Le magazine Scientific American consacre son numéro de septembre à la vie privée et aux défis qu’elle adresse aux spécialistes de la sécurité. Parmi les nombreux articles qui le composent, quelques-uns nous ont semblé plus remarquables que d’autres. Survol.

Sécurité : la technologie ou les hommes ?

Dans une intéressante conversation à bâtons rompus entre les meilleurs spécialistes de la sécurité, Whitfield Diffie, responsable de la sécurité chez Sun, l’affirme : « d’ici 10 ans, ce que nous appelons la sécurité informatique aujourd’hui, n’existera plus. » Les raisons : le développement des web services et le développement de l’informatique dans les nuages qui permettront au réseau de faire bien mieux que ce que votre machine pourrait faire.

Soit, lui répond Art Gilliland de Symantec, reste que les consommateurs sont toujours très en retard dans la gestion de leur sécurité : ils sont le talon d’Achille des systèmes de sécurité. C’est à l’amélioration de la praticité de la sécurité que les sociétés qui vendent des logiciels de protection doivent travailler. Pour Patrick Heim de Kaiser, nous ne devons pas sous-estimer l’élément humain. Mais il n’est pas sûr que la technologie puisse le résoudre, explique Rahul Abhyankar de McAffee. « 98 % des données perdues sont le fait d’erreurs humaines et de ruptures de processus : le problème ne repose pas tant sur les pirates que de freiner ce pourcentage d’erreurs humaines », précise encore Art Gilliland de Symantec.

La production de logiciels pirates et de virus est devenue une industrie, ce qui change profondément le panorama du défi. Et l’anonymat des réseaux rend toujours plus difficile la chasse aux hackers, se plaint le responsable de McAffee. Sans compter que les pirates ne conduisent pas les attaques eux-mêmes, mais le font via les ordinateurs de milliers d’individus alors même que les sociétés concevant les antivirus et les logiciels de protection sont peut-être trop isolées les unes des autres, là où les hackers sont très organisés, regrette Martin Sadler, responsable des laboratoires des systèmes de sécurité d’HP.

Etonnamment, les responsables de la sécurité semblent peu attendre de l’amélioration de la sécurité des données passant par une meilleure éducation des consommateurs ou un meilleur design des systèmes de protection. Pour Martin Sadler toujours, les programmes éducatifs pour apprendre aux gens à mieux protéger leurs données sont inefficaces dans le temps et ne consistent qu’à dire : « mettez à jour vos antivirus ». Si les gens étaient plus conscients des conséquences de l’installation d’un programme du type économiseur d’écran ou de celles de l’ouverture d’une pièce jointe provenant d’une personne qu’ils ne connaissent pas – des programmes qui peuvent créer un accès total au système et aux données des utilisateurs – peut-être changeraient-ils de comportements ? Pour Steven Lipner de Microsoft, le seul moyen de répondre à ce problème consiste à renforcer l’authentification pour qu’ils voient avec qui ils traitent quand ils installent des applications, comme le propose déjà Microsoft avec Vista. Peut-être, lui répond Art Gilliland de Symantec, « mais le plus efficace disséminateur de virus reste notre réseau social : même si vous dites aux gens que ce site est dangereux, s’il propose des photos de Britney Spears nue, ils iront le voir ». Pour John Landwehr, d’Adobe, plutôt qu’essayer d’éduquer les internautes, nous avons à mieux protéger l’information en cryptant par exemple toute information qui sorte d’un ordinateur et en développant l’authentification de chacun.

Si dans 10 la sécurité informatique d’aujourd’hui n’existe plus, force est de constater, à les écouter, que les responsables de la sécurité d’aujourd’hui semblent avoir bien du mal à savoir par quel bout résoudre le problème humain. A croire que la technologie ne peut pas tout.

