Trois cyber criminels sur quatre prêts à négocier la rançon

Ces conclusions se basent sur une récente expérience détaillée dans le rapport F-Secure Evaluating the Customer Journey of Crypto-Ransomware and the Paradox Behind It (« Évaluation de l’expérience utilisateurs des victimes de logiciels rançonneurs, récit d’un paradoxe »). Cette étude a pour but d’évaluer « l’expérience utilisateur » de cinq logiciels rançonneurs actuels, dès lors que s’affiche le message réclamant la rançon. Elle retrace les différentes interactions ayant lieu avec les pirates.

Plusieurs conclusions émergent de ce rapport. Tout d’abord, les interfaces utilisateur de logiciels rançonneurs les plus professionnelles ne sont pas nécessairement celles qui offrent le « suivi » le plus adapté.
Les pirates utilisant ransomware sont souvent disposés à négocier le prix de la rançon. Pour trois des quatre logiciels rançonneurs, ils se sont montrés prêts à négocier : la rançon a été revue à la baisse, de 29% en moyenne. Les dates limites, quant à elles, ne sont pas nécessairement gravées dans le marbre. 100% des groupes contactés ont accordé un report de la date limite. L’un des groupes a déclaré qu’une entreprise avait fait appel à lui pour hacker une autre entreprise.

Le rapport souligne également le paradoxe des logiciels rançonneurs : « D’un côté, les auteurs sont des criminels sans scrupules, mais de l’autre, ils doivent établir un degré relatif de confiance avec la victime et être prêts à offrir certains niveaux de « services » pour que cette dernière effectue finalement le paiement ». Les groupes utilisant des ransomware fonctionnent sur le modèle des entreprises : ils possèdent un site internet, une FAQ (Frequently Asked Questions – Foire aux questions), des « essais gratuits » pour le déchiffrement de fichiers et même un chat d’assistance.

« Nous lisons chaque jour des histoires au sujet de logiciels rançonneurs… Dernièrement, le mot ‘épidémie’ a été employé pour faire état de l’ampleur des attaques », explique Sean Sullivan, Security Advisor chez F-Secure. « Nous avons voulu proposer une approche différente face à ces attaques en masse, et également rappeler aux particuliers et aux entreprises ce qu’il est possible de faire pour se protéger de ce type de menaces. Avant même d’être victime d’une attaque, il faut adopter plusieurs réflexes-clés : la mise à jour des logiciels, l’utilisation d’un bon logiciel de cyber protection, la vigilance face aux e-mails suspects et surtout, des sauvegardes régulières ».

Article original de itrmanager

Réagissez à cet article

Certification des objets connectés de santé

Très répandus sur le marché, les objets connectés de bien-être ont pour vocation de développer un état de satisfaction morale ou physique, sans obligation de mesurabilité ni de résultats cliniques. Les données de bien-être peuvent être observées sur le long terme pour mieux déterminer l’état de santé d’un patient. De nombreux objets connectés de santé sont en développement, afin de fournir des données quantifiables et médicalement fiables. L’usage de ces objets se fait notamment dans un but nommé le « quantified self ». C’est une collaboration entre utilisateurs et fabricants d’outils qui partagent un intérêt pour la connaissance de soi à travers la mesure et la traçabilité de soi. Des objets connectés tels que la balance Polar connectée pour suivre son poids ou le capteur Withings Go permettant de mesurer son activité physique et de suivre ses cycles de sommeil sont des outils qui s’intégrent dans cette démarche.

« La frontière entre les domaines du bien-être et de la santé va s’estomper. L’objectif est que demain, les gens disent que c’est eux qui prennent soin de leur santé, avec l’aide de leur médecin et non plus leur médecin seul. Le patient devient expert, le médecin va devoir le prendre comme un partenaire. »
Cédric Hutchings, PDG de Withings (Cahiers IP n°2 : Le corps, nouvel objet connecté).

L’objet connecté de santé en tant que dispositif médical, qu’est-ce que c’est ?

Les objets connectés de santé sont classés dans la catégorie des dispositifs médicaux pour l’ANSM et la CNIL. Adrien Rousseaux, expert en protection des données à caractère privé à la CNIL, apporte des éléments permettant de mieux comprendre les enjeux de la certification.

Selon l’ANSM, est considéré comme dispositif médical « tout instrument, appareil, équipement, logiciel, matière ou autre article, utilisé seul ou en association, y compris le logiciel destiné par le fabricant à être utilisé spécifiquement à des fins diagnostique et/ou thérapeutique, et nécessaire au bon fonctionnement de celui-ci. Le dispositif médical est destiné par le fabricant à être utilisé chez l’homme à des fins de diagnostic, prévention, contrôle, traitement ou atténuation d’une maladie, d’une blessure ou d’un handicap ; mais aussi d’étude ou de remplacement ou modification de l’anatomie ou d’un processus physiologique. Son action principale voulue dans ou sur le corps humain n’est pas obtenue par des moyens pharmacologiques ou immunologiques ni par métabolisme, mais sa fonction peut être assistée par de tels moyens » (directive européenne 93/42/CEE).

