De la mise en danger de notre vie privée par la main mise sur nos outils de communication : Différence entre versions

De e-glop
m (Le patriot Act)
(Le patriot Act)
Ligne 129 : Ligne 129 :
 
"''Des experts en sécurités disent que beaucoup d'entreprises commencent à peine à réaliser les risques qu'elles prennent en adoptant massivement les outils web collaboratifs hébergés par une compagnie U.S., problème encore plus important au Canada où les règles fédérales de confidentialité sont en contradiction avec les mesures de sécurité U.S.''"
 
"''Des experts en sécurités disent que beaucoup d'entreprises commencent à peine à réaliser les risques qu'elles prennent en adoptant massivement les outils web collaboratifs hébergés par une compagnie U.S., problème encore plus important au Canada où les règles fédérales de confidentialité sont en contradiction avec les mesures de sécurité U.S.''"
  
Les outils web incriminés sont bien entendu par exemple les Google/Yahoo! Mail, Google Document et autres Google Desktop ou Google Calendar dont nous abordions les problématiques précédemment, et la problématique est bien réelle. Que ce soit par rapport à des notions de confidentialité professionnelle voire même tout simplement de secrêts industriels ou commerciaux. C'est ainsi tout un système qui peut être mis en péril.
+
Les outils web incriminés sont bien entendu par exemple les Google/Yahoo! Mail, Google Document et autres Google Desktop ou Google Calendar dont nous abordions les problématiques précédemment, et les risques sont bien réels. Que ce soit par rapport à des notions de confidentialité personnelle ou professionnelle voire même tout simplement de secrêts industriels ou commerciaux. C'est ainsi tout un système qui peut ainsi être mis en péril.
  
 
== Mise en situation ==
 
== Mise en situation ==

Version du 23 avril 2008 à 10:08

Consignes de lecture

Il est extrêmement difficile d'aborder un tel sujet de manière théorique. Non seulement parce que ce document s'adresse à toute personne intéressée par la question, technicienne ou non, mais également parce que, selon moi, l'illustration est la meilleure manière de rendre compte d'une situation technique.

Noms de firmes

Ainsi je vous présenterai dans ce document un certain nombre de cas concrêts où l'utilisation des outils de la société Google seront pris pour exemple. Il est important de savoir que je ne souhaite pas stigmatiser Google ni ses outils. Je la prends pour exemple car c'est, dans le secteur, la société la plus présente en France et que je ne vois pas meilleur cas d'école. Le remplacement du nom de cette société par "Yahoo!" ou "Microsoft Live" est dans la plupart des cas possible et je compte sur vous, lecteurs, pour être capables de prendre ce recul souvent nécessaire.

Rester critique

De même, ce document n'est en aucun cas un réquisitoire contre telle ou telle société. Il ne se veut qu'une observation subjective de la situation technologique du web actuel et une ouverture vers une réflexion plus intellectuelle que l'approche fonctionnelle proposée par les sociétés visées du secteur. Comme tout article, il convient de rester critique à son égard. Il ne peut en aucun cas être pris pour autre chose que ce qu'il est : l'opinion et le positionnement de son auteur.

Introduction

Les moteurs de recherche sont aujourd'hui les poumons du web. Sans eux, rien ne fonctionnerait. C'est tellement vrai qu'il suffit de voir, parmi les utilisateurs de l'Internet sans connaissance technique particulière, combien de personnes connaissent l'adresse (URL) du site de leur mairie, de l'ASSEDIC pour les chômeurs, de leur quotidien favoris, de leur site préféré, etc... le résultat est surprenant ! Selon le Journal du Net, en 2005 83% des internautes utilisaient "souvent" ou "tout le temps" un moteur de recherche pour retrouver l'adresse d'un site, chiffre qui a dû évoluer encore en ce sens aujourd'hui (via l'intégration de Google dans des outils comme Mozilla Firefox par exemple).

