, un 0 à la place d’un o, un mot étrange ? Même chose dans des mails d’apparence officielle : s’il y a des fautes d’orthographe ou de grammaire, ça peut être louche. Si tout parait indiquer une correspondance de l’administration française, mais que dans le pied de page, l’adresse indiquée est située à l’autre bout du monde, c’est probablement anormal. S’il y a des pièces jointes, méfiance, encore une fois : elles sont un vecteur courant d’installation de logiciels malveillants.
Cela varie avec l’objectif final des personnes qui lancent la campagne de phishing : se faire de l’argent, voler des informations sensibles, déstabiliser une entité… Pour les particuliers, les campagnes visent le plus souvent à récupérer des données personnelles, des informations bancaires ou directement de l’argent. Le but est soit de vous faire cliquer sur un lien qui installera ensuite un logiciel frauduleux, soit de vous convaincre de payer, de toute bonne foi (on parle alors d’ingénierie sociale : en manipulant l’individu, on arrive à lui faire céder de l’argent ou des informations).
Pour les entreprises, explique Gérôme Billois, les attaques sont quelquefois beaucoup plus poussées : un criminel peut lancer un spear phishing, en produisant un mail ou une communication parfaitement calibrée pour essayer de tromper une personne précise : le patron, le responsable de la recherche et développement ou le directeur financier, par exemple. Le but est alors, dans certains cas, de réaliser une arnaque au président (se faire passer pour le fondateur pour détourner des fonds), dans d’autres d’espionner, ou de voler des données stratégiques.
Souvent, le phishing n’est aussi que la première étape d’opérations plus complexes : cliquez sur le lien malveillant intégré à l’attaque et vous lancerez en sous-main le téléchargement d’un cheval de Troie ou d’un rançongiciel, ou céderez sans vous en douter l’accès aux systèmes de votre entreprise. « Assez rapidement, on arrive sur des problématiques d’espionnage industriel », indique l’expert.
Des chercheurs en sécurité ont découvert qu'il était possible d'espionner des conversations en ajoutant du code dans les applications des enceintes connectées d'Amazon et de Google. Il s'agit d'une forme de phishing vocal pour obliger les utilisateurs à donner des infos confidentielles comme un mot de passe ou une adresse email, mais aussi pour les enregistrer à leur insu.
La voix, nouvelle empreinte digitale ? D'après le Wall Street Journal, certaines banques et même le corps médical ont littéralement trouvé leur voie : utiliser la voix de chacun pour mieux les identifier.
Dans le domaine de la biométrie, on rivalise de moyens pour identifier tout un chacun. Depuis quelques années déjà, nos doigts sont un sésame pour déverrouiller nos téléphones. Souriez, vous devez payer : on peut également régler une transaction désormais avec son visage. Marchez ? Vous êtes identifié ! La prochaine rivale de l’empreinte digitale - considérée comme infaillible - est peut-être la voix, selon le Wall Street Journal. « On sait depuis des siècles que la voix porte en elle quantité d’informations. Grâce à l’intelligence artificielle, on peut soutirer ces informations », déclare au journal Rita Singh, chercheuse spécialisée en apprentissage machine appliqué à la voix, à la Carnegie Mellon University. Il y a quelques mois, toujours au même journal, l’universitaire avait précisé que « la voix humaine contient des informations, liées à nos caractéristiques physiques, physiologiques, démographiques, médicales, et environnementales ». Utile pour le profilage en tout genre.
Dans les faits, la chercheuse essaie de transformer chaque voix en un code-barres unique à chacun. Pour ce faire, Rita Singh distingue une douzaine de caractéristiques vocales. Avoir la voix rauque ou des trémolos dans la voix, par exemple, mais aussi la résonance sont autant d’indices pour identifier un individu. La manière dont on pose sa voix ou dont on échoue à se faire entendre dans une salle peuplée d’autres individus pourrait trahir plus qu’une timidité en public. On pourrait aller jusqu’à en déduire son physique. Selon l’universitaire, dans une enquête policière, l’audio serait tout aussi utile que la voix. Une affirmation qui est loin d’être farfelue quand on voit que son travail serait soutenu financièrement par le département américain de la Sécurité intérieure.
« Ma voix est mon mot de passe »
Les entreprises auraient déjà recours à la voix pour prévenir les fraudes. Les banques, notamment. HSBC est ainsi la première banque à avoir mis en place un système de reconnaissance vocale pour ses clients. Quelque 15 millions de clients peuvent accéder en Grande-Bretagne à leurs comptes d’un simple « bonjour », même avec un rhume, s’amusait en 2016 le Guardian. En réalité, le client doit dire « my voice is my password » (« ma voix est mon mot de passe ») pour s’identifier. Quelques mois plus tard, un journaliste de la BBC pointe une première défaillance du système : il demande alors à son jumeau de tenter d’accéder à son compte, ce qu’il réussit à faire… après 7 tentatives. La banque déclare avoir depuis rectifié le tir et a annoncé en avril dernier avoir évité pour 300 millions de livres sterling (325 millions d’euros) de fraudes. Au WSJ, Daniel Capozzi, un des porte-paroles de Discover Financial Services - une entreprise américaine spécialisée dans les cartes de crédit - explique avoir réduit les fraudes de 10 % depuis que la société a recours à un système d’analyse vocale.
La médecine a aussi recours à ces mêmes technologies, notamment pour détecter certaines maladies dégénératives, telles que la maladie de Parkinson, ou tester l’efficacité d’un traitement contre la dépression. C’est ce que propose la société Sonde Health, qui analyse le rythme, le timbre et la clarté d’une voix pour identifier de possibles souffrances psychologiques. Une démarche qui se rapproche de celle de l’entreprise canadienne WinterLight Labs qui utilise la voix pour étudier les effets de l’âge sur les individus. Dis-moi comment tu parles, et je te dirai qui tu es, et qui tu deviendras ?
Home DNA testing can be fun. I’ve done it for myself and for my dog. One of us unexpectedly turned out to be 3.1% Italian. The other is mostly Saint Bernard.
The less-fun side of the DNA-testing industry is the brave new world of genetic privacy.
What are these companies doing with our genetic data?
What happens if they find a DNA marker for cancer, diabetes or any other potential illness that insurers and employers would be very interested in knowing about?
How much genetic privacy is a consumer entitled to?
Congress is now pondering federal privacy rules that probably will address such questions, so some of the top DNA-testing firms have come together to make sure lawmakers keep the industry’s interests front and center.
The so-called Coalition for Genetic Data Protection is backed by Ancestry, 23andMe and Helix, with an open invitation for other companies to join the club.
The group’s website says it seeks “reasonable and uniform privacy regulation that will ensure the responsible and ethical handling of every person’s genetic data.”
That sounds high-minded and well-intended.
In fact, the coalition is run by a prominent Washington, D.C., lobbying firm — Mehlman Castagnetti Rosen & Thomas — and its goal is to shape privacy rules for an industry that now largely operates on the honor system.
