Le journal du cnrs numéro 21 Avril 2008
Une vie de moins en moins privée
Yüklə 147,75 Kb.
|
- Bu səhifədəki naviqasiya:
- Observés par des yeux électroniques…
- Couverts de puces…
- Visibles sur la Toile…
- Rangés dans des fichiers…
- Et la protection des données
- La Cnil : grands pouvoirs, petits moyens
Une vie de moins en moins privéeTout lecteur de 1984 connaît les « télécrans » implantés dans chaque maison de l'Océania et capables d'observer tout le monde, tout le temps. Écrit au sortir de la Seconde Guerre mondiale, « le livre de George Orwell, rappelle Michel Weinfeld, ancien membre du Laboratoire d'informatique de l'École polytechnique (LIX) (Laboratoire CNRS École polytechnique), décrit une société surveillée constamment par un personnage tyrannique mythique, Big Brother, qui utilise entre autres des techniques d'espionnage individuelles et collectives pour asseoir son emprise sur la société. » Et si aujourd'hui, les techniques de biométrie, caméras de surveillance, puces RFID et autres technologies de pointe, menaçaient notre intimité comme le décrivait Orwell ? Observés par des yeux électroniques… Des exemples concrets ? Arpentez les rues, les gares, les stades, les galeries commerciales, les parkings, les entreprises, les bâtiments publics... Les caméras de vidéosurveillance y prolifèrent. Rien qu'en Angleterre, 4,2 millions de ces yeux électroniques, dont certains « parlants » pour interpeller depuis un poste de contrôle les auteurs d'infractions même bénignes, sont braqués en permanence sur les sujets de Sa Gracieuse Majesté, soit une caméra pour 14 habitants. Un Londonien, dit-on, est filmé, en moyenne, 300 fois dans la journée entre son domicile et son lieu de travail. But du jeu : scruter non-stop les rues pour repérer le moindre acte illégal (mendicité, vol…) ou potentiellement dangereux, et intervenir immédiatement. De ce côté-ci de la Manche, on estime à 340 000 le nombre d'appareils « autorisés », et ce parc devrait tripler d'ici à la fin 2009, conformément au vœu du gouvernement. Si 65 % de nos compatriotes estiment que la multiplication de ces dispositifs permet de lutter efficacement contre le terrorisme et la délinquance, la Commission nationale informatique et libertés (Cnil) (lire l'encadré), chargée d'appliquer la loi du 6 janvier 1978 (modifiée en 2004 pour l'harmoniser avec une directive européenne) relative à l'informatique, aux fichiers et aux libertés (En plein essor de l'informatique, la loi n° 78-17, qui instaurait la CNIL, visait à encadrer le traitement des données à caractère personnel), ne cesse de s'inquiéter de cette propension à surveiller 24 h/24 nos faits et gestes sur la voie publique. Autre technique dans le collimateur de l'institution : le système de navigation automobile par GPS qui permettrait dans certaines sociétés, et sous couvert de simplifier les déplacements des livreurs, des commerciaux, etc. sur le terrain, de télésurveiller les équipes, minute par minute, parfois à leur insu. Couverts de puces… Tracés, nous le sommes aussi par les puces RFID (Radio Frequency Identification Device, littéralement « appareil d'identification par radiofréquence »). Des puces électroniques qui montent, qui montent… En 2007, 1,7 milliard de ces super-codes-barres constitués d'une antenne miniature, d'une mémoire et d'un microprocesseur pour émettre et recevoir de l'information par le biais d'ondes électromagnétiques, et permettre ainsi d'identifier un bien ou une personne à distance, ont été vendus dans le monde. 50 000 à 100 000 milliards devraient coloniser la planète d'ici à 2010. Quasiment invisibles, les RFID se déploient sur tous les fronts : dans les emballages alimentaires, les passes Navigo de la RATP (pour valider son trajet de métro sans contact, donc gagner du temps aux portillons), les clés sans contact de la plupart des véhicules récents, les cartes Vélib' (pour emprunter des vélos dans les points de stationnement), les badges de télépéage utilisés sur les autoroutes, les bracelets portés par les patients dans les hôpitaux (pour éviter les confusions d'identité)… Et « les progrès dans le domaine des micro- et nanotechnologies (Les technologies à l'échelle du micromètre (10-6 mètre) et du nanomètre (10-9 mètre) se traduisent aujourd'hui par l'apparition de nouveaux paradigmes “alternatifs” aux RFID conventionnels, indique Robert Plana, du Laboratoire d'analyse et d'architecture des systèmes (Laas) (Unité CNRS) du CNRS. En effet, il devient possible de déployer des milliers de “sondes” ultraminiaturisées connectées par des liaisons sans fil appelées “réseaux de capteurs sans fil”. Ces réseaux – intégrés dans une maison, dans un avion ou autre – vont irriguer de nombreuses applications comme le transport, les loisirs, la vie de tous