En France, toujours selon le Journal du Net, fin 2007 Google engrangeait 86% des recherches sur Internet. L'utilisation de Google Mail est de plus en plus importante. Les passerelles vers Google Calendar, Google Talk et autres sont de plus en plus aisées. Des outils de statistiques centralisés tel que Google Analytics permettent même de vous suivre en dehors de la sphère Google identifiable. La publicité sur Internet est aujourd'hui encore un secteur florissant car en pleine mutation, avec les publicités ciblées...

Bref tout est là pour que nous soyons en droit de nous poser des questions : Quelle est la part de confidentialité dans ma navigation sur Internet ? Quelle liberté est sacrifiée sur l'autel des fonctionnalités ? Mes usages ne sont-ils pas au coeur de la problématique sur la vie privée dans notre société de l'information ?

Autant de questions auxquelles j'essaierai de répondre dans ce document. Je commencerai pour se faire par un rappel historiques des moyens de protection de la vie privée imaginés tout le long de l'évolution des usages du web ; je continuerai par un nécessaire état des lieux de nos outils de communication, illustré par des exemples concrêts permettant de mieux en saisir les enjeux ; je finirai alors par la synthèse montrant comment ces nouveaux outils contournent nos protections historiques, en mettant en scène un exemple tangible.

Paysage numérique de nos protections

En 1999-2000, lors de mon arrivée dans le monde professionnel des TIC, la notion de cookie suscitait de vives réactions. Aujourd'hui encore, sur le site de la CNIL (Commission Nationale Informatique et Libertés) il est indiqué : "Informer les personnes : c'est une obligation légale", et plus loin de bien préciser la chose par rapport aux cookies... Et pour autant, combien de sites informent leurs visiteurs à ce sujet ? À la place de cela, combien de sites ne fonctionnent pas si on désactive les cookies ?

Les cookies

Un "cookie" est une information déposée par un site Internet sur votre ordinateur, via votre navigateur. Un cookie permet de stocker des informations relatives à votre passage sur le site. Par exemple, il stocke votre parcours sur le site et les informations saisies dans les formulaires (d'identification en particulier). Un cookie est attaché à un nom de domaine et à un "répertoire" racine sur le site.

Par exemple, si vous allez sur le blog de foodpath.eu et que vous vous identifiez, un cookie sera stocké sur votre machine. Ce cookie sera spécifié comme étant défini par l'hôte www.foodpath.eu pour le chemin /blog/. Ainsi toute tentative de lecture de ce cookie par un serveur n'étant pas www.foodpath.eu ou depuis un chemin autre que /blog/ sera rejeté par votre navigateur.

Leur cloisonnement

Ainsi, vous avez effectivement des informations stockées sur votre machine pour le compte d'un service distant, mais ces informations sont cloisonnées. La seule solution qui existe aujourd'hui pour contourner ce système de protection est de construire un réseau tentaculaire où toute les extrémités sont reliées à un même coeur, permettant ainsi d'exploiter les mêmes identifiants et les mêmes informations de manière uniforme.

Les limites de ces protections

La question est rapidement soluble lorsqu'il s'agit des services d'une même société, mais l'énorme puissance des firmes comme Google apparaît lorsque celles-ci mettent en place des systèmes de publicité déportés (les fameux AdSense) ou encore les statistiques de fréquentations pour les sites Internet tiers (Google Analytics).

Comme nous commençons à l'apercevoir, il devient donc incontournable pour mieux comprendre ce rizhome informationnel d'en faire un état de l'art :

État des lieux des outils incriminés

La recherche sur Internet étendue

  • Moteur de recherche (Google Search, Yahoo!, Live de Microsoft)
  • Vidéos (Google Video)
  • Barre d'outil (Google Toolbar, Yahoo! Toolbar, MS Internet Explorer, MSN Toolbar)

L'exemple : La Google Toolbar. 01net titrait le 13 décembre 2007 l'article suivant :

La nouvelle barre d'outils de Google a de la mémoire La dernière version de Google Toolbar (...) permet de retrouver sur n'importe quel PC ses bookmarks et de stocker images et textes. (...) La barre sert aussi à récupérer les informations renseignées dans la fonction (...) [de] remplissage automatique [ce] qui permet de remplir automatiquement certains champs de formulaires (...) comme le patronyme, l'adresse e-mail ou postale. Google rappelle que toutes les données sont stockées sur des serveurs sécurisés.