Pour la CNIL, c’est l’utilisation ou l’exploitation des données recueillies par les objets connectés de santé, ou de bien être, qui fait intervenir la loi Informatique et Libertés.

Il n’y a pas de définition dans la loi française d’une donnée de santé permettant de la distinguer de la donnée de bien-être. Mais le règlement européen relatif à la protection des données personnelles, adopté le 14 avril dernier, et qui sera applicable en 2018, apporte une définition légale qui toutefois n’est pas opposable (ne peut être utilisée comme argument juridique) mais le sera d’ici son application. L’article 4 de ce règlement européen définit les données de santé comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris les prestations de services, de soins de santé qui révèlent des informations sur l’état de santé de cette personne. »

Des objets connectés de santé sont déjà commercialisés en tant que dispositifs médicaux :

Le Tensiomètre Bluetooth de Withings se connecte aux smartphones et mesure la pression systolique, diastolique ainsi que le rythme cardiaque. Cet appareil a obtenu la certification européenne CE, il est donc certifié comme dispositif médical.

L’électro-stimulateur connecté MyTens de BewellConnect développé avec le laboratoire Visiomed se connecte aux smartphones et stimule des zones précises du corps avec des électrodes pour réduire les douleurs. Il est remboursé par la sécurité sociale, donc reconnu comme dispositif médical.

MyECG, l’électrocardiogramme connecté de BewellConnect développé avec le laboratoire Visiomed se connecte au smartphone et mesure la fréquence cardiaque. Il a reçu le marquage CE, ce qui en fait également un dispositif médical certifié.

Quelles étapes pour certifier un objet de santé, dispositif médical ?

Afin de certifier un objet connecté comme dispositif médical, le fabricant doit d’abord constituer un dossier auprès d’un organisme notifié. Ce dernier évalue la conformité aux exigences essentielles et délivre le certificat européen de marquage CE.

La donnée de santé cible un risque de maladie. Les données issues d’un dispositif médical certifié peuvent être utilisées par un professionnel de santé. Les formalités auprès de la CNIL ne sont pas les mêmes pour un traitement de données de bien-être et un traitement de données de santé. En effet, les données de santé sont dites “sensibles“ d’après l’article 8 de la loi Informatique et Libertés. Pour un objet connecté de bien-être, ne comportant donc pas de données de santé ou pour lequel le consentement de l’utilisateur est demandé, les formalités sont déclaratives. Même si le traitement des données doit respecter la loi Informatique et Libertés (notamment le respect des droits des personnes à pouvoir s’opposer, à pouvoir rectifier ou tout simplement à pouvoir être informé et la mise en place de mesures de sécurité adaptées), l’entreprise doit simplement signaler les modalités d’usage à la CNIL. Pour les objets connectés de santé, ou de bien-être utilisant des données de santé, les formalités nécessitent une autorisation de la CNIL avant de pouvoir proposer le service délivré par l’objet connecté. En moyenne, les procédures prennent de 2 à 6 mois selon la disponibilité du responsable de traitement. Ce dernier est la personne ou l’entité qui définit le service proposé par un dispositif médical, et donc qui gère la transmission de données générées par ce dispositif médical à un serveur, le stockage des données, etc. Un certain nombre d’informations sont à fournir à l’usager d’après l’article 32 de la loi informatique et libertés. « La personne auprès de laquelle sont recueillies les données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable de traitement ou son représentant :

• De l’identité du responsable de traitement (qui va effectuer les traitements sur les données)
• Des finalités poursuivies par le traitement
• Du caractère obligatoire ou facultatif des réponses
• Des conséquences éventuelles d’un défaut de réponses (par exemple le service ne pourra pas être rendu dans son intégralité)
• Des destinataires ou catégories de destinataires des données
• Des droits de l’utilisateur sur ces données »

Le site de la CNIL propose un générateur de mentions “informatique et libertés“ équivalent aux mentions légales.

Les intérêts de la certification pour l’utilisateur et le distributeur

Toutes ces démarches visent à protéger l’utilisateur de tout mésusage des dispositifs médicaux. C’est cette « digitalovigilance » qui garantit une communication maîtrisée des données de santé aux personnes souhaitées. L’usager ayant enregistré des données doit avoir connaissance des destinataires s’il y a transmission et il doit pouvoir maîtriser à qui il envoie quelles données.

Sur de nombreux appareils, le système d’API (Application Programming Interface = interface pour l’accès programmé aux applications) permet à l’utilisateur de partager la donnée qui a été générée par un capteur avec un nouveau service, une application. Il peut à tout moment déconnecter les applications pour que les données cessent d’être transmises.

