samedi 28 mars 2009

Le pays des bases de données

À l'heure où des parents d'élèves et des enseignants français résistent contre la mise en place d'une base de données dans l'enseignement primaire censée centraliser les informations personnelles de l'ensemble des enfants en âge d'aller à l'école (voir l'article du Monde), un rapport de la Fondation Joseph Rowntree déposé ces derniers jours au Royaume Uni invite à la réflexion.

Ce document, rédigé par un groupe de chercheurs spécialisés dans la sécurité de l'information et les droits de la personne, dresse la carte détaillée des bases de données gouvernementales contenant des informations personnelles sur les citoyens britanniques et évalue leur performance. Les conclusions du rapport sont loin d'être encourageantes:

  • Des 46 principales bases de données recensées, un quart seraient illégales à l'aune des lois existantes en matière de protection des droits humains et de la confidentialité des données;
  • Plus de la moitié souffrent d'importants défauts en matière de protection de la vie privée et d'efficacité;
  • Moins de 15% des bases de données recensées semblent nécessaires, efficaces et proportionnelles aux auteurs, même si certaines d'entre elles souffrent également d'importants problèmes techniques;
  • Malgré des dépenses pharaoniques de plusieurs dizaines de milliards d'euros prévues pour les dix prochaines années dans ce domaine, seulement 30% des programmes informatiques du gouvernement peuvent être considérés comme des réussites;
  • Certains programmes spécifiques comme la base de données des traces ADN sont particulièrement épinglés: bien que le nombre de profils contenus dans cette dernière ait doublé au cours des dernières années en passant de 2 à 4 millions d'individus, le taux de solution des crimes grâce à cet outil est resté désespérément stable, ne parvenant pas à dépasser 1 pour 300. 

jeudi 26 mars 2009

Des limites de la censure comme stratégie de prévention

Le gouvernement australien a décidé d'axer sa future stratégie de lutte contre les contenus pédophiles en ligne sur la mise en place d'un système obligatoire de filtrage auquel devront se plier les fournisseurs d'accès. Ce système repose sur une liste de sites interdits distribuée aux fournisseurs d'accès et sur l'obligation pour ces derniers de bloquer la consultation de ces sites par leurs clients. Par ailleurs, les sites australiens qui choisiraient d'insérer des liens vers des sites interdits s'exposent à des amendes pouvant aller jusqu'à 11,000$ australiens par jour. 

Cela paraît simple au premier abord et d'autres pays comme le Danemark ou la Norvège ont adopté une approche similaire. Le principal problème est que les listes qui sont constituées par les autorités responsables de ce contrôle sont en général secrètes et que cette "censure" opaque ouvre la porte à des abus de toutes natures. Tout d'abord, étant donné la nature dispersée de l'offre d'accès à Internet, les chances que ces listes restent confidentielles sont minces. On retrouve d'ailleurs la plupart d'entre elles sur le site Wikileaks

Ensuite, l'examen approfondi de ces listes démontre que s'y retrouvent des sites qui n'ont aucun rapport avec la pédophilie. Ainsi, d'après le quotidien Sydney Morning Herald, on la liste australienne comprend des sites de casinos et de paris en ligne, des sites de pornographie légale et de fétichisme, des pages de l'encyclopédie en ligne Wikipedia, des sites favorables à l'euthanasie et à l'avortement (légal en Australie), des sites faisant la promotion de religions marginales comme le satanisme ou certaines églises chrétiennes, ainsi que le site d'un dentiste et d'une agence de voyages! La liste rendue publique contient un peu plus de 2000 adresses, mais le gouvernement australien prévoit d'y inclure plus de 10,000 sites à terme.

Les opposants à cette politique font à juste titre valoir le potentiel d'atteinte aux libertés individuelles que représente l'existence d'une liste secrète de sites Internet interdits, ainsi que l'absence de mécanismes indépendants de contrôle des processus d'inclusion dans cette liste et d'appel en cas d'erreur. D'autres soulignent à quel point l'existence d'une telle liste ouvre la porte à des abus de la part des dirigeants politiques qui pourront s'en servir pour supprimer l'accès à des informations gênantes. 

La mise en ligne de la liste australienne et le débat auquel elle donne lieu illustrent cependant la futilité de vouloir mettre en oeuvre des programmes de prévention dont la principale caractéristique est le secret. Cela dénote de la part des autorités régulatrices un sérieux déficit de compréhension de ce qui fait justement la force de l'Internet, à savoir sa nature distribuée et adaptative qui permet à l'information de circuler avec une fluidité inégalée.

jeudi 19 mars 2009

Vie privée: un concept dépassé?