Nombre d'informations, souvent personnelles ou concernant les usages du surfeur, sont donc stockées sur les serveurs de la compagnie...

Les outils liés directement à Internet

  • Blogs (Blogger)
  • Actualités (Google News, Yahoo! Actualités, MSN News)
  • Groupes de discussion (Google Groups, Yahoo! Groups)
  • Messagerie instantannée (Google Talk, Yahoo! Messenger, Live Messenger)
  • Courrier électronique (Google Mail, Yahoo! Mail, Hotmail)
  • Rencontres, réseau social virtuel (Orkut)
  • Publicités contextuelles (Adsense)

L'exemple : Google Mail, Google Talk. Au départ, l'idée est louable : fournir aux usagers le souhaitant des services de qualité, interopérables, à haute disponibilité. Google Talk est même le premier service commercial à utiliser XMPP, le protocole de messagerie instantannée standardisé par l'IETF.

Ces services imposent, logiquement, une authentification de l'usager, qui est transversale aux différents services proposés. En plus du stockage de l'ensemble des mails de l'usager, "Gmail offre aussi à présent la possibilité de conserver l'intégralité des conversations issues de Google Talk" peut-on lire sur la page idoine de Wikipedia. Au premier abord, cela peut déjà faire grincer les dents, mais si on fait le rapport avec la notion de publicité ciblée Adsense et le croisement des informations avec les recherches effectuées, ca commence à mettre les choses en relief.

Les outils pour la vie personnelle

  • Bloc notes personnel (Google Notebook, Yahoo! "À faire")
  • Gestion d'images personnelles (Picasa, Flickr, Live Gallery)
  • Suite bureautique (Google Documents, MS Office + DRM)
  • Agenda (Google Calendar, Yahoo! Calendar, Live Calendar)
  • Recherches sur votre poste de travail (Google Desktop, MSWindows)

L'exemple : Google Desktop. Google Desktop est un outil de recherche de données sur le poste de travail de l'usager. Une sorte de Google Search privé... mais est-il aussi privé que cela ? Je citerai alors l'article de Nicolas Aguila parut sur Présence PC début 2006 :

L’une [des fonctions de Google Desktop ne fait particulièrement pas l'unanimité. Elle permet] d’effectuer une recherche sur un poste distant afin d’y retrouver un fichier particulier. Cette fonction s’avoue d’ailleurs assez complète et novatrice, puisqu’une recherche sur une machine distante est possible même si l’ordinateur est éteint et déconnecté d’Internet.

Comment le logiciel réussit-il une telle prouesse ? En se basant tout simplement sur des fichiers stockés sur les serveurs de Google et contenant les résultats d’anciennes recherches ou actions effectuées par l’un ou l’autre des ordinateurs.

Nous avons bien compris, les informations de l'usager sont donc stockées de manière identifiable sur des serveurs distants, propriétés de la société Google.

Les autres outils informatiques

  • Traductions (Google Traduction)
  • Cartographie (Google Maps)
  • Cartographie pour téléphonie mobile et positionnement GSM (Google Maps)

L'exemple : Google Maps for Mobiles. En croisant la géolocalisation GSM ou GPS, dernière star des technologies mobiles, et les services de Google Maps offre un service très attrayant pour les utilisateurs : se positionner sur une carte, même sans option (onéreuse) GPS sur son appareil, et profiter des services liés (trouver un restaurant proche, la poste, ...).