les jours, mais également la santé. Entre autres, le Laas est très impliqué dans le domaine des réseaux de capteurs pour des applications médicales, pour surveiller à distance, par exemple, une personne dépendante et alerter le personnel soignant en cas de chute ». Bien sûr, poursuit le même chercheur, avec la multiplication de ces applications RFID de deuxième génération, « il est indispensable de se poser la question de leur acceptation sociétale. Des groupes de travail sont mis en place et des projets de recherche sont soutenus par l'Agence nationale de la recherche (ANR) afin de garantir un développement harmonieux de la science et de la technologie au service de la société et du citoyen ». Selon la Cnil, avance Stéphanie Lacour, du Centre d'études sur la coopération juridique internationale (Cecoji) (Centre CNRS Université de Poitiers), l'utilisation d'un système RFID, quel que soit son objectif (qu'il s'agisse de faciliter la gestion des billets de transport en commun ou tout simplement d'assurer la logistique d'un supermarché), « constitue un traitement de données à caractère personnel ». Une position stricte se justifiant par le fait que « ces systèmes, malgré l'apparente insignifiance des données qu'ils peuvent parfois traiter, permettent, par la densité du maillage des étiquettes qui entourent une personne, d'en tracer un profil pouvant être analysé quasiment en permanence ». D'où la recommandation que l'utilisation des RFID doit s'accompagner « d'une solide formation et d'une responsabilisation de toutes les personnes (fabricants, distributeurs, consommateurs, salariés...) qui interviendront, de manière active ou passive, dans la mise en place de ces technologies », conclut notre juriste. Visibles sur la Toile… Douillettement installé devant votre écran d'ordinateur, vous croyez « surfer » dans l'anonymat parfait ? Erreur. Vous voilà, au contraire, sous haute surveillance. Naviguer sur la Toile, c'est forcément laisser des traces. La loi sur la sécurité quotidienne, votée en 2001, oblige par exemple les fournisseurs d'accès à conserver douze mois durant des informations sur les adresses des sites que vous visitez. De quoi reconstituer, dans les moindres détails, vos pérégrinations dans le cyberespace, en cas d'enquête. Mais l'« espionnite » sur le Web présente bien d'autres visages, moins avouables. Exemple : les cookies. Ces minuscules fichiers déposés par un serveur Web sur le disque dur de qui visite son site permettent de lui expédier de la publicité ciblée. Et, surtout, les spywares. Mission de ces « espiogiciels » (ou logiciels espions) dont on croise la route en téléchargeant ingénument un jeu gratuit ou en ouvrant ses courriels ? Infiltrer votre ordinateur pour y collecter le maximum d'informations confidentielles. Selon l'éditeur américain de logiciels de sécurité Webroot, près de 9 PC d'entreprise sur 10 seraient infectés de spywares. Dans le meilleur des cas, votre adresse e-mail grossit les bases de données de sociétés commerciales qui vous submergent de spams (messages électroniques non sollicités). Dans le pire des cas, votre code de carte bancaire peut tomber entre les mains d'organisations criminelles qui se serviront sur vos comptes accessibles en ligne. Rangés dans des fichiers… Autre menace pour notre intimité, les fichiers légaux qui contiennent des informations personnelles se multiplient : fichiers administratifs, professionnels, bancaires, etc. (lire chapitre suivant). Or l'expérience montre qu'ils sont loin d'être des forteresses inexpugnables. « Il y a quelques mois, raconte Stéphanie Lacour, un internaute, qui s'était inscrit sur le site Web de la RATP pour souscrire un abonnement Navigo, a ainsi pu accéder aux dossiers d'autres passagers en changeant les chiffres de son numéro de client ». Idéalement, rappelle Philippe Pucheral, responsable du projet « Secure and Mobile Information Systems » (SMIS) commun au laboratoire « Parallélisme, réseaux, systèmes, modélisation » (Prism) (Laboratoire CNRS Université de Versailles-St-Quentin) et à l'Inria, « les données doivent être protégées des fuites “par négligence”, des attaques externes (tentatives de pillage par intrusion) et des attaques internes (actions malveillantes provenant de personnes qui ont légitimement accès à tout ou partie du système) ». Or, les premières sont légion. Exemple fameux : les deux cédéroms égarés en octobre 2007 par l'administration fiscale anglaise et, avec eux, les données personnelles de 25 millions de contribuables de la Perfide Albion. S'agissant des attaques externes, même les sites réputés « incassables » (ceux du FBI, de la NASA, du Pentagone...) sont piratés. « Les attaques internes ne doivent pas être négligées, poursuit Philippe Pucheral. À en croire un rapport