La protection des données numériques

La protection des données numériques

Après les divers scandales des cinq dernières années

  • Piratage des données personnelles de 800 000 clients chez Orange en 2014,
  • 1,5 milliard de comptes piratés chez Yahoo, fin 2014 et révélé en 2016,
  • Ashley Madison et ses millions de clients infidèles à l’été 2015,
  • Les données de 57 millions de personnes dérobées chez Uber en octobre 2016,
  • 143 millions de clients touchés par un acte de piratage à Equifax en septembre 2017,
  • Facebook-Cambridge Analytica en mars 2018,
  • La controverse des enceintes connectées d’Amazon (Alexa) et Google (Home) qui transmettent des conversations privées sur le réseau, courant 2018,
  • Les données personnelles d’un demi-million de citoyens, issues de la base Ariane, qui recense les coordonnées de proches de personnes en déplacement à l’étranger à contacter en cas d’urgence, dérobées au ministère des Affaires étrangères, le 5 décembre 2018,
  • Les autorités de Baltimore, dans le Maryland ( Etats-Unis), ont découvert le 7 mai 2019 que leur ville était la cible d’un rançongiciel RobbinHood, un programme malveillant qui consiste à bloquer l’accès à des fichiers informatiques tant qu’une somme d’argent n’a pas été versée,
  • Vol de données de 106 millions de clients américains et canadiens de la banque Capital One Financial annoncé lundi 29 juillet 2019,

il y a une prise de conscience de plus en plus forte quant au besoin de protéger ses données personnelles. 

Mais c’est surtout l’affaire SNOWDEN, ancien agent de la CIA et consultant de la NSA, lanceur d’alerte, avec Wikileaks, où il décrit par le menu la surveillance mondiale d’internet, mais aussi des téléphones portables et autres moyens de communications, principalement par la NSA, que le grand public sort de la naïveté sur l’utilisation des données. Ces révélations ont et continuent de contribuer à faire connaître au grand public l’ampleur des renseignements collectés par les services secrets américains et britanniques.

La protection des données personnelles passe par une vigilance accrue de  :

  • chaque individu qui va décider de ce qu’il accepte, ou pas, de divulguer sur lui, 
  • chaque titulaire d’un appareil numérique connecté (ordinateur, tablette, smartphone, objets connectés…) ou d’un compte dans le cloud, et qui devra s’assurer de la protection des données personnelles en sa possession, les siennes, comme celle de tiers, que ce soit à titre personnel ou professionnel. 

Le Règlement Général de la Protection des Données (RGPD), mis en application le 25 mai 2018 au sein de l’Union Européenne, vient renforcer et unifier le droit de chaque citoyen européen de contrôler ses données personnelles et l’utilisation qui en sera faite, avec trois exigences : 

  • la confidentialité : anonymat d’une donnée,
  • intégrité : interdiction de modifier les données,
  • authenticité : vérification que les données appartiennent bien à la bonne personne. 

Ces trois objectifs sont couverts, au niveau informatique, par la cryptographie qui fournit les outils pour protéger l’information. 

Petits rappels historiques sur la protection des données

Historiquement, la protection des données provient du monde militaire avec le chiffrement / le codage de messages : 

  • la scytale spartiate, 
  • le carré de Polybius,
  • le traité des chiffres de Vigenère,
  • le cadran d’Alberti,
  • le code Sittler,
  • le chiffrement de Playfair,
  • le téléscripteur encodé avec le « chiffre de Vernam » pendant la prmière guerre mondiale,
  • la machine Enigma pendant la seconde guerre mondiale.

Puis elle est passée dans le public dans les années 1980

  • cryptage des chaînes de télévision privées à péage (dont la pionnière a été Canal +)
  • la carte à puce (carte téléphonique, carte bancaire, …, plus tard la carte vitale, puis la carte uSIM),
  • protocole https:// pour Internet,
  • le chiffrement RSA utilisé par le commerce électronique,
  • la blockchain née avec les cryptomonnaies.

Aujourd’hui, la cryptologie est devenue une matière scientifique à part entière, la cryptographie étant l’une de ses branches. 

La cryptographie du futur est portée par deux projets : 

  • Google Quantum upgrade, avec deux équipes, 
  • ATOS Quantum (en Europe).

Selon Ludovic PERRET, Maitre de conférence au Laboratoire d’informatique de Paris 6, l’ordinateur quantique est la “promesse d’une machine d’une puissance inconnue qui dépasse celle connue de toutes les machines dont on dispose aujourd’hui” rendant notre matériel actuel complètement obsolète. Sa mise en place révolutionnera la cryptographie et de nouveaux enjeux sociétaux apparaîtront quant à sauvegarde et la protection des données. 

Les conséquences de Wikileaks

Les révélations d’Edward SNOWDEN, entre 2013 et 2016, font prendre conscience à la masse populaire qu’un Etat est capable de surveiller tout le monde, tout le temps et partout. On est face à une surveillance de masse

Face à cela, des personnes soucieuses de leurs libertés individuelles, ont développé des outils cryptés qui nous permettent de nous protéger de cette surveillance de masse : 

  • Torproject.org : navigateur internet doté d’un VPN,
  • WhatsApp
  • Signal
  • Télégram

Les affaires qui suivent (notées en introduction de cet article), vont favoriser une réaction de l’opinion publique en faveur de la protection des données personnelles. Ainsi le scandale Cambridge Analytica, a provoqué une perte de confiance, voire une défiance, des utilisateurs de Facebook et Mark ZUCKERBERG a dû s’expliquer devant le Congrès Américain, ainsi que devant les médias et mettre en place des mesures correctives afin de sauvegarder son réseau social. 