Le danger ? Marcher dans la rue et recevoir des SMS publicitaires contextuels (géographiquement, mais également en relation avec ce que la firme connaît de vos goûts et de vos habitudes), au même titre que lorsque vous faîtes des recherches ou consultez vos emails sur les services de Google.

Par exemple, c'est une fiction je le précise, vous avez discuté avec des amis (via Gmail et Google Talk) de la prochaine fête qui approche et vous avez décidé, après une petite comparaison à l'aide du moteur de recherche de Google, d'aller faire vos courses à la Coopérative Bio. Le moment venu, une fois à proximité du croisement où à droite, vous allez à la biocoop et à gauche se trouve l'hypermarché Géant, vous recevez un SMS sur votre mobile : "Géant Casino vous propose 25% de réduction sur tous nos produits bio cet après-midi ! Au moment du passage à la caisse, indiquez le code 15032, la réduction sera immédiate." Je ne vous parle pas de l'email que vous auriez pu recevoir si jamais vous aviez noté la date de ces courses sur votre agenda Google Calendar...

Tout ceci est bien évidemment exagéré, mais vous donne une idée de ce qu'il est possible de faire à travers une utilisation directe de ces outils.

Une sensation d'anonymat

Au moment de s'identifier sur "Live", très insidieusement deux options sont proposées :

  • Mémoriser mon mot de passe, permettant de rester connecté sur la session de l'ordinateur utilisé
  • Mémorier mon adresse, permettant de ne pas être identifié par défaut, mais d'avoir une facilité d'utilisation.

La dernière option est cochée par défaut, facilitant son usage sans questionnement supplémentaire. Si l'utilisateur lit l'explication, il se dit naturellement "je ne suis pas reconnu directement, je suis donc anonyme", hors c'est totalement faux. Cela permet juste de rajouter la barrière du mot de passe pour accéder à ses emails ou données personnelles. Cependant, il reste en totale transparence avec le fournisseur de service, Microsoft Live, Yahoo! comme Google, et ce tout le long de votre parcours en ligne... La preuve en est que, comme par magie, s'il revient à la page de login, on sait déjà de qui il s'agit (adresse email ou nom de compte déjà rempli), il ne manque que le mot de passe. CQFD.

Une identification centralisée

En allant sur "Live" le moteur de recherche de Microsoft et en cherchant à se connecter, on peut lire très clairement :

Vous possédez un compte MSN Hotmail, MSN Messenger ou Passport ? C'est aussi votre identifiant Windows Live ID !

En allant sur Google, tout outil confondu, on peut trouver le lien "connexion" en haut à droite de chaque page (ou presque). Une fois identifié, sur chaque outil de manière unifiée s'affiche à la place son nom et quelques options... Ce qui implique une transversalité totale.

La critique de ces techniques peut venir difficilement à l'esprit dans un premier temps. Il faut alors combiner cette information avec l'étendue des outils disponibles. Si l'utilisateur est identifié pour ses emails, alors il est également possible de savoir quelles régions l'intéresse voire où il se trouve (Google Maps + Mobile), quels sites et quelles pages il visite (Google Analytics), quel est son emploi du temps passé et à venir (Google Calendar), les documents dont il dispose sur sa machine (Google Desktop), etc.

Je ne pense pas nécessaire d'aller plus loin dans la démonstration, si ce n'est d'ajouter les publicités contextuelles présentées un peu partout sur la toile par ces prestataires, ou encore leur "nationalité" U.S. en rapport avec le Patriot Act qui sera approfondi plus tard.

