Utilisateurs de Tor identifiés – Le FBI reste muet

Le FBI n’a absolument aucune envie de dévoiler la méthode secrète qu’il a employé pour pirater plus d’un millier de membres d’un site pédopornographique. Et cela, même si c’est la justice américaine qui lui demande.

C’est en effet ce qu’est en train de révéler le procès visant une personne accusée d’avoir fréquenté cet espace, dont l’accès ne pouvait se faire qu’à travers le réseau d’anonymisation TOR.

Dans cette affaire, les avocats du prévenu souhaitent connaître la technique utilisée par la police fédérale pour infecter les ordinateurs de ceux qui visitaient Playpen — le nom de ce site pédopornographique — lorsqu’il était encore en ligne.

Pour la défense, il s’agit de tenter de démontrer que le FBI a outrepassé ses prérogatives au cours de l’enquête, en débordant du cadre de son mandat.

 
Sceau FBI
L’approche du FBI dans l’affaire PlayPen fait polémique outre-Atlantique.
En février, le magistrat a donné suite à cette demande et exigé du FBI qu’il communique à la partie adverse tous les détails de sa méthode de piratage. Mais comme le pointe la BBC, le service de police est particulièrement hostile à cette demande. Un courrier a été adressé cette semaine au juge afin de l’inviter à reconsidérer sa position, estimant que la défense dispose déjà de suffisamment de pièces pour travailler.

En réalité, l’opposition du FBI vise avant tout à préserver l’intérêt de sa technique. En effet, il se pourrait qu’une communication des détails à la partie adverse affaiblisse l’efficacité de cette méthode. Si celle-ci devient publiquement connue, les failles qu’elle exploite seraient tôt ou tard colmatées par TOR, les navigateurs et les serveurs hébergeant des sites web. De même, les utilisateurs se montreraient aussi plus prudents.

LE FBI VEUT PRÉSERVER L’EFFICACITÉ DE SA MÉTHODE EN LA GARDANT SECRÈTE
C’est sans doute ce scénario que le FBI veut éviter, afin de pouvoir l’appliquer de nouveau à l’avenir si le besoin s’en fait sentir. Et si la position de la police fédérale se défend, celle de la défense, qui agit dans l’intérêt de son client, est tout aussi audible : le FBI a-t-il enfreint son mandat au nom de la loi ? Et la méthode employée est-elle vraiment fiable ? Une erreur au niveau de l’identification de l’internaute est toujours possible.

L’affaire Playpen remonte au tout début de l’année 2015, lorsque le FBI réussit à prendre le contrôle des serveurs du site pédopornographique. Plutôt que de le fermer immédiatement, ce qui a aussi provoqué son lot de critiques lorsque l’information a été révélée publiquement, la police opte pour une autre approche, celle du honeypot : le site est demeuré actif pendant près de deux semaines, en utilisant ses propres serveurs, de façon à voir qui se connecte sur Playpen.

 
Le principe du réseau TOR rappelle celui des couches de l’oignon qui masquent le cœur de la plante.
C’est à ce moment-là que le FBI a utilisé sa fameuse technique pour contaminer le poste informatique des visiteurs, afin, notamment, de récupérer leur véritable adresse IP, qui est habituellement cachée avec le réseau d’anonymisation TOR, puisque la connexion passe par une succession de relais afin de camoufler la géolocalisation du PC d’origine.

Une fois l’adresse IP en main, il a suffit de contacter les fournisseurs d’accès à Internet — en tout cas ceux aux USA — pour avoir l’identité des internautes. Au total, la technique du FBI a permis de collecter pas moins de 1 300 adresses IP… [Lire la suite]

Réagissez à cet article

Mise à disposition d’un accès Internet au public – Quelles précautions ?

Le déploiement d’un réseau Wi-Fi public nécessite de respecter certaines exigences juridiques. Il s’agit de savoir si le professionnel du tourisme est ou non identifié en tant qu’opérateur télécoms (I). Ensuite, toute connexion au réseau Wi-Fi nécessite, préalablement, de respecter plusieurs principes (II). Enfin, il existe différentes contraintes légales quant aux données liées aux utilisateurs et à leurs connexions au réseau Wi-Fi (III). Ne pas respecter toutes ses exigences peut engager directement la responsabilité de toute personne exploitant un réseau Wi-Fi interne ouvert au public.

I- OPÉRATEUR… OU PAS OPÉRATEUR ?
Selon le Code des postes et communications électroniques (CPCE, art. L. 32 , 15°), un opérateur est une « personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques. »
Le même code précise que « L’établissement et l’exploitation des réseaux ouverts au public et la fourniture au public de services de communications électroniques » nécessitent « une déclaration préalable auprès de » l’Arcep (CPCE, art. L. 33-1, I ). Toutefois, l’alinéa suivant libère les exploitants de « réseaux internes ouverts au public » de toute obligation de déclaration auprès de l’Arcep.

L’absence de déclaration Arcep
Le déploiement d’un réseau Wi-Fi localisé à un bâtiment ou une zone réduite rentre dans cette qualification de « réseau interne ouvert au public ». Ceci concerne toute structure : cybercafés, immeubles de bureaux, hôtels, bibliothèques, etc. Ils peuvent implanter et mettre à disposition d’un public un réseau Wi-Fi sans avoir à faire une quelconque « déclaration préalable ». Le mode d’accès au réseau (filaire ou hertzien) autant que le nombre de personnes pouvant se connecté n’a pas d’influence tant que le réseau est et reste localisé. Il faut uniquement que ce public soit restreint et que, en cas de réseau Wi-Fi, les distances d’émissions des ondes ne dépassent pas excessivement les limites de propriété en ce que le réseau doit rester interne.
II- LE RÉSEAU WI-FI, CONDITIONS TECHNIQUES ET CONSIDÉRATIONS JURIDIQUES
Localisé, le réseau Wi-Fi ne peut être implanté qu’en tenant compte de différents éléments techniques (A), ce qui permet de le sécuriser partiellement face à ces utilisateurs (B).

A- Eléments techniques liés à l’implantation du réseau Wi-Fi
La protection d’un réseau Wi-Fi se pense en termes d’architecture réseau (1), de sécurisation logique du réseau (2), de blocages d’accès (3) et de limitation des seuils d’exposition (4).

1. Architecturer le réseau Wi-Fi
On ne fait pas ce que l’on veut en matière d’architecture de réseau de communications électroniques. L’implantation d’un réseau Wi-Fi, où qu’il se trouve, nécessite d’être pensée. En outre, plus l’endroit concerné sera étalé malgré sa localisation, par exemple un musée ou un camping, plus la configuration sera complexe est exigeante. Dès lors, faire appel à un prestataire compétent permettra des gains de temps et des économies d’échelle.
câbles et prises de connexion ethernet
câbles de connexion
L’idée d’un « réseau » implique l’implantation de plusieurs équipements de différents niveaux interdépendants :
* hardwares : hotspots, antennes, centrale informatique, mitigeurs, serveurs, etc. ;
* software : logiciels de gestion informatique, pare-feu, gestion de données, etc.
Outre le fait de disposer des bons équipements, il est nécessaire d’implanter au mieux les hotspots Wi-Fi pour :
* limiter le nombre à acheter ;
* éviter de surcharger le réseau ;
* limiter les expositions aux ondes hertziennes Wi-Fi.
La loi obligeant à conserver certaines données, il s’agira également de tenir compte des volumes de données à stocker, de leurs périodes de péremption et de leurs sécurisations (cf. partie II-A).
La sécurisation physique du matériel n’ait pas à négliger. Outre les risques liés aux vols, il faut empêcher tout accès non autorisé au réseau. Ceci concerne avant tout les serveurs centraux, lesquels contiennent des données, notamment personnelles.

