Comment nos données personnelles sont captées malgré nous ? Comment peut-on finement contrôler son identité numérique et ses répercussions ? Quel est l'intérêt de protéger ses communications sur Internet ? Quels outils utiliser, et comment ? Vous trouverez ici des élements de réponse afin de prendre les bonnes décisions concernant votre vie privée et vos données personnelles.
Utilisation Securitaire et Responsable d'Internet dans un monde connecté
Positive Privacy : comment protéger efficacement ses données et reprendre en main sa vie privée
1. Afterwork du 18 juin 2015
Groupe Informatique et télécom
Centraliens de Nantes
« Positive Privacy : comment protéger efficacement ses
données et reprendre en main sa vie privée »
positive privacy & trust
#PositivePrivacy 10Privacy.com
2. Sommaire
1. Introduction
2. Rien à cacher ?
3. Les 3 types de surveillance
4. Outils et services pour mieux maitriser sa vie privée
5. Quelques règles d’hygiène de vie numérique
6. Conclusion
4. Faisons connaissance !
• Jérôme Roussin, 36 ans
• CEO de 10Privacy, startup dédiée à la protection de l’information
• 15 ans d’expérience dans la communication et vente dans les
entreprises technologiques (Apple, PhotoBox, agences)
• Egalement professeur en Sciences de l’Information à la Sorbonne et
dans les écoles de commerce parisiennes
• Auparavant créateur d’Elephant Agency, agence conseil en stratégie
de l’information
5. La surveillance, une prise de conscience
• 2 ans après les révélations Snowden, les
mentalités comment à évoluer
• Les éditeurs et créateurs de stratups intègrent
parfois la protection de la vie privée dès la
création de leurs produits (privacy by design)
• La prise de conscience côté utilisateur reste
encore marginale à cause de la complexité des
solutions proposées aujourd’hui.
6. Pourquoi parler de
« Positive Privacy » ?
• Quand on parle de protection de la vie privée, la première chose à laquelle on
pense… est la contrainte !
• Nous partons donc du postulat inverse : chacun peut anticiper et se créer de
nouveaux réflexes, avec un comportement qui crée de la valeur. C’est ce que
nous avons nommé « positive privacy ».
• Demain, avec une protection de la vie privée plus intégrée, le travail se fera en
amont, et l’utilisateur final n’aura plus à se soucier des détails.
• On parle de « privacy by design » pour la conception de services sécurisés en
amont. On peut donc aussi parler de « positive privacy » à l’échelle de
l’utilisateur, afin de changer ses réflexes positivement, pour son bien-être futur.
8. Réalité ou fiction ?
• Demain, un banquier vous refuse un prêt. Grâce à votre bracelet connecté, il voit que vous
n’avez pas assez d’activité physique et que vous risquez donc d’avoir une maladie grave
bien plus tôt que le reste de ses clients.
• De même, votre assureur auto refuse d’assurer votre prochaine véhicule (une sportive) que
vous comptiez vous offrir pour vos 40 ans, car selon le boitier placé dans votre véhicule
actuel, vous avez une conduite à risques et vous dépassez allègrement les vitesses
autorisées.
• Egalement, votre femme s’est aperçue que vous aviez une liaison extra-conjugale car
Facebook a detecté plusieurs fois que vous vous étiez loggué depuis une résidence
inconnue, plusieurs fois par semaine, à des heures tardives. Facebook a donc envoyé un
message sur le compte email backup de la famille, exposant à votre insu votre seconde vie.
10. « Je n’ai rien à cacher, moi. »
• Nous avons tous des choses à cacher, sans pour
autant qu’elles soient illégales ou répréhensibles.
• Penser ne rien avoir à cacher équivaut à laisser sa
maison ouverte en « open bar » la journée et la
nuit, et laisser y rentrer n’importe qui.
11. Si vous n’avez rien à cacher…
• Donnez moi votre mot de passe Google et aussi celui de Facebook…
• Montrez moi toutes les photos de votre smartphone.
• Dites moi quel est votre salaire ?
• Laissez le facteur ouvrir tous vos courriers, photocopier ceux qui lui plaisent
le plus, et les garder à vie.
• Accepteriez vous une caméra au dessus de votre lit, bien que vous ne fassiez
rien d’illégal dedans ?