Voici un article intéressant de Jean-Marc Manach, d'internetactu.net qui dresse un panorama très complet des arguments de ceux qui pensent que l'on accorde trop d'importance au concept de vie privée (selon eux obsolète) dans le débat sur le statut des données personnelles sur Internet, et particulièrement sur les sites associés au web 2.0 comme les plateformes de gestion des réseaux sociaux. Ces arguments, qui invoquent souvent la logique des bénéfices de la transparence qui outrepassent les inconvénients, frappent par leur optimisme invétéré et constituent une réponse toute aussi peu nuancée que celle des pessimistes qui annoncent la disparition imminente des libertés individuelles. Ils permettent toutefois de mieux comprendre quelles logiques (plus ou moins conscientes) sont à l'oeuvre parmi ceux qui révèlent l'intégralité de leur vie en ligne.

   

dimanche 15 mars 2009

Facebook à l'aide des tribunaux

Deux affaires récentes portées devant des tribunaux américain et canadien montrent dans quelle mesure les informations personnelles révélées par les utilisateurs de sites de réseaux sociaux comme Facebook ou MySpace peuvent se retourner contre eux.

Dans le premier cas, un policier new yorkais adepte du culturisme (photo ci-contre) a vu son professionalisme et sa crédibilité mis en doute par l'avocat d'un suspect qu'il avait arrêté pour port d'arme illégal. Le policier avait en effet indiqué sur son profil MySpace qu'il se sentait d'humeur 'sournoise' (devious) quelques heures avant l'arrestation, alors que son profil Facebook indiquait qu'il était en train de visionner le film Training Day afin de rafraichir ses connaissances en matière de procédure policière. Or, ce film, qui met en vedette Denzel Washington, décrit les pratiques discutables d'un agent corrompu de la police de Los Angeles qui n'hésite pas à abattre un trafiquant de drogue désarmé afin de s'emparer de ses gains. Ces éléments ont suffi au jury pour douter de l'impartialité du policier lors de l'arrestation et l'ont amené à acquitter l'accusé des charges qui pesaient contre lui.

Dans le second cas, un juge ontarien a obligé un plaignant réclamant une compensation financière à la suite d'un accident automobile qui aurait négativement affecté sa vie quotidienne à rendre le contenu de sa page Facebook accessible aux avocats de la défense. L'argument de la défense est que le contenu de cette page est en mesure d'éclairer le tribunal sur la nature réelle du préjudice subi. Dans sa décision, le juge a en effet admis que les pages personnelles mises en ligne sur les sites de réseaux sociaux contiennent des informations telles que des photos ou des commentaires permettant d'évaluer la capacité des personnes visées à entreprendre des activités physiques et sportives. Par ailleurs, il a rejeté l'argument selon lequel ces pages auraient le même statut juridique qu'un journal intime, puisqu'elles servent de support à des pratiques de partage de l'information avec des 'amis', ce qui les rend donc en partie publiques.

Dans les deux cas, ces décisions vont certainement amener les avocats et les procureurs à considérer d'un oeil nouveau l'usage qui peut être fait des informations personnelles disponibles sur les sites de réseaux sociaux, soit comme source additionnelle de preuves, soit comme outil de sape de la crédibilité des témoins.

vendredi 13 mars 2009

Un documentaire de la BBC sur les botnets

Les journalistes de l'émission Click, de la BBC , viennent de réaliser un documentaire choc sur le fonctionnement des botnets, ces réseaux d'ordinateurs "zombis" compromis qui sont utilisés à l'insu de leurs propriétaires pour relayer du spam ou dérober des informations personnelles (mots de passe de comptes bancaires, etc.). En effet, afin d'illustrer de manière aussi réaliste que possible la manière dont les botnets sont mis en vente sur Internet et utilisés, les journalistes ont tout simplement acquis leur propre botnet d'environ 20.000 machines pour quelques milliers de dollars, et ont procédé à une attaque en bonne et due forme contre un site mis en place par une entreprise (consentante) de consultants en sécurité informatique. Une fois le reportage terminé, les propriétaires des machines infectées ont été avisés par l'équipe de tournage.


Le teaser est dessous:


vendredi 6 mars 2009

L'auto-défense contre la surveillance

L'Electronic Frontier Foundation, une association américaine de défense de la vie privée, a lancé un projet d'auto-défense contre la surveillance informatique, afin de sensibiliser les internautes à la surveillance dont ils font l'objet sur la toile, et de les aider à s'en prémunir. Cette boîte à outil permet aux citoyens d'évaluer les différents risques auxquels ils sont exposés en matière de surveillance de leurs activités en ligne, aussi bien de la part du gouvernement que de puissances étrangères, d'entreprises ou de délinquants informatiques. Les conseils, offerts dans un langage clair acessible au plus grand nombre, portent aussi bien sur le cryptage des données que sur les connexions wi-fi, l'effacement permanent des données, les outils d'anonymisation des communications ou les précautions à prendre dans l'usage des téléphones cellulaires. Tous ces conseils ne sont pour l'instant disponibles qu'en anglais.

J'ai écrit un chapitre de livre (lui aussi en anglais) sur les techniques de résistance aux diverses formes de surveillance en ligne, qui propose une perspective responsabilisatrice en léger décalage avec les propos catastrophistes et pessimistes des opposants à la surveillance de la tradition orwellienne.