2. Sécurisation logique du réseau Wi-Fi
Selon l’ article 323-1 du Code pénal , « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni (…). »
Sans préciser le mode d’accès (physique ou logique), cet article s’avère très large. Il fait appel aux articles 226-17 du même code et 34 de la loi informatique et libertés (cf. partie III-A-2).
En dehors de la loi, c’est un réflexe de bon sens que de protéger son matériel informatique pour se prémunir des intrusions, frauduleuses ou non. Les risques d’aspirations de données sont une réalité mais il en est une autre, celles liée aux accès et utilisations malveillantes du réseau Wi-Fi. Il paraît ainsi préférable de sécuriser le réseau pour éviter tout accès risqué, ceci se faisant via des accès par identifiants (cf. partie II-B). Les restrictions d’accès sont une meilleure garantie à la protection logique du réseau. Ceci permet également de se prémunir contre les fraudes électroniques, les risques liés au terrorisme, les pratiques illicites sur internet (pédophilie, xénophobie, apologie, diffamation, piratage, etc.), le tout en conformité à la loi Hadopi.

Enfin, l’ANSSI a publié des « Recommandations de sécurité relatives aux réseaux WiFi ».

3. Blocage d’accès
Si certains des risques cités ci-dessus paraissent plus théoriques que réalistes, l’on ne peut être sûr de rien. En effet, le comportement de chaque utilisateur du réseau Wi-Fi interne ne peut être contrôlé. Par exemple, peut-on empêcher un utilisateur d’accomplir des actes de téléchargements illégaux sachant que c’est la responsabilité de l’opérateur local qui sera engagée ?
Il paraît préférable de bloquer l’accès de certains sites internet présentant un risque quelconque pour l’opérateur interne. Commercialement parlant, il n’est pas envisageable de bloquer un grand nombre de sites. Raisonnablement, un blocage ciblé est permis face, par exemple, à des sites de partage de fichiers, de téléchargement illégal et/ou à caractère pornographique.
Pour mettre en place ces blocages ciblés, il faut en informer les utilisateurs du réseau. Cette information se fera par une note d’information qui s’affichera en lieu et place du site bloqué. Elle doit également se faire de manière préalable en étant stipulée dans la « Charte d’utilisation du réseau Wi-Fi » (cf. partie II-B-2).

4. Limitation des seuils d’exposition
Même s’il s’agit également d’une question polémique, la nocivité des émissions d’ondes électromagnétiques ne doit pas être négligée. Les seuils d’exposition tolérés ont diminués au fil des polémiques et des années.
Pour optimiser la captation de signaux des hotspots Wi-Fi, il faut les positionner au mieux sur l’espace interne à desservir. Dès lors, l’aide d’un prestataire pour architecturer l’emplacement des bornes n’est pas dénuée du sens. Dans plusieurs crèches et écoles maternelles, des parents ont fait les émissions d’ondes Wi-Fi sous prétexte de principe de précaution au profit de la santé de leurs enfants.
L’ OMS a institué des seuils d’exposition , lesquelles doivent être respectés. Concernant la France, les seuils nationaux peuvent être plus restrictifs !
L’association Robins des Toits met à disposition un dossier très complet concernant les dangers du Wi-Fi .

B- La sécurisation juridique face aux utilisateurs du réseau Wi-Fi
La sécurisation du Wi-Fi n’est pas liée qu’aux risques d’introductions malveillantes, à la loi et aux ondes électromagnétiques. Elle concerne directement les utilisateurs du réseau interne lui-même. Il paraît préférable d’en restreindre les possibilités d’accès (1) et de mettre en place une « Charte d’utilisation du réseau Wi-Fi » (2).
1. Les restrictions d’accès au réseau Wi-Fi
Même si cela ne constitue pas une réelle obligation légale, il paraît préférable de restreindre les possibilités d’accès au réseau Wi-Fi en tant que tel. Ainsi, mettre en place des codes d’accès ou obliger l’utilisateur à s’identifier préalablement s’avère être une bonne alternative. Cela permet de limiter les risques d’accès frauduleux et de satisfaire à la protection face aux actes non autorisés sur internet : pédopornographie, diffamation, piratage, actes terroristes, etc.
Allant plus loin pour mieux sécuriser et restreindre, on peut imiter la durée de vie de chacun des codes d’accès.
Attention, la mise en place de codes d’accès conduit inévitablement à la collecte de données à caractère personnelle. Il faut donc se soumettre à toutes les dispositions de la loi informatique et libertés (cf. partie III) : déclaration Cnil, information préalable des utilisateurs, sécurisation des données, effacement, etc.
2. La mise en place d’une « Charte d’utilisation du réseau Wi-Fi »
Face aux utilisateurs du réseau Wi-Fi, une bibliothèque, un cybercafé, un musée ou un camping peu mettre en place une « législation de proximité » destinée à encadrer les droits et devoirs de ses utilisateurs. Ce cadrage s’accompli par un document de valeur contractuelle accepté par tout utilisateur du réseau interne. En général dénommé « Charte d’utilisation du réseau Wi-Fi », il s’agit, pour l’opérateur local, de proposer une convention qui lui permettra de stipuler des réserves de responsabilité face à l’utilisation de son réseau. Cette charte est comparable aux conditions générales d’utilisation (CGU) de tout site ou service internet.
connect-20333_1280
Ainsi, la Charte d’utilisation du réseau Wi-Fi est un document essentiellement destiné à protéger l’opérateur interne (bibliothèque, musée, camping, etc.) face aux utilisations de son réseau par ses clients. Mais pourquoi ? Tout simplement parce que, malgré l’installation de restriction d’accès (codes d’indentification et blocage de sites), on ne peut jamais contrôler le comportement des utilisateurs. La charte doit stipuler que l’utilisateur n’a pas le droit d’accomplir telle ou telle action ; s’il le fait, il engage directement sa responsabilité !
Mais la charte doit être acceptée préalablement à l’utilisation effective du réseau. Cette acceptation doit donc avoir lieu dès la première connexion au réseau interne. Cela s’opère à condition que l’utilisateur coche une case indiquant « J’accepte la Charte d’utilisation du réseau Wi-Fi. » Cette case doit obligatoirement être un opt-in, c’est-à-dire qu’elle ne doit pas être précochée par défaut. C’est l’utilisateur qui doit volontairement, indépendamment et explicitement cocher cette case d’opt-in.
Les différentes stipulations de la charte doivent être adaptées à l’opérateur qui met à disposition le Wi-Fi interne et à ses modes de fonctionnement. Entre autre, peuvent être stipulées l’acceptation de la charte elle-même, les restrictions d’utilisation, les actes interdits et le fait que certaines données à caractère personnel des utilisateurs peuvent être collectées et conservées.
Enfin, il ne faut pas oublier d’insérer des mentions légales au sein de la Charte ( Code de la consommation, art. L. 111-2 ; loi CEN, art. 6-III ). Vous pouvez trouver une matrice pour mentions légales , elle est librement disponible sur le site de l’association AEC.