“We are great stewards of customers’ privacy,” declared Steve Haro, a principal at Mehlman Castagnetti who is serving as executive director of the coalition. “These companies welcome a data privacy law.”
Within reason, that is.
Haro told me he wants to make sure there are no carve-outs in a federal privacy law for genetic information. In other words, no provisions that place more stringent rules on DNA testing companies than on, say, Facebook or Google.
Rather, the coalition wants any privacy protections to be one-size-fits-all.
Experts say that would be a big mistake.
“Genetics is totally different,” said David Agus, a professor of medicine at USC and co-founder of Navigenics, a pioneering DNA-testing company. “We need totally different rules.”
He cited the case of the Golden State Killer, in which a 73-year-old suspect was charged last year with 26 counts of murder and kidnapping based on a DNA match not for himself but for a relative, which allowed investigators to home in on the alleged perpetrator.
“That’s the thing about genetic information,” Agus said. “It says something about you as well as all your family members.”
Therefore, he said, such information needs to be treated differently, even for something as relatively benign as consenting to your DNA being used for research purposes.
“Should you also have to get the consent of all your brothers and cousins?” Agus asked. “Why wouldn’t you, seeing as it could affect them.”
Mildred Cho, associate director of the Stanford Center for Biomedical Ethics, said genetic information should have the same privacy safeguards as other medical data, which typically are stricter than for other forms of personal information.
She said that in light of the complexity of DNA and its potential uses, “it becomes more difficult to justify a caveat-emptor approach.”
This is new territory for lawmakers. In 2008, Congress passed the Genetic Information Nondiscrimination Act, which prohibits discrimination by employers or insurers based on genetic data. But lawmakers have had little guidance as to how DNA fits into the broader context of digital privacy.
The Coalition for Genetic Data Protection, as first reported by the Hill, wants Congress to base any official policy on an industry study issued last year that defines privacy “best practices” for DNA-testing firms.
Even though the study says it “recognizes that genetic data is sensitive information that warrants a high standard of privacy protection,” a close reading reveals the industry prefers that customers trust it to do the right thing.
For example, it says that “companies should clearly specify the uses of the genetic data, who will have access to test results and how that data will be shared.”
Should, not must.
The study also says that “genetic data, by definition linked to an identifiable person, should not be disclosed or made accessible to third parties, in particular, employers, insurance companies, educational institutions or government agencies, except as required by law or with the separate express consent of the person concerned.”
Again, should, not must.
I asked Haro, the coalition’s executive director and chief lobbyist, what sort of teeth the industry desires for regulatory oversight. That is, how would it like to see any privacy law enforced?
He offered no specifics.
“We plan to engage constructively with policymakers on the best enforcement regime,” Haro said, reiterating that the coalition wants “a uniform national data privacy law” that treats all companies the same.
I have a suggestion. The DNA-testing industry’s disdain for special treatment notwithstanding, lawmakers should do just that and impose, at least on an interim basis, the same privacy standards applied to other medical data.
The federal Health Insurance Portability and Accountability Act, a.k.a. HIPAA, includes penalties ranging from $100 to $50,000 per violation — that is, per hacked record. Violations also can carry criminal charges resulting in jail time.
To really make their point that genetic information is a serious business, lawmakers also could consider mirroring penalties in Europe’s recently enacted privacy law, the General Data Protection Regulation. It can result in fines of up to 20 million euros ($23 million) or 4% of a company’s annual revenue, whichever is greater.
“American law already embraces health exceptionalism in the protection of privacy surrounding medical information,” said Judith Daar, dean of Northern Kentucky University’s Chase College of Law. “To continue or expand that protection in the genetic realm makes sense given the highly personal nature of the information. Most of us would likely assert a high expectation of privacy in the makeup of our genome.”
DNA-testing firms say you have nothing to worry about — they take people’s privacy really seriously.
You know who also says that? Facebook.
And you trust them, right?
Huawei, menace pour les États-Unis relevant de l'urgence nationale ? Ce genre d'arguments sécuritaires à la solidité débattue est courant dans les discours politiques sur le numérique. Voici ce que les chercheurs en sécurité ont à nous apprendre sur ce phénomène de « sécuritisation ».
L’occupant de la Maison-Blanche n’est connu ni pour ses mots de velours ni pour sa constance dans les idées. L’équipementier chinois Huawei a pu en faire l’amère expérience les mois passés.
Le 15 mai 2019, au nom de l’« urgence nationale », Donald Trump interdisait par décret aux réseaux télécoms américains de se fournir en équipements posant un risque de « sabotage » ou d’ « effets catastrophiques sur la sécurité ou la résilience d’infrastructure critique des États-Unis ». Huawei est clairement visé du fait de soupçons d’espionnage pourtant non confirmés. Une semaine plus tard, le président américain déclarait que « Huawei est quelque chose de très dangereux »… avant de souligner la possibilité d’un accord commercial avec la firme.
Puis au G20 début juillet 2019, après que Google, ARM ou Toshiba ont coupé leurs liens avec Huawei, le chef d’État a rétropédalé et annoncé que les firmes américaines pourront de nouveau faire des affaires avec le géant chinois. Il y a de quoi suggérer que l’affaire n’était qu’un bluff dans la guerre commerciale entre Washington et Pékin. Alors, Donald Trump ne brasse-t-il que du vent ? Pas si vite.
En guise de mise en bouche, il faut savoir que certains mots ont comme des pouvoirs magiques. Les enfants apprennent que tel est le cas de « s’il te plaît » et « merci ». Mais vous remarquerez aussi que le simple fait de dire « je promets » constitue une promesse, et que ces deux mots ne doivent pas être employés à la légère. En disant quelque chose (« je promets »), vous faites quelque chose (une promesse) avec de vraies répercussions sur le monde réel. De même, si vous dites « si on gagne ce match, je me rase la tête », vous faites un pari que vous avez intérêt à honorer.
Dire « je promets » ou « je parie » est ce qu’on appelle un speech act (« acte du langage »), terme défini par le philosophe John Austin en 1955 dans une série de cours à Harvard intitulée Comment faire des choses avec les mots. Si les actes du langage sont courants dans notre vie quotidienne, il y en a certains, comme le fait de parler de « sécurité », qui peuvent envoûter les appareils politiques au point de devenir des armes redoutables et parfois inquiétantes.
Nous vous proposons une formation rapide à cette sorcellerie de la sécurité, pour apprendre à reconnaître ses formules magiques et à en déjouer les sortilèges.
La recherche en sécurité internationale a longtemps été très américaine, militariste, et axée sur la notion de sécurité nationale. Les menaces sécuritaires étaient vues comme objectives et bien définissables (en gros, des frappes militaires hostiles). La seule grande concession à cela était l’idée qu’on pouvait accidentellement voir une menace là où il n’y en avait pas, ou inversement.