Le patriot Act

Google, mais également Yahoo!, MSN ou Live de Microsoft Corporation sont des firmes U.S. (pour ne pas galvauder le terme "américaines"). Les États-Unis d'Amérique ont passé quelques semaines après leurs attaques terroristes de 2001 un texte de loi nommé "U.S. Patriot Act" qui donne aux autorités les moyens de fouiller secrêtement les données personnelles détenues par des organisations nationales. Ainsi, on pouvait lire sur le site canadien globeandmail.com pré-cité :

"Des experts en sécurités disent que beaucoup d'entreprises commencent à peine à réaliser les risques qu'elles prennent en adoptant massivement les outils web collaboratifs hébergés par une compagnie U.S., problème encore plus important au Canada où les règles fédérales de confidentialité sont en contradiction avec les mesures de sécurité U.S."

Les outils web incriminés sont bien entendu par exemple les Google/Yahoo! Mail, Google Document et autres Google Desktop ou Google Calendar dont nous abordions les problématiques précédemment, et les risques sont bien réels. Que ce soit par rapport à des notions de confidentialité personnelle ou professionnelle voire même tout simplement de secrêts industriels ou commerciaux. C'est ainsi tout un système qui peut ainsi être mis en péril.

Mise en situation

Conclusion

 Where is the Life we have lost in living ?
 Where is the wisdom we have lost in knowledge ?
 Where is the knowledge we have lost in information ?
   T.S. Eliott, in Choruses from The Rock (1934)
 
 Where is the information we have lost in Google ?
   Olivier Ertzscheid, maître de conférence
     en Sciences de l'information et de la communication,
     IUT La Roche Sur Yon

Outroduction

Le document original

Vous pouvez retrouver l'original de ce document sur le site e-glop.net.

L'auteur

Cet article a été écrit par Baptiste SIMON le second trimestre 2008.

Professionnel des logiciels libres depuis 2001, date de sortie de mes études, j'ai eu l'occasion de travailler pour des sociétés privées (Code Lutin et Libre Informatique) comme pour le service public (Éducation Nationale et UNESCO). Depuis 2 ans j'ai créé mon activité (Libre Informatique) dans le secteur de l'Internet et des logiciels libres, orienté vers le spectacle vivant, l'agriculture, les collectivités locales...

Mon engagement de "longue date" (tout est relatif) dans la société civile (Linux-Nantes, HUILE, Kemper l'écologie à gauche, les forums sociaux de Cornouaille, le REPCIP29, Food Path, initiatives auprès de l'Union Européenne, de collectivités locales, ...) m'amène naturellement à porter un regard critique (constructif) sur notre société...

La licence de publication

Ce présent document est fourni sous la licence Creative Commons by-sa 2.0. Il est la propriété intellectuelle de Libre Informatique et de Baptiste SIMON. Il est donc permis de le copier, de le distribuer, de le modifier et de l'utiliser sans limitation, à la condition du respect de sa licence citée, sauf accord express des propriétaires.

Brouillon

Ressources

http://www.voxinternet.fr/spip.php?article118&lang=fr http://www.infos-du-net.com/actualite/6245-google-desktop-search.html http://www.vnunet.fr/fr/news/2008/03/27/confidentialite_des_donnees___google_dans_le_collimateur http://desktop.google.com/fr/linux/ http://www.lexpansion.com/economie/actualite-high-tech/google-se-pose-en-leader-du-droit-a-la-vie-privee-sur-internet_126213.html http://www.customizegoogle.com/

Idées

j'aimerais mettre en avant les méthodes et les fins possibles à des croisements tels que Google Map, Google Search, Google Office, Google Mail, Google Analytics, Google Truc, Google J'en veux encore (remplacer Google par Yahoo!), aux possibles interactions avec le tout récent positionnement GSM, l'évolution de l'électronique portative et embarquée, etc... l'énorme faille dans la protection de notre vie privée que cela représente, alors qu'on a mis autant d'énergie à déployer des moyens techniques de se la préserver, qui sont aujourd'hui totalement contournables.

Bien entendu, après la méfiance, l'ouverture, et comment s'y retrouver, nous autres citoyens lambda dans ce capharnaum et dans la gestion de nos outils de communication.