III- QUANT AUX DONNÉES LIÉES AUX CONNEXIONS WI-FI
Une donnée est le conteneur d’une information, elle est destinée à apporter un renseignement.
Lors de tout accès à internet via un Wi-Fi quelconque, des opérations de collectes, de transferts et d’échanges de données ont lieu. Cela oblige à conserver certaines données (A). Lorsqu’il s’agit de données à caractère personnel, les opérations de collecte et de traitement doivent suivre certaines obligations légales (B).
binary-system-63526_1280 (1)
A- Collecte et conservation de données
L’ article 9 du Code civil énonce que « Chacun a droit au respect de sa vie privée. » Suivant cette disposition d’ordre public, le CPCE énonce en son article L. 34-1 toutes les règles juridiques liées aux opérations de collecte et de conservation de données auxquelles doivent se conformer « Les personnes qui (…) offrent au public une connexion (…) réseau, y compris à titre gratuit, » (II, al. 3). Ainsi, ces personnes peuvent « conserver certaines données en vue d’assurer la sécurité de leurs réseaux. » (IV, in fine).
Un hôtel, une bibliothèque ou un musée sont notamment soumis à cette obligation de conservation de données s’ils mettent en place un réseau Wi-Fi interne ouvert à leur clientèle. Il s’agit donc de savoir quelles données sont concernées (1), dans quelles conditions elles doivent être conservées (2), sans omettre la situation particulières des salariés (3) qui peuvent également avoir accès au réseau hertzien interne local.
1. Les données soumises à conservation
Il n’est pas nécessaire de conserver tous les types de données. Le Code des postes et communications électroniques liste qu’elles données sont obligatoirement soumises à conservation.
Les articles R. 10-13 et R. 10-14 , IV dudit Code énonce qu’il faut conserver des données dites de « trafic » ; c’est-à-dire, en application du l’ article R. 10-12 du CPCE , des « informations (…) susceptibles d’être enregistrées par l’opérateur à l’occasion des communications électroniques (…) et qui sont pertinentes au regard des finalités poursuivies par la loi. » Les deux articles suivants permettent d’identifier de telles informations.
Ces données de trafic concernent :
* Art. R. 10-13 , pour « les besoins de la recherche, de la constatation et de la poursuite des infractions pénales » : « a) Les informations permettant d’identifier l’utilisateur ; b) Les données relatives aux équipements terminaux de communication utilisés ; c) Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ; d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ; e) Les données permettant d’identifier le ou les destinataires de la communication. »
* Art. R. 10-14 , IV, « Pour la sécurité des réseaux et des installations » :« a) Les données permettant d’identifier l’origine de la communication ; b) Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ; c) Les données à caractère technique permettant d’identifier le ou les destinataires de la communication ; d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs. »
Si l’on constate que la plupart des informations à conserver ont un caractère technique (caractéristiques des terminaux informatiques utilisés, volumétries des communications, connexions aux services), certaines concernent l’identification des utilisateurs. Mais, qui dit collecte de données d’identification d’une personne physique – ici l’utilisateur d’un réseau Wi-Fi interne – dit collecte de données personnelles ! D’ailleurs, cette partie réglementaire du CPCE concerne la protection de la vie privée des personnes.
Pour rappel, une donnée personnelle est une « information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement » ( loi IL, art. 2, al. 2 ). Face aux données de trafic à collecter et conserver, cela concerne les informations d’identification des utilisateurs, l’origine de la communication ou les caractéristiques des terminaux utilisés. Par exemple, il en ira ainsi des nom, prénom et coordonnées (adresse, mail, numéro de portable) de l’utilisateur, des identifiants numériques et informatiques de son ordinateur ou smartphone (adresses MAC et IP, numéros constructeurs, etc.), de sa géolocalisation ou encore de navigation sur internet.
Dans le respect de la vie privée des personnes et de la loi informatique et libertés , lesdits utilisateurs doivent être informés de telles opérations de collectes. Cela s’opère par l’acceptation de la charte d’utilisation du réseau Wi-Fi (cf. partie II-B).
Un problème demeure : la collecte de « données permettant d’identifier le ou les destinataires de la communication. » ( CPCE, art. R. 10-13 , e). En effet, il y a là aussi collecte de données personnelles… mais auprès de personnes n’en étant pas préalablement informées et n’ayant pas accepté cela préalablement. On touche ici une limite à la protection de la vie privée. Cependant, ces collectes suivent des considérations d’ordre public liées à la sécurité du territoire et la protection des personnes (notamment la lutte contre le terrorisme ). Une telle finalité permet de passer outre la protection de la vie privée au nom de l’intérêt général. Pour bénéficier d’un minimum de sécurité juridique, il est préférable de stipuler de telles collectes dans la charte d’utilisation du réseau Wi-Fi (cf. partie II-B).
Ceci ne doit surtout pas être négligé. Le non-respect de cette obligation de conservation expose les personnes morales à une amende de 375 000 € d’amende ( CPCE, art. L. 39-3 ; Code pénal, art. 131-38 ).
2. Les conditions de conservation des données
À compter du jour de la collecte, l’ article R. 10-13 du CPCE , III oblige à conserver toutes ces informations pendant « un an ». Sans plus de précisions, aucune période maximale ne semble exigée. Donc, au-delà de ces douze mois, la loi informatique et libertés s’applique. De manière générale, son article 6 énonce que les données personnelles collectées doivent être « conservées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. » C’est donc la « finalité » de la conservation qui prime ; au regard du CPCE, il s’agit ici « de la recherche, de la constatation et de la poursuite des infractions pénales ». Ainsi, si un an est le minimum légal, il semble préférable de ne pas aller au-delà de deux années.
Plus claire, l’ article R. 10-14 dispose que la durée de conservation ne doit pas excéder « trois mois ».
Passées ces périodes, les données collectées ne peuvent être conservées que si elles ont fait l’objet d’une anonymisation ( loi IL, art. 39-II , dernier al.).
Dans ses aspects techniques et numériques, la conservation des données de trafic doit être sécurisée. Outre l’utilisation de codes d’accès sécurisés, le matériel sur lesquelles elles sont conservées doit être sécurisé et protégé. Si l’opérateur interne les conserve chez lui sur un disque dur, il devra le tenir sous clé et éviter tout accès physique. Il paraît tout de même plus simple et efficace de faire appel à un prestataire hébergeur, lequel a de très fortes obligations de sécurisation physique et logique des données qu’il héberge.
3. Quant aux salariés de l’opérateur Wi-Fi interne
Cas à part, les salariés peuvent eux aussi être utilisateurs, à titre professionnel et/ou personnel, du réseau Wi-Fi interne à disposition.
Selon l’article L. 1222-4 du Code du travail , toute collecte d’« information concernant personnellement un salarié (…) par un dispositif quelconque [doit être] porté préalablement à sa connaissance. » L’indifférence face au dispositif de collecte fait que la collecte de données via réseau Wi-Fi interne est concernée. Ce porté à connaissance peut s’accomplir de différentes façons :
– par affichage et lettre d’information auprès des salariés ;
– par un avenant au contrat de travail, cet avenant devant expressément et personnellement être signé par l’employeur et chaque employé ;
– par une clause particulière au sein de tout nouveau contrat de travail établi après installation du dispositif de collecte via Wi-Fi interne.
Enfin, dans le cadre de l’article L. 2323-32, alinéa 3 du Code du travail , la « mise en œuvre dans l’entreprise » d’un Wi-Fi conduit à des collectes de données relatives aux employés. Cela permet à l’employeur d’exercer « un contrôle de l’activité des salariés. » Ceci impose d’en informer « préalablement » le comité d’entreprise.
B- Obligations légales face aux données collectées
Sous conditions, la loi oblige a rendre disponibles les données collectées, même si celles-ci sont des données personnelles (1), dans le cadre de procédures judiciaires (2).
detective-152085_1280
1. Face aux données personnelles
Concernant les données personnelles, toute opération de collecte nécessite de constituer un fichier contenant de telles données. Dans le cadre de l’ article 25-I de la loi informatique et libertés , ce fichier doit obligatoirement faire l’objet d’une déclaration auprès de la Commission nationale informatique et libertés ( Cnil ). Seul le fait d’opérer des collectes doit être déclaré. Donc, les données collectées doivent rester strictement confidentielles et ne surtout pas être déclarées, même face à la Cnil. Par dérogation prévue au III du même article, la présence d’un Correspondant Informatique et Libertés ( CIL ) apporte une dispense aux obligations de déclaration. En effet, le Cil est une sorte de garant des données personnel car il est « chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans la » loi informatique et libertés.
En son article 34 , cette loi oblige à « prendre toute précautions utiles (…) pour préserver la sécurité des données et, notamment, empêcher (…) que des tiers non autorisés y aient accès. » Cette obligation est rappelée à l’ article 226-17 du Code pénal .
Plus généralement, en lien aux dispositions pénales énoncées par la loi informatiques et libertés ( art. 50 à 52 ), ce sont les articles 226-16 à 226-24 du Code pénal qui répriment les « mauvais » comportements face aux données à caractère personnel. À ce titre, l’ article 226-16 puni « Le fait (…) de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’ai été respectées les formalités préalables à leur mise en œuvre ».
2. Face aux procédures judiciaires
Les autorités judiciaires (services de police ou de gendarmerie et tribunaux) sont habilitées à demander et obtenir communications des données collectées. Cette habilitation s’étend également aux données personnelles. Cette communication est obligatoirement demandée dans le cadre d’une réquisition judiciaire . Elle poursuit des objectifs de lutte contre les fraudes électroniques , contre le terrorisme , contre les pratiques illicites sur internet (activités pédophiles, xénophobie, apologies, diffamation, piratages, etc.) et en conformité à la loi Hadopi .
En dehors des juridictions privées, une réquisition administrative peut être ordonnée pour communiquer les données collectées ( CPCE, art. L. 34-1-1 ) dans un but de prévention et de lutte contre le terrorisme.