13. Modèle de menaces :
5 questions à se poser
1. Que souhaitez-vous protéger ?
2. Contre qui souhaitez-vous le protéger ?
3. Pourquoi est-il probable que vous ayez besoin de le protéger ?
4. Quelles seraient les conséquences si vous échouez ?
5. Quels problèmes êtes-vous disposé à affronter afin de les prévenir ?
20. Parfois, ça donne des FAKES
• Une femme originaire de Brighton,
vivant désormais à Dubaï avec son
mari, se fait usurper son identité
• 900 photos Instagram dérobées et
un faux profil crée avec des milliers
de followers
• En France, 120 000 personnes sont
victimes d’usurpation online chaque
année
27. Le détail sur lequel on ne
s’attarde jamais ?
Les conditions générales !
28. Ce que vous acceptez
chez Google
« En soumettant des contenus à nos Services, par importation
ou par tout autre moyen, vous accordez à Google (et à toute
personne travaillant avec Google) une licence, dans le monde
entier, d’utilisation, d’hébergement, de stockage, de
reproduction, de modification, de création d’œuvres dérivées
[...], de communication, de publication, de représentation
publique, d’affichage ou de distribution public des dits
contenus. »
29. Ce que vous acceptez
chez Facebook
« Pour le contenu protégé par les droits de propriété intellectuelle,
comme les photos ou vidéos, [...] vous nous accordez une licence non-
exclusive, transférable, sous-licenciable, sans redevance et mondiale
pour l’utilisation des contenus de propriété intellectuelle que vous
publiez sur Facebook ou en relation à Facebook »
30. Et pour longtemps ?
« Cette autorisation demeure pour toute la durée légale de
protection de votre contenu, même si vous cessez d’utiliser nos
Services. »
31. Et pour longtemps ?
« Cette licence de propriété intellectuelle se termine lorsque
vous supprimez vos contenus de propriété intellectuelle ou
votre compte, sauf si votre compte est partagé avec d’autres
personnes qui ne l’ont pas supprimé. »
« Lorsque vous supprimez votre contenu [...], vous comprenez
que les contenus supprimés peuvent persister dans des copies
de sauvegarde pendant un certain temps. »
32. La philosophie Google
« Si vous souhaitez que personne ne soit au courant de
certaines des choses que vous faites, peut-être ne devriez-vous
tout simplement pas les faire. »
(Eric Schmidt, Google)
35. Et si l’on payait Facebook ?
• Un utilisateur Facebook rapporte environ 20 cents par
mois au réseau social, pour 20h passées dessus.
• Si seulement le quart des 1,5 milliard utilisateurs de FB
payaient $1/mois, cela rapporterait plus de 4 milliards
de dollars par an.
37. 3 - Le Mobile
• Le mobile est le plus intrusif des
moyens de communication
• Il représente aujourd’hui plus de 50%
des vistes sur les sites web
• La géolocalisation est activée en
permanence chez la majorité des
utilisateurs
• Peu d’utilisateurs font attention aux
autorisations données aux applications
39. Quelques chiffres sur le mobile
• 280 000 abonnés au mobile en France en 1994
• 78,4 millions de lignes en 2014
• 193 milliards de sms envoyés en 2013 (+6% vs 2012)
• 54 millions d’échanges de données en France en 2014
• 4 points relais GSM suffisent à identifier un individu à 95%
• Les agences de renseignement scannent l’entourage des individus avec 3 niveaux de séparation
• 40 contacts dans son téléphone = 2,5 millions de personnes en relation
41. Rapport de l’EFF du 17 juin 2015
• Utilisation des meilleures pratiques de l’industrie combinant trois critères
• Communication auprès des utilisateurs des requêtes du gouvernement
• Communication auprès des utilisateurs de la politique de rétention des données
• Communication du nombre de fois qu’un gouvernement cherche à retirer le
contenu d’un utilisateur, et du nombre de fois où l’entreprise obtempère
• Opposition aux demandes de création de portes dérobées.
42.
43.
44.
45. Conclusion du rapport :
!
Si plusieurs entreprises ont progressé,
d’autres méritent vraiment un bonnet
d’âne (WhatsApp détient la palme de la
pire politique des données personnelles)
46. Quelques pistes de réflexion
1. Plusieurs sociétés disposent d’informations sur vous, il semblerait évident que
vous puissiez en disposer aussi. Trouvez vous normal que rien ne vous revienne ?