Dans les années 1980, des voix discordantes s’élèvent contre ce focus sur le militaire. On commence à parler pêle-mêle de sécurité humaine, environnementale, économique, sociétale — à tel point que plus personne ne sait ce que le mot « sécurité » veut vraiment dire. Divers courants de pensée émergent en Europe en tentant de faire le ménage, que ce soit au Pays de Galles où l’on se concentre sur l’émancipation des individus, ou en France où l’on préfère faire la sociologie des milieux de la défense.
Mais la réponse la plus influente et la plus révolutionnaire à ce capharnaüm vient sans doute du chercheur danois Ole Wæver. Difficile de le rater si vous le croisez aujourd’hui dans un colloque : arborant un look d’entraîneur de football, il s’amuse d’un rien et parle très vite avec de grands gestes. Lui qui a un jour commencé un papier de recherche par une citation de Dark Vador est à l’origine du concept de « sécuritisation », autrement dit le fait de « transformer quelque chose en problème de sécurité ».
Cette notion est devenue emblématique de l’école de Copenhague – à ne pas confondre avec l’interprétation de Copenhague en mécanique quantique, même si Wæver nous tweete avec humour que les deux sont sûrement liés – et a fait de la capitale du Danemark « la Mecque des études de sécurité ». Mais ici, « sécurité » n’a pas le même sens banal et quotidien que quand on parle par exemple de sécurité informatique. Voilà pourquoi.
Imaginons que le monde politique normal est un grand jeu de gestion d’une ville. Les joueurs, qui remplissent le rôle des décideurs politiques, s’accordent sur une série de règlements pour que tout se passe bien : pour que les ordures soient ramassées, que la police puisse attraper les criminels, etc. Des débats éclatent parfois sur comment gérer au mieux tel sujet – on parle de sujets « politisés » – mais dans l’ensemble, la vie poursuit son cours.
Entre maintenant le problème de sécurité : un méchant dragon arrive sur la ville et s’apprête à la réduire en cendres. Face à cette menace existentielle, les joueurs ne vont probablement pas continuer à suivre bêtement les règles de leur propre jeu politique – parce que s’ils font cela, il n’y aura plus de jeu ! Pour sauver le jeu, ils vont paradoxalement s’affranchir des règles et mettre en place des mesures d’exception, comme une mobilisation militaire, ou un État d’urgence avec restrictions aux libertés fondamentales comme celui connu en France après les attentats de 2015.
C’est là qu’Ole Wæver arrive avec un plot twist : le dragon, ce problème de sécurité, n’existe pas. Du moins, pas objectivement. Tout comme dire « je promets », dire « sécurité » est un speech act. Dans notre ville-jeu, chaque joueur dispose donc d’une formule magique nommée sécuritisation. En prononçant le mot « sécurité », « dragon » ou équivalent, il peut transformer tout ce qu’il veut en problème de sécurité, et ce en ensorcelant des gens pour leur faire « voir » des dragons.
Certains diront par exemple « le crime est un dragon qui va brûler la ville », et si le sortilège réussit, ils débloqueront ces moyens d’exception qui les mettront au-delà du politique et des simples débats politisés. Ce but ultime est très important, car si on ne cherche pas des mesures exceptionnelles, on ne fait pas de la sécuritisation mais simplement du sensationnalisme.
La sécuritisation marche aussi dans l’autre sens, et un incident peut être minimisé pour ne pas avoir à y appliquer des mesures exceptionnelles. Aux États-Unis, alors que les ouragans majeurs font normalement l’objet de grandes opérations d’aide aux sinistrés, l’ouragan Maria à Puerto Rico en septembre 2017 a ainsi été largement ignoré par l’administration de Donald Trump malgré un bilan humain très lourd.
La sécuritisation doit se faire selon quelques règles de l’art. Voici donc un cas pratique que l’on retrouve régulièrement en tech. Supposons que vous êtes au gouvernement, et que vous voulez faire adopter une loi vous autorisant à espionner les sites web que visitent vos citoyens. Peu importe que vous ayez une bonne ou une mauvaise raison de le faire : vous êtes dans un état de droit, et une telle loi ne passera pas comme une lettre à la poste. Vous êtes l’acteur sécuritisant, personnage généralement issu de l’autorité même si tout le monde peut participer au processus.
Votre but est de persuader un public que les mesures extraordinaires que vous voulez prendre (en l’occurrence, porter atteinte à la vie privée des gens) sont tout à fait justifiées. Dans notre exemple, votre public est constitué de citoyens — nous sommes en démocratie — mais aussi de vos collègues au gouvernement, et surtout des parlementaires d’opposition qui devront laisser passer votre projet de loi. Si tout ce beau monde ne croit pas suffisamment à vos arguments, la sécuritisation échoue.
Pour convaincre, vous avez besoin d’un objet référent que votre public aime, qui suscite les passions, et qui pourrait plausiblement courir une terrible menace existentielle. Parmi quelques objets référents courants, on trouve la sécurité nationale (menace : « le terrorisme »), celle des individus (« le crime »), l’identité nationale (« l’immigration »), la souveraineté (« l’Union européenne »), l’emploi et le pouvoir d’achat (« la mondialisation »), ou encore l’environnement (« le réchauffement climatique », qu’on aimerait plus performatif…). L’important n’est pas que la menace soit réelle ou non, mais que votre public y croît.
Dans votre cas, votre objet référent pourrait être les enfants. La menace serait alors les pédophiles, et en particulier les visiteurs de sites pédopornographiques. Vous faites là le lien entre la menace et les mesures extraordinaires que vous visez. Pour arrêter les internautes se rendant sur tels sites, vous avez besoin de savoir quels sites visitent les gens, et donc d’instaurer des mesures de surveillance.
Ainsi armé, vous pouvez réaliser votre speech act de sécuritisation. Quand on vous interpellera sur le respect de la vie privée dans votre projet de loi, vous pourrez ainsi rétorquer, avec la même élégance qu’un ministre canadien en 2012 : « vous êtes soit avec nous, soit avec les pédophiles ».
La sécuritisation abonde dans les discours politiques autour du numérique, en particulier sur la surveillance. Vous la reconnaîtrez quand une ville justifie l’installation de caméras de surveillance à reconnaissance faciale, écartant les questions de vie privée en affirmant lutter contre des menaces qui deviendraient « pires et pires et pires ». De même quand les autorités françaises valident la conservation massive de données personnelles par les FAI au nom de la « sécurité nationale ». Puis encore quand le patron du FBI considère le chiffrement comme « un problème urgent de sécurité publique ».
Parfois, même les entreprises s’y mettent : quand Apple refuse en 2016 de développer une backdoor pour le FBI, la firme retourne le discours sécuritisant et se justifie par « la sécurité de données de centaines de millions de personnes » qui seraient « en état de siège ». Dans la même veine en 2018, Tim Cook affirme à Bruxelles que nos informations personnelles sont « transformées en armes contre nous avec une efficacité militaire », et l’on voit Apple utiliser des arguments de vie privée pour opérer un spectaculaire black-out dans les QG de Facebook et Google.