… [Lire la suite]

Réagissez à cet article

Sans GPS, Google sait d’où vient une photo 

Les équipes de Google spécialisées en intelligence artificielle mettent actuellement au point un logiciel capable d’identifier le lieu où a été prise une photo, sans avoir besoin d’utiliser les données GPS de la prise de vue.

Baptisé « PlaNet », ce projet de Google n’a pas encore atteint des résultats vraiment fiables, mais le logiciel est déjà meilleur que les humains pour reconnaître la géolocalisation d’une photo.

En se fondant sur une base de données de plus de 2 millions d’images géolocalisées de FlickR, les ingénieurs de Google sont désormais capables de deviner à 48% l’endroit où a été prise une photo. Ce niveau de performance permet à PlaNet de battre des humains 3 fois sur 5 en moyenne.

Sur le site GeoGuessR, les internautes sont invités à se confronter à PlaNet. En 20 secondes, les visiteurs doivent essayer de deviner l’endroit où une photo a été prise, ce qui est un véritable défi quand il s’agit d’un paysage désertique.

A ce petit jeu de géolocalisation, le logiciel PlaNet atteint une précision de 1 130 kilomètres, là où les humains n’en sont qu’à 2 320…

Un résultat surprenant pour un logiciel léger, qui pourrait tenir sans problème sur un smartphone, et devenir à terme, un logiciel de reconnaissance d’images que Google pourrait utiliser … [Lire la suite]

Réagissez à cet article

Panorama de la Cybercriminalité en 2015 :  Attaques sur tous les fronts !

Après l’introduction par Lazaro Pejsachowicz, le président du CLUSIF qui a présenté les différentes activités de l’association, le panorama a débuté. En introduction il a rappelé que le cyber-crime se porte très bien. En outre, il a annoncé qu’en juin prochain aura lieu la conférence sur les résultats de l’enquête MIPS pour Menaces Informatiques et Pratiques de Sécurité.

Fabien Cozic

Quelques astuces utilisés en 2015

Fabien Cozic, directeur d’enquêtes privées Read Team Investigation, a passé en revue quelques astuces utilisées par les pirates a commencé par la Yes Card qui a exercé ses activités en France et en Belgique. Le pirate était un ingénieur qui avait rajouté une petite puce de la carte bancaire qui permettait de valider les transactions en se substituant à la puce déjà installée.

Un groupe de pirate avait mis en place un système astucieux de déposé et de retrait des sommes. Puis une équipe en République Tchèque puis un second groupe effectuait des transactions aux Etats-Unis puis les annulait et récupérait ainsi de l’argent. Le préjudice se chiffrerait autour de 6 millions d’euros.

XCode Ghost qui a détourné le système de contrôle des applications d’Apple. Les pirates ont utilisé une faille humaine de ce système pour déposer des malwares afin de récupérer des informations

Le malwares Turla a utilisé des APT pour réaliser des écoutes en se servant des liaisons des satellites de communication.

Un malware a été conçu pour prendre le contrôle de la lunette de visé d’un fusil afin de déclencher le tir…

Pour conclure il a cité le détournement d’un jouet en utilisant le système de communication pour ouvrir les portes de garages. Ce malware a contribué à plusieurs cambriolages aux Etats-Unis.