Les problématiques de vie privée sont différentes à travers le monde

Pour ceux que le sujet intéresse, on trouvera également une intéressante synthèse sur l’impact de la technologie sur la vie privée à travers le monde, détaillant les différences de traitement culturel de la vie privée. En Chine, « la recherche humaine » (on parle de « foule internet », internet mob) qui consiste à mobiliser des réseaux pour trouver des informations sur une personne, paraît une donnée sociale très forte, comme l’a illustré la recherche du père de Gu Wenjun, la médaillée olympique chinoise au pistolet, abandonnée par son père à l’âge de 10 ans, qui a mobilisé de nombreux internautes et plus encore de forums. Au Japon, les problèmes de vie privée deviennent tangibles avec les nouveaux usages de la Rfid, comme l’expérimentation d’appartements qui ne laissent entrer que les gens portant des puces Rfid préenregistrées par le système. Au Royaume-Uni actuellement, la question est de savoir si Phorm, une société américaine qui monitore le trafic web pour mieux cibler les publicités, viole les lois européennes en matière de vie privée.

La fusion des données : rêve ou réalité ?

Simson Garfinkel s’est, quant à lui attaqué à la fusion des données, c’est-à-dire au mythe, distillé par le cinéma notamment, que nos données personnelles, de nos factures de cartes de crédit aux logs de nos mobiles, puissent être entièrement surveillées comme dans le pire des cauchemars Orwelliens. Ou pas seulement, comme il l’explique lui-même par une anecdote personnelle. La fusion des données pourrait aussi parfois nous permettre de dépasser certaines limites de nos systèmes : ainsi, sa carte bancaire a été bloquée alors qu’il voyageait en Angleterre, parce que l’algorithme antifraude de sa banque avait trouvé ses achats à l’étranger étranges, alors même que celle-ci aurait dû savoir qu’il avait acheté un billet d’avion pour l’Angleterre à cette date.

Le terme de fusion des données est né dans les années 1980 quand des chercheurs du Centre des technologies avancées de Lockheed Martin ont publié deux articles sur la fusion tactique des données depuis des capteurs, des bases de données et d’autres sources en temps réel. Aujourd’hui tous ces systèmes n’ont pas été enterrés comme le Total Information Awareness Project de la Darpa, arrêté en 2003 par le Congrès américain,… mais certains existent et sont utilisés par les Casinos de Las Vegas (pour identifier tricheurs et joueurs qui réclament à ce qu’on ne les laisse plus parier) ou par l’institut Nielsen, qui a développé un système de fusion des données pour identifier et cibler des consommateurs avec des caractéristiques précises.

Reste, comme l’explique Simson Garfinkel, que la qualité des données est essentielle dans ces systèmes. Or, beaucoup d’informations sont collectées dans des buts statistiques et ne dispensent pas une information suffisante pour un autre type de traitement. « La fusion est difficile parce que nous sommes noyés dans des données provenant de sources multiples, chacune avec différents niveaux de détails et d’imprécisions. Le vrai défi de la fusion de données, n’est pas de récolter les données, mais de créer du sens avec elles. » D’où la difficulté de faire de la résolution d’identité : les casinos du Nevada ont ainsi développé des techniques d’analyse des relations non évidentes (Nonobvious relationship analysis, Nora) qui combinent des techniques de résolution d’identité avec des bases de données de sociétés de crédit et d’autre enregistrement public, comme ceux des clients d’hôtels par exemple. Un système Nora sera capable de découvrir par exemple que la femme du croupier a vécu une fois dans la même maison que le joueur qui vient de gagner 100 000 dollars. Bien évidemment, la difficulté de ces systèmes est qu’ils soient capables de tolérer des erreurs, des ambigüités, des incertitudes. « La qualité des données demeure un sérieux problème. » Les erreurs et les incohérences peuvent rester dormantes longtemps jusqu’à ce qu’un nouvel algorithme vienne les lire autrement… « La plupart des systèmes de fouille et de fusion de données ont besoin d’une certaine forme de sensibilité à l’ajustement : déplacer le curseur vers la gauche, et le système ne parvient pas à trouver de véritables corrélations ; déplacez-le vers la droite, et le système fait trop de prévisions qui se révèlent fausses. »

En attendant, le débat public sur la question semble difficile, conclue Simson Garfunkel car encore trop peu d’informations ont été rendues publiques sur les systèmes de fusion de données qui existent.