La loi relative au renseignement, de 2015, “prévoit la mise en place de plusieurs mesures controversées sur le plan des atteintes à la vie privée, telles que l’installation chez les opérateurs de télécommunications de dispositifs, surnommés « boîtes noires », visant à détecter les comportements suspects à partir des données de connexion ; mais aussi des dispositions sur l’utilisation de mécanismes d’écoute, logiciels espions ou encore IMSI-catchers. Elle remplace la Commission nationale de contrôle des interceptions de sécurité (CNCIS) par une Commission nationale de contrôle des techniques de renseignement (CNCTR).” En fonction des sites visités et de la fréquence de ces visites, le système détermine si cette personne est « à risque » ou « un bon citoyen ». Le gouvernement n’a cessé de répéter vigoureusement que le système ne serait utilisé que pour traquer le terrorisme mais on imagine sans trop de mal ce qui pourrait en découler.

Courant 2017, il y a une levée de bouclier de la part d’une partie de Français face :

  •  au projet de loi de programmation militaire pour les années 2019 – 2025 prévoyant des modifications concernent tant les mesures individuelles de surveillance rattachables au territoire national, que les garanties procédurales. Après l’avis positif du Conseil d’État, le 4 mai 2018, les dispositions ont désormais été inscrites dans le Code de la sécurité intérieure. 
  • à la Base de Données TES (titres électroniques sécurisés) promulguée par voie de décret en 2016, qui compile les informations personnelles des titulaires de passeports ou de cartes d’identité : nom et prénoms, sexe, adresse du domicile, adresse mail, mais aussi la couleur des yeux, la taille, la photo, l’empreinte digitale, la date et lieu de naissance, la signature numérisée ou encore, les informations relatives à sa filiation. Sans oublier toutes les données relatives au titre lui-même : numéro du titre, date de délivrance, autorité de délivrance… Autant de données sensibles qui, centralisées en un seul dossier, transforment potentiellement l’État en “Big Brother” avec les problèmes liés à son utilisation, mais également au risque de piratage, car la concentration des données en un même lieu en fait une cible de choix. 

Pourtant, l’on constate qu’il y a une porosité de plus en plus grande entre : 

  •  la vie privée et la vie publique, 
  • la protection des données personnelles et l’utilisation des nouvelles technologies. 

L’apparition d’une zone grise, floue, entre protection et divulgation de données à caractère personnel

L’avènement des réseaux sociaux à partir de 2003 – 2004, avec MySpace, puis Facebook, puis l’essor des smartphones depuis l’iPhone en 2007 – 2008, les individus sont – en permanence – face à un arbitrage entre diffusion de données personnelles et protections de leurs données. 

En effet, les réseaux sociaux privilégient la conversation entre amis réels ou virtuels, avec le partage d’informations : photos de vacances, opinions, croyances, goûts littéraires, musicaux, cinématographiques… relations familiales, amicales…. date d’anniversaire, lieu d’habitation… Or, ce partage n’est pas forcément maîtrisé, et les filtres de diffusion pas toujours utilisés, voire mal employés. 

Les smartphones et leur module de géolocalisation permet de vous tracer et donc de connaître précisément les lieux que vous avez fréquenté. Ainsi, si vous avez déjà contribué à la notation ou aux avis sur Google, vous pourrez être sollicité pour donner votre avis sur chaque établissement fréquenté. Chaque mois, Google vous enverra également un récapitulatif de vos parcours, des nouveaux lieux visités, et du temps passé dans vos trajets. 

Les cartes de fidélité (en magasin) et le commerce en ligne récupèrent de l’information personnelle : 

  • nom, prénom, adresse postale,
  • numéro de téléphone,
  • articles achetés,
  • adresse e-mail,
  • etc.

leur permettant de vous adresser de la publicité ciblée sous la forme de : 

  • newsletters,
  • d’encarts publicitaires sur Google et/ou sur les réseaux sociaux,
  • SMS promotionnels.

Les enceintes connectées, Alexa, Google Home, ainsi que l’assistant vocal sur les périphériques mobiles (SIRI, OK Google…) écoutent en permanence vos conversations

Et paradoxalement, plus on donne de pouvoir aux utilisateurs, à travers la charte d’utilisation d’un service, de filtres de publication sur les réseaux sociaux… moins les gens les lisent ou les utilisent, comme si le simple fait que ce soit écrit quelque-part suffisait à nous protéger.  

Or, la directive européenne de 1995 sur le commerce électronique n’avait pas prévu ces usages. Il a donc fallu légiférer afin de protéger le consommateur. Un début de négociation a commencé en 2012 pour harmoniser les pratiques des différents pays européens, renforcer les droits des personnes, responsabiliser les acteurs traitant des données à caractère personnel, crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, et apporter un cadre pour les activités policières et judiciaires. 

Formateur, webmaster, référenceur et coach à | Site Web

Formateur en communication digitale
Créatrice et référenceur de sites WordPress
Photographe Google Street View Trusted

Laisser un commentaire