Hervé Schauer

Le 0 Days un business juteux pour les entreprises

Loïc Samain de CEIS représenté par Hervé Schauer a présenté l’évolution du business des 0 Days. La palme de l’année revient à un 0 Day sur IOS qui a été récompensé par 1 millions de $. Les systèmes de plateforme de 0 Day existent et se développent. Leurs clients sont tout d’abord les gouvernements qui veulent réaliser des écoutes, mener des attaques… Il a donné quelques exemples de prix comme par exemple 2000$ pour un 0 Day ciblant un site de ecommerce, pour Windows le prix est de 15000$… et pour IOS a atteint 1 million de $.

Le 20 mai 2015 la proposition Wassenaar sur les 0 Day a été publié et elle est déjà adopté par plusieurs pays. Une nouvelle proposition pour amender cette proposition devrait être faite en 2016. Aujourd’hui les primes aux 0 Days explosent avec des prix allant de 2000$ à plusieurs milliers de $. Ainsi, les entreprises de Bug Bounty voient leur valorisation exploser.

Ainsi, Vupen est devenu un grossiste en 0 Day et s’appelle aujourd’hui Zerodium. En janvier 2016 une faille de sécurité a été payée 100 000$ par cette entreprise pour la découverte d’une faille sur flash. Pour Hervé Schauer « 2015 est donc l’année de la professionnalisation de ce marché. »

Loïc Guezo

La cyber-diplomatie commence à émerger

Loïc Guezo, Strategist chez Trend Micro, a expliqué que l’on va vers une cyber-diplomatie avec entre autre la remise en cause de l’ICANN qui est au centre de très grandes manœuvres. On a de nombreux pays qui reconnaissent une capacité offensive sur Internet a commencé par les États-Unis, la Grande Bretagne, la Chine, la Russie et maintenant la France. En 2015, il a rappelé le cas du piratage OPM qui est une sorte de RH des agents des services spéciaux américains avec la récupération très personnel sur l’ensemble des collaborateurs. La Chine a été suspectée d’être l’auteur de ce piratage. Suite à cette accusation plusieurs arrestations ont eu lieu en Chine afin de faire diminuer les tensions entre ces deux pays. Aujourd’hui, le doute persiste sur la nature des personnes arrêtées. Le 31 décembre 2015 les autorités américaines ont ressortie une attaque sur 2009 ciblant Microsoft. Par contre Microsoft n’a pas alerté ces clients. Par ailleurs, la Russie a signé un pacte de non-agression avec la Chine mais ne signifie pas l’arrêt des opérations entre ces deux pays, il y a par contre une convergence de doctrine sur l’Internet autour de l’idée de souveraineté.

Quant à l’Iran et dans une moindre mesure à la Corée du Nord, ils ont été pointés par les Etat-Unis comme deux dangereux pays sources de piratages.

Par ailleurs, il a cité l’Accord Umbrella qui a été noté comme une grande avance en particulier Ui permet de facilité les procédures d’extradition. En France, il faut noter la publication de la Nouvelle Stratégie de la sécurité du numérique. A cette occasion, David Martinon a été nommé Ambassadeur pour la cyber-diplomatie et de l’économie digitale.

La cyber-diplomatie est devenue un élément clé de la vie politique dont l’influence géopolitique prévue dans cette nouvelle stratégie.

François Paget

Le Djiad Numérique : recrutement, endoctrinement…

François Paget a présenté pour sa part le Djiad Numérique. Lors du panorama 2004, il avait été évoqué l’utilisation d’Internet par les terroristes. Aujourd’hui, ils utilisent les réseaux sociaux et adressent plusieurs milliers de Tweet par jour. Daesh offre des conseils pour se dissimuler via par exemple les réseaux Tor, mais aussi Telegram. Ce dernier réseau social est dominant en Russie. Il permet de communiquer de façon chiffrée mais aussi de détruire les messages une fois lus. Les djihadistes se servent aussi du darknet, peut-être de Bitcoins… pour acheter des armes. Sans compter que les réseaux sociaux sont utilisés pour recruter des membres mais ce n’est pas le seul vecteur d’enrolement.

En novembre, les Anonymous se sont réveillés pour attaquer les djihadistes avec des actions parfois intéressantes, mais ils aussi ont réalisé des bévues qui ont parfois ralenties les actions des forces de police, voire aussi en attaquant des sites qui étaient en arabes mais sans aucun lien avec les terroristes.

En janvier dernier, il y a eu des défacements de sites surtout en janvier en particulier par Isis. Par contre, il y en a eu très peu après les attentats de novembre. Durant ces moments tragiques, Google a été particulièrement sollicité. Par contre, les réseaux sociaux ont servi à des élans de solidarité surtout en novembre. En revanche, Facebook a mis parfois beaucoup de temps pour fermer des sites malveillants. Quant à tweeter il a agi un peu plus rapidement, mais a laissé courir de nombreuses rumeurs. En ces périodes, il y eu de nombreuses fausses rumeurs qui ont circulé avec même des chevaux de Troie dissimulés dans certaines images.

Amélie Paget

Vers une limitation des libertés ?

Amélie Paget, consultante juridique SI HCS by Deloitte a fait le point sur les deux nouvelles lois publié en 2015 pour renforcer les pouvoir de l’Etat : la loi sur le renseignement et l’Etat d’urgence. Pour ce qui concerne l’état d’urgence il a été prorogé jusqu’au 26 février 2016. Désormais, lors des perquisitions, les agents peuvent accéder aux données stockées sur les systèmes Informatiques ou l’équipement terminal ou accessible à partir du système initial. En outre, ils auront la possibilité de copier les donner et d’effectuer des saisies en cas d’infraction. Par ailleurs un projet de loi souhaite insérer à notre Constitution, un nouvel article consacré à l’état d’urgence.

En ce qui concerne la Loi sur le renseignement, elle donne des prérogatives pour accéder aux données de connexion en les demandant aux opérateurs, aux FAI et hébergeurs.. Les agents peuvent utiliser des outils de géolocalisation et demander en temps réel aux FAI des information et documents qui transite sur le réseau. Bien sûr toutes ces actions ne peuvent s’effectuer que pour protéger les intérêts fondamentaux de la Nation, notamment pour la prévention du terrorisme. Les agents peuvent collecter des informations en échangeant sur la toile. Quant au chiffrement les opérateurs auront 72 heures pour offrir un système de déchiffrement ou directement les documents en clair.

Gérôme Billois

Objets connectés : la sécurité doit être intégré by design

Gérôme Billois, Manager Sécurité de Solucom a traité des attaques sur les objets connectés en rappelant qu’en juillet dernier deux chercheurs ont pris le contrôle à distance d’une voiture connectée. En fait, les consoles de bords sont connectées à un premier Réseau dit de confort et un second pour la conduite comme celui qui gère le régulateur de vitesse, la boîte de vitesse, le volant… En fait, la console de bord est assez facile à pirater et permet de prendre le contrôle de la console de confort. Par contre, la console de sécurité est plus difficile à pirater. Par contre, avec du temps et un peu de chance selon les dires de ces deux chercheurs, la prise de contrôle sur la console de sécurité est faisable. Cette démonstration a eu des impacts médiatiques mais aussi financiers pour les constructeurs avec l’envoi de clés USB aux utilisateurs pour faire des mises à jours, heureusement à ce jour, toujours pas d’attaque sur les voitures… Toutefois il est possible d’envisager la diffusion de ramsowares qui bloqueraient les voitures….