Peut-on utiliser les Rfid pour surveiller des gens contre leur volonté ?

Dans les Etats proches des frontières, le Département de la sécurité intérieure américain envisage d’introduire des puces Rfid dans les permis de conduire, afin de lire les cartes à distances quand on passera la frontière en voiture. Mais, ils ne seront pas les seuls, rappelle Katherine Albrecht de l’association anti-Rfid Caspian, puisque, vu la grande vulnérabilité de ces puces, tout un chacun sera capable de les lire. Reste bien sûr à associer le numéro contenu dans les puces avec une identité… ce qui est plus difficile. Sauf à ce que la personne accomplisse par exemple une transaction avec sa carte bancaire dans le même temps et au même endroit, explique Katherine Albrecht. « Le permis de conduire n’est que le dernier ajout à une liste croissante d’objets tagués par des puces que les consommateurs peuvent porter ou avoir à transporter, telle que le passe à péage, les cartes pour accéder à son bureau, les cartes de crédit sans contact… » A croire qu’en croisant toutes les informations que nous émettrons on finira bien par recueillir des données permettant notre identification.

C’est d’ailleurs le sujet d’un brevet déposé en 2001 par IBM détaille Katherine Albrecht. Celui-ci décrit comment des cartes équipées de puces électroniques de types RFiD peuvent être tracées et suivies, même si l’accès aux bases référentes est inaccessible ou limité. Les détecteurs de puces pourraient suivre les déplacements de chacun dans un centre commercial, un aéroport, une gare… Même si aucune donnée personnelle n’est stockée dans la puce, le brevet d’IBM envisage que l’information personnelle soit obtenue par croisement avec l’utilisation d’une carte de crédit – au même endroit, au même moment – permettant d’identifier ensuite le numéro de puce de la personne. Et la présidente de Caspian de dénoncer le développement d’une « infrastructure de traçage », un peu sur le mode de celle déjà en place dans un parc de loisir britannique qui équipe ses touristes de bracelets Rfid leur permettant de recevoir en fin de journée leur DVD personnalisé de photographies prises d’eux par les caméras du parc tout le long de leur périple.

Outre la facilité d’accès aux données, les données stockées posent également problèmes aux avocats de la sécurité : la carte d’identité nationale chinoise par exemple, encodera des données personnelles : sur la santé, la religion, l’appartenance ethnique, l’emploi, voire le nom et le numéro de téléphone du porteur. Ce que Michael Lin, directeur de China Public Security Technology, dénonce comme un moyen supplémentaire pour le gouvernement chinois de contrôler la population à l’avenir.

Pour Katherine Albrecht, il faudra bien légiférer un jour afin que l’usage à d’autres fins que celles prévues – comme le traçage ou la lecture d’une puce de permis de conduire par quelqu’un qui n’en a pas le droit – soit interdit. En attendant, conclut-elle : « nous ignorons ces risques à nos risques et périls ».

Des lois pour protéger notre intimité génétique

Mark A. Rothstein, directeur de l’Institut pour la bioéthique, la police de santé et le droit à l’université de Louisville, fait le même constat en ce qui concerne la discrimination basée sur des tests génétiques : le retard et le manque criant de législation. Les tests génétiques sont capables dès à présent de dire de quelles maladies vous avez hérité le gène et donc si vous êtes porteur du risque qu’elles se développent. Cela sert bien sûr une meilleure prévention, mais cela peut aussi générer des difficultés inédites, comme le fait de ne pas être couvert par une assurance pour une maladie que vous portez dans vos gènes.

Les Etats-Unis ont voté en 2008 une loi pour la non-discrimination liée à l’information génétique, qui offre un début de protection – la loi interdit la discrimination en matière d’assurance et d’emploi, sur la base de tests génétiques -, mais, selon Rothstein, nous aurons besoin de nouvelles lois rapidement avant que les tests explosent et que les abus se développent. Et de rappeler le besoin de s’interroger profondément sur le besoin de donner aux patients la possibilité d’avoir un contrôle total sur leurs données, leur permettant d’effacer certaines informations, de limiter seulement à la divulgation pour un diagnostic ou un type de médecins certaines informations, en appliquant des règles spéciales pour les informations sensibles, comme c’est déjà le cas dans certains pays européens.