2. Si un site monétise l’ensemble des données dont il dispose, engrange des
revenus avec les données qu’il revend de vous, trouvez vous normal encore que
rien ne vous revienne ?
3. Question sociétale : veut-on une société aidée ou pilotée par les données ?
48. « Si on n’a rien à cacher, il n’y a pas de
problème à être écouté. »
Benoît Hamon PS, ministre 2012-2014
« Si vous n'avez rien à vous reprocher, vous
n'avez pas à avoir peur d'être filmés ! »
!
Brice Hortefeux, ancien ministre de l’Intérieur
Citations
49. En France, avec la loi sur le
renseignement
• Surveillance de masse de toute la population française
• Boites noires et algorithmes « secret defense » sans aucun contre-pouvoir réel
• Aspiration des métadonnées (bien plus intrusives que les données brutes)
• Risques de création de faux positifs (pour rappel, le fichier STIC de la police en
2008 contenait 1 million de personnes blanchies mais toujours considérées
comme suspectes)
• Le risque numéro 1 : une nébuleuse de faux positifs. Pour pouvoir déceler des
comportements suspects, il faut donc surveiller… tout le monde
50. Naissance d’un mouvement
Les entrepreneurs français s’inquiètent des conséquences de la
surveillance pour l’économie des nouvelles technologies
51. Du côté des USA…
• 2 ans après les premières révélations Snowden, on note un changement de
ton dans l’approche « full intrusive »
• Les USA font un pas en arrière avec le Freedom Act
• L’administration Obama a publiquement reconnu qu’aucun programme de
renseignement n’avait pu permettre ni d’anticiper des attentas, ni d’arrêter
des terroristes
• La France ne tient pas compte du recul des Etats Unis sur l’écoute de masse
et s’engage dans une voie dangereuse, qui pourrait coûter cher aux citoyens.
52. Focus sur les métadonnées
• Les données : contenu d’un email, d’une photo, d’un appel
• Les métadonnées : environnement et contexte complets
53. Exemple de récolte des métadonnées
• Le propriétaire d’une ligne de portable appelle un centre de dépistage du sida
pendant 5 minutes, puis le numéro d’un médecin généraliste pendant 20 minutes. Il
appelle ensuite 3 numéros de portables avec lesquels il a échangé beaucoup de SMS
et d’appels ces derniers mois.
• A votre avis, que pouvez-vous en déduire ?
54. Warhol parlait du fameux
quart d’heure de célébrité…
aura t-on bientôt droit à son
quart d’heure d’anonymat ?
55. Les outils et services pour
mieux protéger sa vie privée
60. Faire un chat sécurisé
• Pidgin (pour Windows ou Linux)
• Adium (pour OS X)
• ChatSecure (pour iPhone et Android
• Jitsi (OS X et Windows)
Vous pouvez associer le protocole sécurisé OTR (Off The Record)
aux logiciels de chat suivants :
62. Téléphoner de manière sécurisée
• Signal (iPhone)
• RedPhone (Android)
• TextSecure (Android)
63. Naviguer - presque -
anonymement sur internet
TOR : navigateur internet anonyme *
TAILS : système d’exploitation anonyme
* mais pas le système hôte
65. AdBlock Edge : bloqueur de pub open source (contrairement à AdBlock)
Disconnect / Ghostery : bloqueurs de trackers de réseaux sociaux
Disconnect Search : search Google anonymisé
HTTPS Everywhere : force le protocole SSL si disponible
Self Destructing Cookies : efface les cookies après fermeture de l’onglet
DoNotTrackMe : Bloque le tracking publicitaire
Request Policy : gère les requêtes http plus finement
NoScript Security Suite : bloque le Javascript sur les pages choisies
Extensions Firefox
66. Cas de LightBeam
LightBeam (uniquement sur Firefox) vous aide à visualiser les sites tiers qui
demandent des informations vous concernant.
68. Hygiène de vie numérique (1/2)
• Dans 90% des cas, la faille se trouve entre la chaise et le clavier… c’est vous !