Au delà des voitures, les jouets connectés ont fait l’objet d’attaques plus ou moins amusants avec par exemple Barbie, les téléviseurs… Par contre, d’autres attaques seraient plus graves comme celle sur des pompes à insuline, des fusils, voir des avions…

En fait, en matière de sécurité des objets connectés il y a 4 dimensions à prendre compte : ceux qui les conçoivent, ceux qui les achètent, ceux qui les conseillent et tous ceux qui vont les accueillir en particulier dans les entreprises. Il faut donc réagir en intégrant la sécurité, en protégeant notre vie privée, sans oublier les spécificités de ces objets. Demain, nous allons voir arriver les objets autonomes qui vont demain faire partie de notre quotidien avec par exemple des robots qui vont être mis dans les boutiques Nespresso, à bord des bateaux de Costa Croisières… Cela pose, de nombreuses questions juridiques.

Garance Mathias

Objets connectés : les premiers procès à l’horizon 2016

Garance Mathias en préambule de son intervention explique que nous sommes tous concernés par les objets connectés car nous en avons tous. Le droit à déjà prévu le fait que l’on est responsable de nos objets. Un grand classique du droit est qu’il s’impose à tous les acteurs : le concepteur, l’utilisateur… Par exemple, le Cloud qui relie les objets connectés n’est qu’une externalisation avec toutes les contraintes liées.

Concernant les objets connectés, il faut aussi prendre en compte les analyses d’impacts d’où la nécessité pour les fabricants d’embarquer la sécurité y design. Elle a pris l’exemple de Vtech qui avait fait l’objet d’une plainte par « UFC Que Choisir » du fait de la non-prise en compte de la protection de la vie privée.

Le Colonel Éric Freyssinet

Téléphonie mobile : le protocole SS7 mis à mal…

Le Colonel Éric Freyssinet a évoqué en premier lieu la sécurité des téléphones mobiles. Fin 2014, une conférence lors du CCC a mis en lumière une vulnérabilité dans le protocole SS7 qui permettait de rediriger des communications et d’intercepter des SMS (chiffrés). En ce qui concerne les logiciels malveillants, il y a eu peu de nouveautés. Toutefois, parmi les nouveautés on trouve PornDroid qui bloque le téléphone sous Android qui est un logiciel assez avancés capable de se relancer une fois désinstallé. Il a aussi cité Xcode qui exploite une vulnérabilité sur IOS.

… et des attaques aux effets collatéraux redoutables

Puis, le Colonel Éric Freyssinet a présenté les conséquences d’une attaque. Il a pris l’exemple de Target dont l’attaque a coûté environ 67 millions de $ avec Visa, la même somme avec MasterCard au final cette attaque devrait coûter environ 100 Millions de $ dont 90 sont pris par son assurance.

L’attaque contre OPM qui ciblait les personnels de l’état américain par la Chine a obligé la CIA a retiré des agents basés en Chine, sans compter la notification à plusieurs millions de personnes.

Hello Kity a aussi été visé par une attaque ciblée pour récupérées données Bancaires des parents.

TV 5 Monde a été une des premières véritables attaques pour détruire une entreprise. Au final l’impact sur le SI a été faible par contre les ventes de publicité se sont effondrées et son budget sécurité a été augmenté de façon conséquente. Son PDG a témoigné dans plusieurs conférences ce qui a un effet plutôt positif.

Ashley Madison est une affaire assez complexe. On a noté quelques retombées tragique comme le suicide d’un pasteur, des démissions, des chantages… De ce fait, la CNIL a demandé aux sites de rencontre français de renforcer leur sécurité.

Pour finir, il a recommandé de prévenir les risques, être capable de décréter la survenance d’un incident et être en mesure de maîtriser leur impact.

François Paget a pour sa part rappelé que les forces de police rencontrent quelques succès en arrêtant des cybercriminels partout dans le monde.

Jean-Yves Latournerie

Nous passons à lutte anti-terroriste 2.0

La conclusion a été assurée par le cyber-préfet Jean-Yves Latournerie qui a félicité les intervenants et les organisateurs de ce panorama. Selon lui, il n’y a pas à ce jour d’actions en cyber-terrorisme à proprement parler. Par contre, le cyber joue un rôle très important dans la radicalisation, le recrutement et le passage à l’acte. Dans ces périodes tragiques, on apprend vite et on est en train de passer dans la lutte antiterroriste 2.0. Dans ce cadre le panorama du CLUSIF est important afin de mieux comprendre la nature de la menace de façon systémique et analytique et pouvoir ainsi anticiper les développements des actions terroristes. Il s’est félicité de voir le travail entre les forces de police et les entreprises privées se renforcer en particulier avec les principaux acteurs d l’Internet. Il note de réel progrès opérationnel entre janvier et novembre dernier. En effet, un travail méthodologique a été effectué entre ces deux périodes qui porte ces fruits aujourd’hui.

Il a conclu son intervention en rappelant que même s’il a quelques arrestations, le crime pour le moment sort le plus souvent des confrontations avec les forces de polices, toutefois, il semble que tous les acteurs d’Internet sont de plus en plus sensibiliser à ces attaques ce qui donne des espoirs pour améliorer cette situation.

Réagissez à cet article

Des robots sentinelle contre le crime dans la Silicon Valley 

Non, ce n’est pas le pitch d’un nouveau film d’anticipation ou de science-fiction, mais bien une réalité d’aujourd’hui. Ces robots, les Knightscope K5 Security Robot, sont déjà dans les rues et patrouilles pour dissuader ou récolter des données.

Bardés de capteurs

Ces robots ne sont pas armés, ce qui pourrait arriver aux États-Unis vu les lois en vigueur dans certains états. Par contre, ils sont équipés de multiples capteurs qui leur permettent de voir à 360°, d’entendre, de sentir et de ressentir. Le système de guidage et de pilotage est le même que celui des Google Car.

Ils mesurent un peu plus d’un mètre cinquante, pèsent près de 137 kg, sont de forme ovoïde et de couleur blanche. Ils téléchargent en temps réel ce qu’ils voient et entendent et sont conçus pour réagir à des bruits significatifs comme le bris de glace ou des coups de feu. Si cela se produit, le K5 enregistre alors beaucoup d’informations sur son environnement comme la géolocalisation, photos, vidéos, plaques d’immatriculation des véhicules à proximité et même les visages des personnes proches dans l’éventualité d’une reconnaissance faciale.

Les K5 peuvent donner l’alerte aux autorités compétentes en cas de « détection » crime via une plateforme Internet accessibles aux forces de l’ordre.

Le K5 est déjà en fonction dans des centres commerciaux ou des campus universitaires comme assistant de sécurité et, selon Stacy Stephens cofondatrice de Knightscope, ils ont un très bon accueil et reçoivent même des câlins.

Le business model de Knightscope pour les K5 est MaaS, Machine-as-a-Service, et coûte 4 500 dollars par mois, pour un service 24h/24 et 7jr/7 soit 6,25 dollars de l’heure.