Vous l’aurez compris, la sécuritisation est aussi là quand Donald Trump déchaîne le feu et la fureur sur Huawei par les simples mots de « sécurité nationale ». Toute la force du concept s’expose quand l’on voit que des entreprises non américaines comme ARM, Panasonic et Toshiba, pourtant non concernées par le décret de Trump, ont emboîté le pas en se détournant de la firme chinoise.
L’école de Copenhague avertit que la sécuritisation est un jeu dangereux, prompt à outrepasser les gardes fous de la politique normale. Pour Wæver et ses collègues, la gestion des problèmes doit le plus possible relever du débat politisé standard, au lieu d’agiter constamment le drapeau de la menace existentielle. En attendant que nos décideurs fassent preuve de sagesse, nous autres citoyens pouvons apprendre à faire preuve de recul lorsque l’on voit dégainer l’argument sécuritaire.
Aux États-Unis, les quartiers résidentiels les plus aisés ne sont pas toujours les mieux pourvus en caméras de vidéosurveillance publiques. C’est pourtant dans ces quartiers que se développe une nouvelle forme de surveillance, popularisée notamment par le succès de Ring, la sonnette vidéo d’Amazon, explique le journaliste Alfred NG (@alfredwkng) sur Cnet (@cnet).
A l’origine Ring est une startup ukrainienne rachetée en janvier 2018 par Amazon pour un milliard de dollars. Elle fait partie des nombreux investissements que l’entreprise américaine a réalisés pour structurer et diversifier son offre de produits connectés domestiques. Moins connus que l’emblématique assistant vocal Alexa, des dizaines de milliers d’Américains ont pourtant équipé leur porte d’entrée de cette sonnette vidéo qui ne se déclenche pas seulement quand on sonne, mais aussi quand elle détecte un mouvement. La caméra ne surveille pas que ceux qui cherchent à venir chez vous… mais également les mouvements de la rue ou de la cour devant votre domicile. Pour tout bon défenseur de la liberté individuelle, cette épidémie de caméras privatives ne devrait pas prêter à discussion… sauf qu’elles ne sont pas si privatives qu’annoncées et que la somme de ces actes individuels n’est pas sans conséquence sur la société.
D’une manière surprenante, nombre de services de police américains ont largement promu ces nouveaux objets auprès des habitants, en proposant même des réductions voire un équipement gratuit… Cette promotion un peu particulière n’était pas sans contrepartie : la police a promu l’équipement en échange d’un accès aux vidéos enregistrés par les caméras (un accès qui n’est pas automatique, mais qui se fait sur demande de la police). Ring s’est pourtant défendue de promouvoir ces offres. Les clients de Ring ont le contrôle de leurs vidéos, a déclaré récemment l’enseigne. Ils décident seuls de partager ou non leurs enregistrements et s’ils veulent acheter ou pas un service de stockage des enregistrements (à partir de 3$ par mois). Si Ring a offert des appareils à des services de police ou à des associations, Ring ne soutient pas de programmes qui obligent les utilisateurs à partager leurs vidéos avec d’autres, s’est défendue la marque. Mais dans les faits, rapporte Alfred NG, ce n’est pas exactement ce qu’on constate…
Aux États-Unis, plus de 50 services de police locaux se sont associés à Ring pour promouvoir le service, souvent en échange d’un accès aux images dans des zones où la police est souvent dépourvue de moyens de surveillance. Autant de caméras qui permettent à la police de bénéficier de nouvelles sources d’enregistrement vidéo, tout en proposant un service visant à tranquilliser les usagers. Ceux-ci bénéficient également d’une application sociale de partage des vidéos des caméras baptisée Neighbors (Voisins). Cette application (qui aurait déjà plus d’un million d’utilisateurs) permet de partager, regarder et commenter des vidéos et des informations sur la sécurité des quartiers. On y croise bien sûr des vidéos de vols et de crimes, des vidéos de comportements suspects ou délictueux, des vidéos d’incidents urbains…
Pour Mohammad Tajsar avocat de l’American civil liberties union (@aclu), nous avons là « un mariage parfait entre forces de l’ordre, particuliers et grandes entreprises pour créer les conditions d’une société dont peu de gens voudraient faire partie ». Sur Ring, la police a accès à un tableau de bord où elle peut demander des séquences filmées à des moments précis sur requête auprès des utilisateurs ou directement auprès de Ring.
Carte montrant la densité des caméra vidéos Ring à BloomfieldÀ Bloomfield, New Jersey, le quartier est presque entièrement couvert de caméras. En 2017, le responsable de la police de Bloomfield avait tenté de lancer un programme de vidéosurveillance volontaire. À l’époque, 442 lieux équipés de caméras s’étaient inscrits, surtout des entreprises. Aujourd’hui, il estime que le réseau Ring sur Bloomfield représente un accès à plus de 4000 caméras ! Pire, rapporte Cnet : installer un plan de vidéosurveillance en ville est souvent compliqué ! Il faut décider où les implanter, faire voter la proposition au Conseil municipal… pour une technologie où chaque caméra coûte encore très cher et dont le rapport efficacité/coût peut-être très discuté (voir Vidéosurveillance : où avons-nous failli ?). Or, Ring permet à la fois d’économiser l’argent public et surtout de contourner le processus démocratique qui décide de son installation… Le réseau de vidéosurveillance n’a plus besoin d’une décision collective ou publique pour devenir effectif !
À Mountain Brook, Alabama, le responsable de la police explique d’ailleurs qu’il n’a désormais plus besoin d’un réseau de vidéosurveillance public ! À Hammond, Indiana, la ville a subventionné l’achat de caméra avec l’aide de Ring : les 500 caméras sont parties en une semaine ! 600 autres ont été installées grâce à un programme de réduction proposé par la ville. Pour l’avocat de l’ACLU, « le public subventionne les atteintes à la liberté en agissant ainsi ». À Houston, la police a lancé un concours pour gagner des caméras à condition que les lauréats acceptent d’ouvrir un accès à la police lorsqu’elle en ferait la demande… Et dans plusieurs villes, quand 20 personnes s’inscrivent, Ring offre une caméra ! Pour le juriste Eric Piza, la police agit désormais dans l’intérêt d’entreprises commerciales (qui se rémunèrent surtout sur l’abonnement mensuel pour stocker les images). À Bloomfield pourtant, les gens n’ont pas inondé d’images la police. Les demandes de la police restent souvent sans réponses, sauf lorsque les agents se déplacent pour les demander en personne… dans ce cas, il est souvent plus difficile de refuser !