« Avec de plus en plus d’information génétique disponible et de plus grande envergure via les réseaux électroniques, la législation qui protège la vie privée de santé est essentielle », rappelle-t-il. « Une législation efficace devrait, au minimum, comporter quatre éléments. Tout d’abord, elle devrait s’attaquer aux difficultés d’accès à l’assurance maladie et soigneusement contrebalancer les droits des employeurs et des employés. Deuxièmement, la législation devrait limiter les utilisations non médicales prédictives de l’information sur la santé, y compris pour l’assurance-vie, l’assurance-invalidité et les assurances pour les soins de longue durée. Troisièmement, toute législation devrait limiter la portée des divulgations, sanctionner les coupables et offrir des recours pour les personnes lésées par la divulgation illicite. Et quatrièmement, les réseaux de santé devraient être conçus de façon à ce qu’ils puissent limiter la divulgation aux renseignements de santé. S’attaquer à ces questions fournira un premier pas vers l’avenir de la confidentialité médicale », conclut le professeur.

Réquilibrer les droits des individus pour répondre au défi de la vie privée à l’ère numérique

Pour la journaliste Esther Dyson, il nous faut mieux distinguer ce qui relève de la vie privée de ce qui relève de la sécurité, des polices de santé, d’assurance ou de la présentation de soi.« Certains craignent un monde de la commercialisation généralisée, dans lequel les données sont utilisées pour trier tout le monde dans l’un ou l’autre des « segments de marché » [auxquels ils pourraient appartenir]. D’autres craignent les intrusions de l’Etat et les développements sociaux. Ces craintes sont généralement présentées comme des compromis : la vie privée contre des soins médicaux plus efficaces, la vie privée contre le libre contenu, la vie privée contre la sécurité. »

« On a l’habitude de distinguer les technologies qui détruisent la vie privée et celles qui la préservent », argumente-t-elle. Mais il est important de préciser les objectifs de la divulgation, car dans de nombreux cas, ce qu’on appelle une violation de la vie privée est en fait une fraude, un déni de liberté, un refus de service… « Plutôt que d’essayer de définir la vie privée pour tous, la société devrait donner aux individus les outils pour contrôler l’utilisation et la propagation de leurs données. L’équilibre entre le secret et la divulgation dépend des préférences de chacun, mais la nécessité pour les outils et les lois d’appliquer ces préférences est générale ». Ensuite, alors que les frontières entre le privé et le public sont redéfinies, les gens doivent pouvoir conserver le droit de porter témoignage, c’est-à-dire de pouvoir suivre et rapporter l’activité d’organisations plus puissantes qu’eux (Etats, sociétés…) : « c’est la seconde clé pour préserver la liberté et équilibrer les intérêts des individus et des institutions ». Enfin, il est important de reconnaître le besoin d’une grande granularité dans le contrôle des données personnelles. « La vie privée n’est pas à taille unique. Des gens différents ont des préférences différentes sur ce qui arrive à leur information personnelle et qui y a accès. Mais ils n’ont pas toujours le droit ou la capacité de fixer ces conditions face à un gouvernement, un employeur, ou une compagnie d’assurance auprès desquels ils veulent quelque chose en retour. »

Au terme de sa démonstration, elle rappelle que la transparence ne rend pas les choses simples. « Ces nouveaux outils sociaux rendent les services et les choses, les vies et les relations, aussi compliquées qu’elles sont réellement. Et la réalité est qu’il n’existe pas une simple vérité – ou une simple liste de qui est autorisé à connaître quoi. L’ambiguïté est une constante de l’histoire et des romans, des campagnes politiques comme des relations commerciales, des ventes, des lettres de remerciements ou de compliments, pour ne rien dire des divorces, des poursuites judiciaires, des démissions et des invitations à déjeuner. Ajouter du silicium et des logiciels ne fera pas disparaître l’ambiguïté. »