Toutes ressemblances avec Dalek de Docteur Who est fortuite…

Réagissez à cet article

#FIC 2016 les 25 et 26 janvier 2016 sur le thème de la sécurité des données

Axe 1 : les données, carburant de la transformation numérique.

Les données sont omniprésentes et multiformes : on peut citer les données personnelles, sociales, médicales, bancaires, d’entreprises, de géolocalisation, de sécurité, de dossiers passagers (PNR) etc. Cette compartimentation en fonction des usages ou des secteurs d’activité a-t-elle cependant encore un sens ? Comment gérer l’information indépendamment des supports utilisés ? Au-delà de la métaphore, les données constituent-elles véritablement un « nouvel or noir » ?

Axe 2 : la maitrise des données, enjeu de souveraineté

Posséder une « industrie de la donnée » puissante est un atout essentiel dans la compétition mondiale et une composante importante de toute stratégie de puissance. Or l’Europe apparait de ce point de vue en net retrait par rapport aux Etats-Unis. Forte consommatrice de numérique, la faiblesse de son offre locale la conduit à exporter massivement ses données, principalement aux Etats-Unis. Comment passer d’une « Europe offerte » à une Europe « ouverte » ? Quelle est la situation des autres continents ? Peut-on parler de « géopolitique des données » ?

Axe 3 : les données, un capital menacé

Si les attaques en déni de service visent les infrastructures elles-mêmes, les données sont souvent l’objectif ultime des attaquants, qu’il s’agisse de cybercriminalité (vol d’information, crypto-locking…) ou d’espionnage. Quelles sont les dernières tendances observées ? Quels sont les modes opératoires des cybercriminels ? Comment calculer la valeur de ses données pour engager des poursuites ?

Axe 4 : droit et données

La donnée est une notion immatérielle qui soulève de nombreuses questions au plan juridique. Peut-on appliquer la notion de propriété à la donnée, notamment à la donnée personnelle ? Quel lien entre données et territoire ? Comment mettre en œuvre efficacement le droit à l’oubli aujourd’hui consacré dans certains pays ? Comment définir le vol de données au plan pénal ?

Axe 5 : quelles stratégies de sécurité des données pour l’entreprise ?

Pour les entreprises, la sécurité des données repose sur une approche globale impliquant : classification des données, évaluation des données, analyse de risques, définition  et mise en œuvre d’une stratégie de sécurité. Le développement du cloud computing et l’externalisation croissante de l’IT soulèvent à cependant de nombreuses questions. Peut-on utiliser « en toute sécurité » un CRM ou un ERP dans le Cloud ? Quelles conséquences en termes de maîtrise des données ? Comment assurer les risques liés aux données ?

Axe 6 : quelles technologies pour sécuriser les données ?

Le responsable sécurité des systèmes d’information dispose aujourd’hui d’une vaste bibliothèque d’outils et de technologies lui permettant de sécuriser ses données, qu’il s’agisse d’outil de protection, de destruction sécurisée, de détection de fuites d’information ou d’investigation. La vitesse du progrès technologique et le « time to market » imposé par le marché aux éditeurs sont-elles compatibles avec les cycles d’adoption relativement lents des organisations ? Compte tenu de ce même « time to market », comment intégrer la sécurité de façon native (security by design) dans les applications à disposition des utilisateurs ?

Axe 7 : données et enjeux sectoriels

La transformation numérique et les données qui la nourrissent irriguent l’ensemble des secteurs économiques et des activités humaines. Les données sont ainsi au cœur de la « smart revolution » qui touche aussi bien l’individu dans sa vie quotidienne, la collectivité ou l’entreprise  au travers des objets connectés et de « l’informatique omniprésente ». Quels sont les enjeux liés aux données dans la « ville intelligente », « l’usine du futur », le monde médical etc. ?

Axe 8 : enjeux sociétaux et éthiques liés aux données.

La transformation numérique, et la croissance exponentielle des données qu’elle génère, constituent à n’en pas douter des opportunités. Mais la rapidité de cette évolution et ses conséquences majeures sur l’Homme militent également pour une certaine prise de recul et un questionnement éthique et philosophique. Au plan individuel, que signifie désormais la notion de « vie privée » ? Est-il également possible de replacer l’utilisateur au cœur de cette transformation en lui permettant de se réapproprier « ses » données ? Faut-il enfin imaginer, sur le modèle de la loi bioéthique, une loi sur l’éthique numérique fixant un cadre pour l’exploitation des données  à des fins prédictives ou à des fins de surveillance ?

Réagissez à cet article

Retard pour la plateforme nationale des interceptions judiciaires

Réagissez à cet article

Le français Seolane détecte et neutralise les drones malveillants

Le survol illégal de drones au-dessus de bases militaires, centrales nucléaires et autres sites sensibles a mis à jour la nécessité d’identifier et de neutraliser les intrus. « Ce marché devrait peser d’ici cinq ans entre 500 millions et un milliard d’euros », estime Wilfrid Rouger, le fondateur et directeur général de Seolane une PME française créée en 2007 à Maisons-Laffitte (Yvelines).

Réagissez à cet article

Source : http://www.expoprotection.com/site/FR/L_actu_des_risques_malveillance__incendie/Zoom_article,I1602,Zoom-c1901a7c9c9d76e3b257db6e81734942.htm

Par Eliane Kan

Géolocalisation des véhicules professionnels des employés : que faire si mon employeur ne respecte pas les règles ?

• Adresser une plainte à la CNIL : la CNIL peut contrôler tous les systèmes  de géolocalisation installés en France. Si le contrôle confirme que l’employeur ne respecte pas les règles, il sera mis en demeure de respecter la loi, sous peine de sanctions ;
• Saisir les services de l’inspection du Travail de votre département ;
• Déposer une plainte pénale auprès du procureur de la République, des services de police ou de gendarmerie.
• Vous avez demandé à avoir accès aux informations de géolocalisation qui vous  concernent et votre employeur a refusé ?

Vous pouvez, après un délai de 2 mois, adresser une plainte à la CNIL.

Même si remplir un formulaire de déclaration à la CNIL est gratuit et enfantin, il vous engage cependant, par la signature que vous apposez, à respecter scrupuleusement la loi Informatique et Libertés. Cette démarche doit d’abord commencer par un Audit de l’ensemble de vos systèmes de traitements de données. Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : https://cnil.epticahosting.com/selfcnil/site/template.do;jsessionid=06EF1A234FB5C655BF980F0F5D5C31E9?name=G%C3%A9olocalisation+des+v%C3%A9hicules+professionnels+des+employ%C3%A9s+%3A+que+faire+si+mon+employeur+ne+respecte+pas+les+r%C3%A8gles+%3F&id=339

Les objets connectés deviendraient des témoins ?

A quoi servent les objets connectés « portables », ces bracelets ou ces montres qui permettent de mesurer votre activité physique, vos dépenses en calories et même parfois votre humeur ?

A mieux se connaître, répondent les amateurs. A mener une vie plus saine. Mais une histoire récente, aux Etats-Unis, montre que ces objets peuvent aussi servir lors de votre procès.