En décembre dernier, Ring a envisagé introduire une technologie de reconnaissance faciale pour ses sonnettes, permettant de reconnaître des personnes suspectes et d’en alerter directement la police. Mais la proposition n’a pas été très bien reçue… Amazon qui développe son propre logiciel de reconnaissance faciale, Rekognition (que l’entreprise vend aux forces de l’ordre) a rencontré également une forte contestation, notamment du fait des erreurs et des biais de genres, de classes et de race de ces outils. Mais malgré les contestations externes comme internes, le récent conseil d’administration d’Amazon a rejeté l’abandon du logiciel. Cela n’empêche pas dès à présent la police, elle, d’utiliser les technologies qu’elle souhaite sur les vidéos récupérées depuis Ring, comme celles lui permettant de lire et reconnaître les plaques minéralogiques des voitures suspectes…
Brian X Chen (@bxchen), responsable de la rubrique Tech Fix pour le New York Times revient sur le développement des réseaux de surveillance de quartiers aux États-Unis, comme Nextdoor, Streety ou Citizen (des réseaux sociaux locaux de surveillance de quartiers), trois des applications parmi les plus téléchargées aux États-Unis. Si ces applications ne reposent pas sur la vidéosurveillance, elles dispensent souvent des alertes préoccupantes dès que quelque chose d’inquiétant se déroule dans le quartier où vous habitez. Le problème, estime le journaliste du New York Times, c’est que ces applications sont particulièrement anxiogènes, alors même que la criminalité n’a cessé de chuter ces dernières années… Comment ne pas succomber à la paranoïa en les utilisant ? Et ce d’autant que Citizen ou Neighbors de Ring notifient par défaut sur leurs applications les incidents signalés dans le quartier sur les 30 derniers jours, comme pour rendre chaque quartier plus criminogène qu’il n’est. Pour s’en prémunir, le journaliste recommande de changer ce paramètre par défaut pour ne faire s’afficher que les incidents du dernier jour. De désactiver les notifications et de ne les utiliser qu’en cas de besoin. Les promoteurs de ces applications soulignent néanmoins que sur Ring comme sur Nextdoor, l’essentiel des signalements ne concerne pas la criminalité ou la sécurité, mais plutôt des animaux perdus ou des rues en travaux…
Pourtant, les solutions proposées par Brian Chen sont peu satisfaisantes : elles remettent toujours la responsabilité sur l’utilisateur final, sans interroger les choix par défauts que proposent ces systèmes. Ces entreprises proposent des outils par nature anxiogènes qui, par leurs choix de conception mêmes, renforcent l’angoisse de ceux qui les utilisent. Sous prétexte de liberté individuelle, ils ont un impact direct sur nos libertés collectives… Le choix des individus s’impose à tous les autres, sans offrir aux autres le moindre recours pour s’y opposer…
Le panopticon sécuritaire d’Amazon annonce déjà ses prochaines extensions. Un brevet, repéré par Quartz, projette de proposer prochainement une surveillance par drone des habitations. Et de nouveaux produits Ring sont annoncés : notamment des caméras embarquées pour les voitures… En janvier 2019, The Intercept avait révélé que des employés de Ring était capables de regarder des images en direct à partir des caméras de leurs clients (une information démentie par l’entreprise, mais maintenue par le journal d’investigation), soi-disant pour permettre aux employés d’aider les algorithmes à mieux catégoriser les objets – et ce alors que Ring assure ne pas utiliser d’outils de reconnaissance d’image…
La mise en réseau de fonctions de surveillance privatives en transforme assurément la nature et la puissance. Les capacités d’affiliation proposées par Amazon à la police ou aux utilisateurs de Ring sont de puissants leviers pour conquérir et élargir le public qui a recours à ces outils, normalisant insidieusement la vidéosurveillance ainsi que la surveillance de voisinage. La promotion et la subvention publique également. Pour le professeur Chris Gilliard (@hypervisible), de telles plateformes sécuritaires favorisent le racisme et l’intolérance, explique-t-il sur Vice. Vice, qui a fait une rapide recension de vidéos postées sur l’application sociale de Ring note qu’une majorité d’entre elles sont clairement racistes alors qu’elles concernent des délits souvent mineurs… beaucoup par exemple se plaignent de livreurs qui ne sont pas suffisamment précautionneux dans leur travail.
Chris Gilliard parle de Digital Redlining pour désigner ces pratiques. Le Redlining fait référence à une pratique discriminatoire consistant pour les banques, les assurances et les services de santé de refuser d’investir dans certains quartiers (bien évidemment les plus pauvres et les plus noirs des États-Unis) délimités d’une ligne rouge par les investisseurs… Si la pratique a été interdite dès la fin des années 60, le numérique lui donne une nouvelle réalité, souligne Gilliard. En 2016, une enquête de Bloomberg avait révélé qu’Amazon avait tendance à refuser l’accès à la livraison dans la journée à la plupart des quartiers de minorités. À Boston, le quartier noir de Roxbury, était le seul où la livraison le jour même n’était pas disponible, alors que tous les quartiers qui entouraient Roxbury, eux, étaient livrés dans la journée ! Pour Gilliard, plus de caméras ne signifient pas plus de sécurité, en tout cas pas pour les communautés les plus marginalisées. Plus de caméras, c’est d’abord moins de sécurité pour ceux qui sont contrôlés par celles-ci. Et le professeur de rappeler qu’il y a une différence très significative entre une alarme qui se déclenche lors d’une intrusion à son domicile et un système qui surveille et enregistre en permanence tous types de signaux dont l’interprétation est libre…
Un récent rapport de l’ACLU qui faisait le point sur le développement de la vidéosurveillance aux États-Unis recommande que les acteurs du secteur de l’analyse vidéo ne puissent être autorisés à déployer des fonctions d’analyse sans approbation législative, sans contrôle extérieur et sans analyse d’impact de leurs effets sur les droits civils notamment. Depuis 2016, l’ACLU a d’ailleurs lancé CCOPS, une initiative de projets de règlements locaux pour permettre aux communautés d’exercer un contrôle sur les méthodes de surveillance de la police et obtenir plus d’information sur les modalités de surveillance utilisées par les forces de police.
Un exemple qui montre bien qu’il n’y a pas que la question de la reconnaissance faciale qui est problématique avec la vidéosurveillance. Le contrôle démocratique du déploiement même du réseau à l’heure de son ubérisation par Ring l’est tout autant !
Hubert Guillaud
Attendu depuis 15 ans, puis testé entre décembre 2016 et mai 2018 dans 9 départements français, le dossier médical partagé (DMP) est désormais officiellement lancé depuis ce mardi 6 novembre sur tout le territoire Français.
Avis d’expert Proofpoint – Présenté comme un nouvel outil au service des patients et des professionnels de santé, il contiendra de nombreuses informations confidentielles telles qu’antécédents médicaux et familiaux, allergies, groupe sanguin, vaccins, traitements, radios, analyses, comptes rendus opératoires, coordonnées de proches à avertir, mais aussi dernières volontés (dons d’organe, refus de décès à l’hôpital, etc.). L’objectif étant d’obtenir une meilleure prise en charge des patients et d’améliorer la coordination entre les différents praticiens.