récent du FBI, elles représentent plus de 50 % des attaques menées contre les serveurs de bases de données. » Et la protection des données ? Des parades existent : identification/authentification des utilisateurs incluant des systèmes biométriques (reconnaissance de l'iris par une webcam par exemple), contrôle d'accès spécifiant les droits et obligations des utilisateurs, chiffrement des données stockées, anonymat des informations à caractère personnel… Mais tout montre qu'il est ardu de constituer des bases de données conciliant facilité d'usage, performance et haute résistance aux attaques. Un des facteurs qui expliquent la difficulté de mise en place du dossier médical personnel (DM), en gestation depuis 2004 pour permettre aux professionnels de santé d'accéder, sur un serveur sécurisé, aux données médicales d'un patient afin d'améliorer la qualité et la coordination des soins tout en réduisant leur coût. La crainte persiste que des données confidentielles s'échappent de la « sphère de sécurité » et gagnent l'espace public pour atterrir, par exemple, sur le bureau d'un assureur ou d'un cabinet de recrutement. « La sécurisation du DMP passe sans doute par la définition de nouveaux modèles de contrôle d'accès et d'usage mieux aptes à prendre en compte l'avis des patients, ainsi que par la mise au point de nouveaux protocoles cryptographiques, dit Philippe Pucheral, l'un des rares experts français ès sécurisation du contrôle d'accès dans les bases de données. Ainsi, les données ne seraient jamais laissées en clair, y compris à l'extérieur du serveur, et ne seraient jamais accessibles qu'aux personnes en possession d'une clé numérique. » Une chose est sûre : les cryptographes, au CNRS notamment, redoublent d'efforts pour sécuriser le réseau Internet, les téléphones mobiles, les cartes bancaires, les titres de transports, les cartes Vitale…, et multiplient les avancées dans le domaine de la « cryptographie asymétrique », une méthode fondée sur l'utilisation d'un couple de clés (Une clé est l'information nécessaire à l'émetteur et au destinataire pour envoyer ou recevoir un message ou des données confidentielles, ou pour s'authentifier) fournies à chaque individu par une autorité de certification (banque, administration des impôts, entreprise…) : l'une, publique, pour permettre à qui le souhaite de chiffrer des données confidentielles à destination d'un individu, l'autre, privée, pour que ce dernier, et lui seul, puisse les déchiffrer. Cette cryptographie asymétrique permet également l'authentification de l'identité des utilisateurs. « Nous travaillons prioritairement sur deux axes de recherche : prouver mathématiquement la sécurité des protocoles cryptographiques, et améliorer l'efficacité et la facilité de mise en œuvre des procédés cryptographiques, dit David Pointcheval, du Laboratoire d'informatique de l'École normale supérieure (Liens) (Laboratoire CNRS ENS), l'un des plus gros labos européens en « crypto » longtemps dirigé par Jacques Stern, lauréat 2006 de la médaille d'or du CNRS. S'agissant du second axe, la simplicité d'emploi des procédés actuels reste insuffisante et constitue un obstacle à leur déploiement ». Et donc, à la protection des libertés individuelles dans nos sociétés envahies par le numérique... La Cnil : grands pouvoirs, petits moyens Garantir le respect de la vie privée et des libertés lorsque des données personnelles (nom, prénom, date de naissance, e-mail, numéro de sécurité sociale, de téléphone…) sont utilisées, telle est la mission de la Cnil. « Parmi toutes les autorités équivalentes en Europe et réunies au sein d'un groupe de travail baptisé G29, la Cnil française est celle dotée des plus grands pouvoirs et notamment, depuis 2004, d'un pouvoir de contrôle ainsi que d'un régime de sanctions diverses incluant l'avertissement et la mise en demeure, puis l'injonction de cesser le traitement et la sanction pécuniaire proportionnée, dit Gwendal Le Grand, chef du service de l'expertise informatique de la Cnil. Pour autant, la Commission est l'une des dernières de l'Union en termes de moyens et d'effectifs rapporté au nombre d'habitants (120 agents fin 2008). En 2007, nous avons effectué 164 contrôles alors que plus de 56 000 nouveaux fichiers informatiques nominatifs ont été enregistrés ». Si la Cnil ne rattrape pas son retard, poursuit Gwendal Le Grand, « elle finira par ne plus être en mesure de défendre les citoyens ». Philippe Testard-Vaillant Contact
Michel Weinfeld, michel.weinfeld@wanadoo.fr Robert Plana, plana@laas.fr Stéphanie Lacour, lacour@ivry.cnrs.fr Meryem Marzouki, meryem.marzouki@lip6.fr Philippe Pucheral, philippe.pucheral@inria.fr David Pointcheval, david.pointcheval@ens.fr Retour sommaire enquête Yüklə 147,75 Kb. Dostları ilə paylaş:
|