Et là, son FitBit a lâché le morceau

Une femme de 43 ans qui avait porté plainte pour viol a été démentie par les données de son FitBit (bracelet connecté mesurant l’activité et le sommeil). L’histoire a été rapportée la semaine dernière par la chaîne d’information locale ABC 27 News.

La femme avait affirmé aux enquêteurs qu’un homme s’était introduit au milieu de la nuit dans sa chambre et l’avait menacée avec un couteau avant de la violer. Mais son gadget a contesté ses dires :

« Elle avait affirmé qu’elle avait perdu sa montre de fitness en résistant à son agresseur, mais l’objet a été retrouvé intact dans le couloir, près de la salle de bains [où elle avait dit que s’était déroulé le viol, ndlr].

Selon le chef d’inculpation, quand les enquêteurs ont téléchargé son activité de fitness, ils se sont aperçus que la femme n’avait pas dormi cette nuit-là et qu’elle avait marché tout le temps, au lieu de dormir comme elle l’avait affirmé. »

En plus de ces données, les enquêteurs n’ont trouvé aucune trace de pas dans la neige autour de la maison (les faits se sont déroulés en mars) ni aucune trace d’intrusion. En conséquence, la femme a été inculpée pour fausse déclaration et altération de preuves.

Des grosses balances, ces Google Glass

Déjà, en novembre 2014, à Calgary (Canada), une femme, qui demandait à être indemnisée pour préjudice corporel après un accident, a utilisé les données de son bracelet connecté pour prouver que son activité physique était réduite depuis son accident. (Une histoire alors analysée par Olivier Ertzscheid.)

Les objets connectés arrivent donc dans les tribunaux. Et selon les avocats cités dans la presse américaine (ici ou ici, par exemple), cette tendance est appelée à grandir. Dans Wired, un avocat américain se demandait ainsi :

« [Les données des objets connectés] pourraient-elles être utilisées comme alibi ? »

Ou encore :

« Est-ce qu’on pourrait utiliser les données d’un FitBit pour prouver qu’un cardiologue avait fait preuve de négligence, en ne restreignant pas l’exercice d’un patient ? »

Ces objets peuvent donner des indications sur les activités de celui ou celle qui le porte, mais aussi sur le lieu où il ou elle se trouve, grâce à des fonctions de géolocalisation. Les plus sophistiqués, comme les Google Glass, font aussi des photos ou des vidéos, ainsi que des recherches sur le Web.

On voit bien l’usage que policiers, assureurs ou autres pourraient faire de ces données, en les retournant contre son propriétaire.

Bientôt dans nos prétoires

En France, le cas ne s’est encore jamais présenté, mais, explique Me Clarisse Le Corre, avocate au cabinet Vigo, il est tout à fait envisageable :

« Selon la loi, les infractions peuvent être établies par tous modes de preuve et c’est le juge qui décide ensuite selon son intime conviction. »

A cheval entre données personnelles et données médicales, ces informations sont souvent appelées « données de bien-être ». Elles sont protégées par la loi « Informatique et libertés », mais dans le cas d’un procès, cette protection peut être levée par l’instruction.

Pourvu qu’elles soient légalement recevables et qu’elles soient ensuite soumises au contradictoire, c’est-à-dire être débattues par les deux parties, les données des objets connectés peuvent tout à fait être présentées devant un tribunal.

Leurs données sont-elles fiables ?

Pourtant, ces données sont loin d’être totalement fiables.

Les objets connectés buguent.

Comme l’a récemment montré notre collègue Thibaut Schepman, les appareils connectés peuvent buguer et les données récoltées ne reflètent pas forcément vos activités.

Ils sont faciles à duper.

Pas besoin de réfléchir longtemps pour voir comment on pourrait duper le bracelet connecté : il suffit de le faire porter par un complice ou de l’apposer à un animal domestique au comportement pas trop erratique. Ou encore de rester assis à son bureau en bougeant les pieds très vite pour faire croire qu’on fait un jogging.

Ils « mesurent » selon des critères qui changent de machine en machine et sont déterminés par des algorithmes inaccessibles.

Comme le rappelle la chercheuse américaine Kate Crawford dans The Atlantic, les mesures qu’effectuent ces outils dépendent de la façon dont ils ont été programmés et sont souvent imprécises.

« Le Jawbone UP, Nike Fuelband, FitBit and Withings Pulses [différents modèles de bracelets connectés, nldr] ont chacun des modes de fonctionnement particulier : certains comptabilisent les mouvements de bras comme de la marche (merveilleux, si vous voulez comptabiliser l’écriture comme de l’exercice), d’autres comptabilisent difficilement le vélo comme une activité physique.

La fonction de mesure du sommeil emploie des méthodes assez grossières pour faire la différence entre sommeil léger et sommeil profond. […] »

Un bracelet Jawbone Up (Ashley Baxter/Flickr/CC)

La chercheuse ajoute, faisant référence à l’exploitation de ces données :

« Ces données sont rendues encore plus abstraites par des entreprises d’analytique qui créent des algorithmes propriétaires, pour les comparer à leur standard de ce qu’est une personne normale “en bonne santé.” »

Effectivement, explique Me Le Corre, à mesure que l’on s’interroge sur le statut de ces objets, on découvre leurs limites :

« La question de la fiabilité des données de ces objets va se poser de façon aiguë. Pour l’instant, nous manquons de recul sur ces choses-là parce qu’elles sont très récentes. D’où l’intérêt de le soumettre à la discussion des deux parties, qui sert de garde-fou. »

Les données par elles-mêmes ne signifient rien : elles s’intègrent dans un faisceau de preuves, et doivent toujours être contextualisées.

Au-dessus des témoins humains…

En voyant les données de bien-être utilisées contre leur propriétaire, on comprend aussi mieux ce que sont vraiment les objets connectés.

Ainsi, réfléchissant sur ce thème, la chercheuse Kate Crawford, qui travaille sur les implications du big data et des objets connectés, rappelle l’ambiguïté fondamentale des objets connectés :

– ils se présentent comme les instruments d’une meilleure connaissance de soi,

– mais sont aussi des « informateurs », qui collectent des données et les transmettent au fabricant et à des tiers – potentiellement à des assureurs et des employeurs.

​Plus profondément, c’est le statut que l’on veut donner à ces données qui est en jeu. Kate Crawford met en garde contre la tentation d’une « vérité fondée sur les données », où celles-ci finiraient par sembler plus fiables – parce que plus neutres – que l’expérience des témoins.

« Donner la priorité aux données, qui sont irrégulières et peu fiables, sur les témoignages humains, cela signifie que l’on donne le pouvoir à l’algorithme. Or ces systèmes sont imparfaits – comme peut l’être le jugement humain. »

Les données des objets connectées ne sont que ça, des données : des mesures qu’il faut contextualiser et comprendre, et surtout ne pas prendre pour argent comptant.

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://rue89.nouvelobs.com/2015/07/01/quand-les-objets-connectes-temoignent-a-proces-contre-260040