Pour autant, l’arrivée de ce dossier personnel numérique soulève quelques questions sur la confidentialité des données. D’autres pays sont également concernés par le sujet. Les Australiens ont par exemple jusqu’au 15 novembre 2018 pour décider d’adhérer ou non à l’initiative « My Health Record » qui permettra aux fournisseurs de soins de santé d’accéder instantanément en ligne aux informations importantes relatives aux patients. Dans le même temps, la cybercriminalité est la menace qui connaît la croissance la plus rapide dans le monde, et le secteur de la santé en Australie est la principale cible du continent, selon un rapport publié en juillet par le Commissaire australien à l’information.
Les questions de sécurité sont plus que jamais au cœur du sujet. Rien qu’en juillet dernier, ce sont 1.5 million de Singapouriens qui ont été victimes d’une cyberattaque et se sont vu dérober leurs dossiers médicaux. Il s’agissait d’une attaque sans précédent car elle visait également le Premier ministre Lee Hsien Loong.
Aujourd’hui, les acteurs de la menace, plutôt que d’attaquer l’infrastructure des réseaux, ciblent directement les utilisateurs afin de s’introduire dans les systèmes et accéder aux informations des patients. Proofpoint, expert en cybersécurité l’assure, l’un des axes importants d’une stratégie efficace de protection des emails consiste à déployer des protocoles d’authentification des courriers électroniques tels que DMARC et des défenses contre les domaines ressemblants. Déployer une solution CASB permet aussi d’améliorer la visibilité des applications sur le cloud, des services et des add-ons utilisés par les employés.
En France, le gouvernement assure que les informations médicales du patient sont hautement sécurisées car toutes les données seront chiffrées et la France reste un des pays qui accorde le plus d’importance à la sécurité des données de santé à caractère personnel.
L'annonce sème le doute sur la sécurité des données génétiques.
Avec les tests d'ADN effectués chez soi, une nouvelle opportunité se présente pour les enquêteurs de police. Aux États-Unis, le FBI est récemment entré en collaboration avec Family Tree DNA, une entreprise qui propose à tout un chacun de prélever son propre ADN pour le faire analyser. Ces kits prêts à l'emploi se composent de deux bâtonnets pour prélever l'ADN à l'intérieur de la joue. Le kit est ensuite renvoyé à l'entreprise pour être analysé et établir l'arbre généalogique ainsi que l'origine du volontaire.
Pour la première fois, une société privée de ce secteur a accepté de mettre volontairement à disposition des forces de l'ordre une partie de ses données. Néanmoins, le FBI ne peut pas parcourir librement la base de Family Tree. Dans un communiqué, l'entreprise détaille sa relation avec le Bureau d'investigation en précisant n'avoir signé aucun contrat et dit travailler au cas par cas pour comparer des échantillons à sa bibliothèque de données. Elle revendique avoir contribué à moins de dix enquêtes.
Depuis deux ans déjà, la police et le FBI ont utilisé des données généalogiques publiques pour élucider des affaires non résolues. Le «Golden State Killer», un tueur en série soupçonné de douze meurtres et cinquante et un viols entre 1974 et 1986, a pu être arrêté en avril 2018. L'ADN collecté sur les scènes de crime a pu être confondu avec celui d'un membre de sa famille.
À LIRE AUSSI La maltraitance des enfants pourrait bien laisser des traces sur l'ADN
Enjeu de sécurité
Le rapprochement entre les deux organismes a engendré beaucoup de doutes sur la privatisation des données. «Globalement, je me sens abusée, je sens que ma confiance en tant que client a été trahie», a déclaré Leah Larkin, une généalogiste génétique de Livermore, en Californie, à BuzzFeed News. Le site offre à ses adeptes la possibilité de refuser d'apparaître dans les résultats dont peut se servir le FBI, mais cela implique que la fonctionnalité phare du test –retrouver des proches– n'est plus disponible.
Un généalogiste a relevé d'après un sondage informel réalisé aux États-Unis et en Europe que 85% des personnes interrogées sont à l'aise avec l'idée que les forces de l'ordre utilisent leur ADN.
Family Tree annonce recenser 1.021.774 entrées dans sa banque de données. À titre de comparaison, ses deux principaux concurrents dans le monde, Ancestry.com et 23andMe en possèdent respectivement dix millions et cinq millions.
Le Wi-Fi a mal vieillit, explique la journaliste Ava Kofman (@eyywa) pour Real Life. Si nous sommes de plus en plus conscients de la surveillance dont nous sommes l’objet quand nous naviguons sur le web ou que nous utilisons nos smartphones, nous avons tendance à oublier que c’est également le cas lorsque nous utilisons une connexion Wi-Fi pour nous connecter. Il faut dire que quand le protocole Wi-Fi a été adopté, en 1997, nul n’imaginait que toutes nos connexions et tous nos objets l’utiliseraient.
Les failles et limites du protocole sont nombreuses et documentées. Nombre d’artistes les ont illustrées, comme le Wifi Data Safari de Brannon Drosey et Nick Briz ou Astro Noise de Surya Mattu qui montrent les transmissions non chiffrées qui transitent par les ondes. Ou encore le Wi-Fi Whisperer de Kyle McDonald, un petit robot qui murmure les activités qu’il écoute à voix basse tout comme Snoopi de Jiashan Wu. On pourrait ajouter à cette liste, le dispositif Hommes en gris de Danja Vasiliev et Julian Oliver…
Nous laissons tous des traces quand nous nous déplaçons : nos ordinateurs envoient en permanence leur identité aux réseaux Wi-Fi environnants pour trouver un réseau auquel il s’est déjà connecté. En échange, il est donc possible d’obtenir l’identité unique de l’ordinateur, du smartphone ou du dispositif qui cherche à se connecter, et surtout la liste des réseaux Wi-Fi auxquels il s’est déjà connecté. En structurant les requêtes, il est donc facile de demander l’historique de connexion et d’en déduire les lieux d’où le dispositif se connecte le plus souvent ! Autant d’informations extrêmement personnelles dont le marketing raffole ! Les noms des réseaux Wi-Fi que vos appareils gardent en mémoire indiquent ainsi très facilement quels endroits vous fréquentez (hôtels, universités, entreprises, conférences…) ce qui peut en dire long sur qui vous êtes et ce que vous préférez, surtout quand on dispose d’une liste des réseaux Wi-Fi existants pour réattribuer leurs noms à des emplacements, à l’image des 500 millions de réseaux sans fil collectés par Wigle.net (qui ne sont qu’une partie de ceux que collectent en permanence votre ordinateur ou votre téléphone).