• Ne révélez jamais d'information personnelle par inadvertance
• Chiffrez vos disques durs intégralement
• Prenez en main la gestion des cookies
• Ayez un identifiant / phrase de passe unique par service
• Créez vos identifiants avec un gestionnaire de mots de passe
69. Hygiène de vie numérique (2/2)
• Ne vous connectez pas sur les réseaux wifi publics non sécurisés (ou alors,
VPN obligatoire)
• Privilégiez les sites en SSL / TLS avec protocole https
• Prenez garde aux sites qui offrent prix et récompenses en échange de votre
contact ou de toute autre information
• Protégez votre téléphone par mot de passe alphanumérique
• Ne laissez pas le wifi et le bluetooth allumés sans raison valable
70. Hygiène de vie numérique :
Réseaux Sociaux
• Pensez d’abord, écrivez ensuite
• Protégez vos infos de base (destinées à vos amis seulement)
• Eliminez les apps Facebook, les pages et les likes inutiles
• Désactivez les tags suggérés et la reconnaissance faciale
• Vérifiez la nature des tweets que vous avez publié
• Revoyez vos publications Instagram, rien de trop perso ?
• Contrôlez ce qui est dit, comment et avec qui
72. Quelques pistes de réflexion
Si demain nous nous savons surveillés, il y a un risque d’autocensure,
on tombe donc dans le panoptique de Bentham
73. Quelques pistes de réflexion
• La protection des données est un problème social, économique, politique… Il
nous dépasse donc tous et doit être considéré avec le plus grand sérieux.
• Cela devient, in fine, rien de moins qu’un choix de civilisation. Ce choix ne
peut se faire que collectivement.
• La valeur cardinale de la vie numérique de demain : la confiance. Pas
d’échanges ni de transactions sans confiance ni sécurité.
• Il est primordial de comprendre que les choix techniques ou politiques de
demain peuvent changer, et qu’il faut dès à présent l’anticiper en se
protégeant.
• Aujourd’hui, la plupart des solutions de protection de la vie privée restent
encore complexes à mettre en oeuvre : il est donc temps de simplifier les
étapes.
74. Quel avenir ?
‣L’ensemble des communications personnelles et professionnelles doivent
devenir chiffrées par défaut, sans contrainte pour l’utilisateur.
‣Aujourd’hui en 2015, le chiffrement n’a de sens que s’il est fait de bout en
bout (end-to-end)
‣Les algorithmes grand public actuels (RSA et AES notamment) commencent
à dater et leur fiabilité n’est plus prouvée.
‣Si un serveur subit des attaques, il est essentiel que son contenu ne puisse
être compromis à des fins malveillantes.
75. Qu’est-ce que 10Privacy ?
‣10Privacy est une startup investissant le marché de la confiance numérique.
‣Son but : fournir une solution open source de sécurisation des données qui
permet d’assurer l’authenticité et l’intégrité des données entre les
utilisateurs du service.
‣Cette solution agit comme un nouveau tiers de confiance instaurant une
sécurisation de bout en bout, créant une chaine de valeur complète restant
intégralement chiffrée.
‣10Privacy est une startup de la French Tech, dont les bureaux sont chez
Numa à Paris.
positive privacy & trust
#PositivePrivacyhttps://10privacy.com
76. Les 4S de 10Privacy
Simplifier Sécuriser
Sensibiliser Suivre
les usages en rendant service à
l’utilisateur, en s’occupant pour lui
des tâches complexes.
son parcours en ayant recours aux
technologies de chiffrement les
plus fortes afin de garantir
l’intégrité des ses données.
l’évolution des technologies,
anticiper les changements et
mettre l’utilisateur au centre de la
stratégie.
à la protection des données pour
tous, à la création de valeur de la
positive privacy, et partager les
conclusions
77. Annexes
• eff.org
• café-vie-privée.fr
• prism-break.org
• korben.info
Sites web
Livres
• « La vie privée, un problème de vieux cons ? » Jean Marc Manach
• 2 Guides d’autodéfense numérique de boum.org (360 pages)
• Cryptoparty Handbook (330 pages)
78. Citation
« Un peuple prêt à sacrifier un peu de liberté
pour un peu de sécurité ne mérite ni l'une ni
l'autre, et finit par perdre les deux. »
Benjamin Franklin (1706-1790)