L’Agence européenne chargée de la sécurité des réseaux et de l’information rappelait les risques liés au protocole Wi-Fi notamment que la collecte des réseaux Wi-Fi enregistrés sur nos appareils pouvait être utilisée pour relier des personnes entre elles en comparant les noms des points d’accès qu’ils utilisent ou encore de suivre les déplacements d’un appareil, comme un GPS, selon les requêtes qu’il envoie pour se connecter à un réseau et la force du signal qu’il émet.
Pour les artistes Dorsey et Briz, « les gens ne savent pas comment fonctionne la technologie, c’est pourquoi personne ne songe à exiger un meilleur moyen de se connecter ». En l’absence de pression publique, il y a peu d’incitations à proposer de meilleurs protocoles de connexion ! La commodité l’emporte toujours sur la vie privée. « Déjà qu’il est difficile de convaincre les gens de boycotter les géants de la technologie, il est encore plus difficile d’imaginer un soulèvement contre le Wi-Fi ! »
Des solutions s’esquissent. Des experts travaillent à reconcevoir un protocole sans fil qui soit « privacy by design », notamment en proposant de générer des adresses aléatoires pour nos dispositifs numériques… D’autres proposent des techniques d’obfuscation – comme Shenanigans.io imaginé par l’artiste David Rueter – pour ajouter du bruit aux requêtes auxquels répondent nos terminaux en générant de fausses adresses de réseaux auxquels ils se seraient connectés.
En attendant, la seule solution qu’il nous reste est de couper notre Wi-Fi quand nous ne sommes pas connectés à un réseau connu. Il existe pour cela quelques applications, comme Smart Wi-Fi Toggle. Reste à se demander pourquoi ces fonctionnalités ne sont toujours pas activées par défaut pour gérer votre connexion sans fil…
Mark Risher, responsable chez Google, a récemment pris la parole pour mettre en garde contre les trois fléaux principaux qui polluent les messageries et mettent en danger les utilisateurs.
Pour Mark Risher, il y a actuellement 3 tendances qui mettent principalement en danger les utilisateurs sur Internet, tous sont directement véhiculés par les messageries.
La principale menace selon l'expert de Google réside encore et toujours dans le phishing (hameçonnage), une pratique qui continue de faire des millions de victimes chaque année dans le monde. Le système est assez simple à la base : vous recevez un courriel d'un organisme de confiance (en apparence) de type banque, prestataire d'énergie, assurance, prestation sociale... Qui vous demande de mettre à jour votre dossier avec un lien. Le lien renvoie vers une copie du site associé et demande ensuite à l'utilisateur de s'identifier... Les données sont alors collectées et récupérées par des pirates qui les exploitent en fonction de leur nature...
La situation est d'autant plus préoccupante que les internautes continuent d'adopter des pratiques à risques. En effet, ces combinaisons d'identifiants et mots de passe se retrouvent à la vente sur le darkWeb, et Mark Risher déplore ainsi qu' "On constate que 17% de ces combinaisons sont réutilisées par les internautes. C’est souvent la cause de multiples piratages et vol de données, qui multiplient ainsi les risques par 10 de nouveaux piratages, tandis que le vol d’identifiants, c’est x 40".
Et le phishing adopte de nouvelles formes de plus en plus complexes pour se rendre plus crédible et efficace avec l'apparition du Spearphishing et du Whaling.
Désormais, les pirates exploitent l'ensemble des données qu'ils peuvent collecter sur leur cible pour personnaliser les attaques. L'accès aux réseaux sociaux via des bases de données piratées consultables en accès libre permet de monter des dossiers élaborés pour mieux cibler les victimes en les appâtant avec des informations personnelles laissant bien supposer que l'interlocuteur est effectivement fiable. Les emails arborent ainsi parfois directement des vrais numéros de dossier, les derniers chiffres de votre carte bancaire, le nom de votre employeur...
Les individus ne sont également plus les seules cibles des pirates. En visant des employés, les pirates peuvent également plus facilement atteindre des sociétés entières, créant des brèches pour s'infiltrer dans les réseaux d'entreprise.
Le Whaling est une pratique encore plus redoutable : un pirate se sert d'éléments récupérés sur la toile pour se faire passer pour un supérieur ou un collègue et prétexte une situation urgente pour demander la communication de mots de passe ou de données sensibles.
Comme dans bien des cas, ces pratiques misent globalement sur un maillon faible : l'humain qui reste le principal fautif dans les cas de piratage par courriel.
Outre l'adoption de comportements plus sécuritaires, il est possible de limiter les risques en optant pour une protection efficace comme le service anti-spam Altospam (une société française d'ailleurs, qui propose ce service très efficace depuis plus de 15 ans) mais vous pourrez également utiliser l'antispam (s'il existe) intégré à votre suite de sécurité ou dans un antivirus évolué, même s'ils sont généralement moins efficaces qu'un outil dédié (comme c'est le cas pour les outils antimalwares également). En effet, certains éditeurs comme Google ou Altospam ont développé des solutions permettant de mieux traiter automatiquement les tentatives de phishing et autres attaques. En n'affichant plus ces messages toxiques à l'utilisateur, le risque de faire l'objet d'un piratage ou d'un vol de données est ainsi réduit.
Malgré tout, on ne saurait trop conseiller deux éléments principaux pour limiter les risques : ne jamais cliquer dans un lien intégré à un email, multiplier les logins et mots de passe (un différent à chaque fois est la meilleure solution) tout en les changeant régulièrement.
En libre téléchargement au format PDF, un cahier de vacances pour les 7-11 ans sur la sécurité numérique.
NDLR : Il parait qu'officiellement en France il ne faut plus dire "fake news", mais infox. Si si si, c''était au Journal officiel, donc, ce n'est pas une fake news ... heu je veux dire une infox.
Vous avez craqué pour le dernier iPhone ou décidé de changer de PC ? Avant de vendre vos anciens appareils sur des sites comme Leboncoin ou PriceMinister, ou de les offrir à vos proches, prenez soin d’effacer vos données personnelles.
Le marché de l’occasion se porte bien. Si votre appareil n’est pas trop dépassé et qu’il fonctionne parfaitement, vous trouverez sans peine des acheteurs sur les sites de petites annonces ou de vente aux enchères.
Mais avant de le céder à un inconnu ou à un membre de votre famille, quelques précautions s’imposent.
Coordonnées bancaires, mots de passe, historiques de navigation, documents professionnels, photos, e-mails… le disque dur d’un ordinateur, ou la mémoire d’un smartphone fourmillent de données que vous ne souhaitez pas voir tomber entre des mains étrangères.
Pour une tablette ou un téléphone, le plus simple consiste souvent à revenir aux paramètres d’usine, ce qui efface l’ensemble des données et des applications que vous aviez installées.
Mais si vous préférez laisser en place des applications ou certains réglages pour ne pas livrer un appareil complètement nu, suivez les étapes de cette check-list.
La lecture du livre du sociologue Laurent Mucchielli (@lmucchielli), Vous êtes filmés ! Enquête sur le bluff de la vidéosurveillance, m’a profondément déprimé. Elle m’a profondément déprimé parce qu’elle montre que ceux qui n’ont cessé de dénoncer l’inutilité de la vidéosurveillance n’ont absolument pas été entendus. Ils ont été laminés par le bulldozer d’une désinformation sans précédent… alors même que les constats initiaux sur l’inefficacité de la vidéosurveillance (voir notamment les articles de Jean-Marc Manach de 2009 et 2010 ou encore le dossier que consacrait déjà en 2010 Laurent Mucchielli sur son blog) n’ont cessé d’être confortés par les rares évaluations qui ont eu lieu. Après des années de développement, la vidéosurveillance, rapportée à son coût, ne sert toujours à rien et pourtant, elle s’est imposée partout. Elle est devenue si banale désormais, qu’on s’étonne plutôt quand une collectivité locale n’en est pas équipée. Pourtant, ces années d’équipements, ces ces centaines de millions d’euros dépensés, n’ont pas changé le constat initial, celui pointé depuis très longtemps par les chercheurs : à savoir que la vidéosurveillance sur la voie publique ne produit rien. Le retour sur investissement de cette technologie est scandaleux. Le taux « d’utilité » aux enquêtes comme le taux de « participation » à l’élucidation de voies de fait est quasiment inexistant. Elle ne parvient même pas à combattre le sentiment d’insécurité que les caméras promettaient de résoudre comme par magie.
Une réforme essentielle de protection des données personnelles entre en vigueur demain. Nous sommes tous inquiets. Mais faisons-nous le nécessaire?
Vos données personnelles sont pillées sur Internet. La donne va-t-elle changer dès ce vendredi en Europe? Ce 25 mai, entre en vigueur le Règlement général de protection des données personnelles (RGPD) qu’il vous faudra valider, un par un, service après service.
Pour filer la métaphore, le New York Magazine a trouvé la bonne formule: c’est comme une colonie de termites habitant depuis longtemps dans votre maison et qu’on obligerait à se présenter à vous, un à un, et à vous demander poliment la permission de rester...
Pourquoi cela reste obscur
Depuis plusieurs jours, vous recevez mails ou alertes vous demandant de valider le RGPD. Cela vous concerne de près, beaucoup plus intimement que vous ne l’imaginez.
Facebook, WhatsApp, Airbnb, associations, collectivités, banque: dès vendredi, aucun de ces acteurs, jusqu’au plus petit, ne pourra traiter vos données personnelles sans votre consentement "clair et explicite". Voilà pour le texte. Dans les faits, c’est plus obscur.
"C’est normal", décrypte Hervé Michelland, expert en sécurité informatique (1). La stratégie de la plupart des entreprises dont le business est de commercialiser votre vie privée, c’est de tout faire pour opacifier les choses." Circulez, y’a rien à voir.
Un business lucratif
La collecte de nos données personnelles est un business mondial extrêmement lucratif, notamment chez les Gafa (Google, Apple, Facebook, Amazon).
Selon la Commission européenne, la valeur de l’économie de la donnée pourrait passer à 739 milliards d’euros en 2020 (285 milliards d’euros en 2015.
"En naviguant sur Internet, en utilisant des services sur nos smartphones, on se trouve dans un eco système dont le but est de collecter des masses d’informations à caractère personnel, comme un mineur (ou un termite donc, ndlr) et de les monétiser. Dites-vous bien que quand un service est gratuit sur Internet, c’est que le produit c’est vous."
Faut-il donc se plonger dans la validation du RGPD que chaque service nous envoie en ce moment?
"C’est comme se poser la question d’acheter un appartement et de se demander si on doit s’intéresser à la vie du quartier. Évidemment, oui", conseille Hervé Michelland. Il s’agit de notre vie privée!"
Que risquent associations, entreprises, etc.?
"Si elles exploitant vos données sans consentement, la sanction est colossale, jusqu’à 4% du chiffre d’affaires mondial. Et cela concerne non seulement les entreprises, associations, etc., mais aussi leurs sous-traitants.
"Et ce sera à l’entreprise d’origine de vérifier que ses sous-traitants appliquent bien les règles, sans cela les deux seront condamnées », explique Hervé Michelland.
Faut-il se méfier de tout?
A des degrés divers, nous sommes tous un peu perdus dans cette jungle. L’expert rappelle deux points importants. "D’un, sur Internet la notion de confidentialité n’existe pas. Deux, Internet n’oublie jamais rien. Quand vous avez ceci à l’esprit, et que vous l’utilisez avec prudence, il ne peut rien vous arriver de désagréable."
En matière de droit à l’oubli, le RGPD apporte des progrès. "Google vient de mettre à disposition un formulaire (2) où l’on peut consulter toutes les infos accumulées sur nous, et offre la possibilité de les purger."
Sur Internet, on sait tout de vous ; noms de vos enfants ou petits-enfants (avec leurs photos), capacité d’emprunt, numéro de sécu, données bancaires, adresse, plats préférés, magasins de prédilection, déplacements, etc.
Alors, laisserez-vous les termites continuer à piller votre vie privée?
Var-Matin 24 mai 2018
Une faille sur le système Intel AMT permettrait de prendre le contrôle de beaucoup d'ordinateurs récents.
(CCM) — Moins d'une minute serait nécessaire pour exploiter la nouvelle faille découverte. Elle concerne le système Intel Active Management Technology - Intel AMT - qui équipe bon nombre d'ordinateurs. Grâce à cette faille, des hackers pourraient contrôler à distance les machines ciblées.
L'annonce de la découverte vient d'être faite par F-Secure, une société finlandaise renommée dans le milieu de la cybersécurité. La plupart des ordinateurs équipés de processeurs Intel et mis en vente ces dernières années serait concernée par cette faille qui succède à la dernière vague de révélations sur le manque de fiabilité des CPU du géant américain. Cette fois, c'est le système Intel Active Management Technology qui est mis en cause. Cet outil est couramment utilisé par les gestionnaires de parcs informatiques pour accéder aux machines à distance et réaliser des opérations de maintenance.
Comme l'expliquent nos confrères du Figaro, la simplicité de la faille est stupéfiante. En tapant « CTRL + P » au démarrage de l'ordinateur et en entrant le mot de passe « admin » dans l'interface Intel MEBx qui se lance, on accède à l'activation de l'accès à distance. Une fois la manipulation réalisée en quelques secondes, un hacker peut surveiller les activités de la machine, réaliser des opérations ou se connecter au réseau.
On comprend donc que la faille d'Intel AMT révélée par F-Secure nécessite un accès physique à l'ordinateur, ce qui devrait limiter les risques de propagation. Mais cela n'enlève rien au risque potentiel de la vulnérabilité. Pour se protéger, l'idéal est de ne jamais se séparer de son ordinateur portable, notamment dans un lieu public, ou encore de modifier le mot de passe par défaut du système Intel AMT.