De nombreuses données transmises par les dispositifs médicaux peuvent être très utiles, dans le cadre de la recherche notamment. L’intérêt majeur de la certification des données de santé est donc qu’elles peuvent être utilisées par des professionnels de santé. De plus, un objet certifié dispositif médical peut être vendu en pharmacie : il peut être prescrit par un professionnel de santé et donc potentiellement pris en charge par la sécurité sociale.

Bluetens et Beta-bioled : deux objets connectés vers la certification

La société Bluetens a développé un électrostimulateur connecté pour soulager la douleur et se relaxer. Son objectif premier est de créer un objet de santé qui se définit par sa fonction et son utilité. Il doit apporter plus que de l’analyse ou de la collecte de données. L’objectif est un réel changement d’état de l’utilisateur, l’objet doit avoir un impact remarquable sur la santé. L’électrostimulateur Bluetens est certifié ISO 13485 par une société de certification qui effectue un audit d’une part auprès de l’entreprise Bluetens, et d’autre part sur l’objet connecté de santé. Dans ce cas, c’est l’entreprise allemande TÜV agréée par les autorités européennes qui a certifié l’objet. L’ISO 13485 atteste que l’entreprise Bluetens respecte bien les normes nécessaires à l’élaboration de dispositifs médicaux. Cet appareil est donc certifié d’utilité médicale. Le but de l’entreprise étant de le distribuer le plus largement possible, il est vendu dans les enseignes de grande distribution spécialisées telles que Darty ou la Fnac.

De son côté, la société Archimej Technology est en train de développer Beta-Bioled, un test sanguin portable et connecté. Cette entreprise cherche à insérer sur le marché des dispositifs médicaux en franchissant toutes les étapes de la certification jusqu’à obtenir les agréments de la sécurité sociale pour que l’appareil puisse être remboursé. Cette démarche s’inscrit dans une volonté d’asseoir la crédibilité de Beta-Bioled face aux utilisateurs et au corps médical. Le processus de certification passe ici par 3 étapes dont la première est la formation auprès d’organismes spécialisés. Le biocluster Genopole leur apporte les conseils sur les questions des biotechnologies et Medicen facilite l’insertion d’innovations dans le domaine de la santé humaine vers les marchés industriels. La seconde étape, une fois l’objet conceptualisé et réalisé, consiste à réaliser des essais cliniques avec quelques milliers de tests dans des structures médicales. Enfin, l’objet sera certifié uniquement lorsque la Haute Autorité de Santé (HAS) aura validé toute la procédure. Et pour assurer une diffusion optimale dans le parcours médical, Archimej Technology souhaite obtenir l’agrément LPPR (Liste des Produits et Prestations Remboursables), qui permettra un remboursement de Beta-Bioled par l’Assurance Maladie. Ce parcours du combattant assurant une crédibilité et une valeur médicale peut prendre plusieurs années : l’objectif de mise sur le marché est fixé à 2018. En premier lieu, il sera distribué aux professionnels de santé (urgences, SAMU, maisons de retraite…). Ensuite la vente sera ouverte au grand public pour les malades chroniques, invalides légers ou séniors ne pouvant se déplacer en laboratoires. A terme l’objectif est de cibler les pharmacies comme canaux de distribution.

Article original de Charles Deyrieux

Réagissez à cet article

Snowden conçoit une coque d’iPhone anti-espionnage

Edward Snowden continue son combat contre la surveillance. L’ancien analyste de la NSA et lanceur d’alerte, qui a levé le voile sur les pratiques d’écoute massive à travers le monde, travaille à la réalisation d’une nouvelle coque d’iPhone. Son atout: elle est capable de protéger les données du téléphone qu’elle abrite.

Pour ce projet, Edward Snowden s’est associé au hacker Andrew « Bunnie » Huang. Dans un rapport, les deux hommes précisent que le mode avion est loin d’être efficace contre le piratage. « Croire au mode avion d’un téléphone hacké équivaut à laisser une personne ivre juger de sa capacité à conduire », indiquent-ils.

Contrôler les signaux envoyés à l’iPhone

Le système, encore au stade d’étude, a été présenté à l’occasion d’une conférence le 21 juillet. L’objet est un périphérique sous logiciel libre qui se pose à l’emplacement de la carte SIM. Il permet ensuite de contrôler les signaux électriques envoyés aux antennes internes du téléphone et donc de savoir si le téléphone partage des informations avec des tiers, sans que vous en soyez conscients.

Mashable explique que « lorsque le mode avion est activé et que les connexions réseaux sont supposées être désactivées, une alerte est envoyée dès lors qu’une transmission anormale est détectée ». L’anomalie repérée, le périphérique peut même éteindre le téléphone immédiatement.

Journaliste, activiste et lanceur d’alerte

L’outil, dont le premier prototype devrait être rendu public d’ici un an, a été pensé pour venir en aide aux journalistes, activistes et lanceurs d’alerte « pour détecter quand leurs smartphones sont surveillés et trahissent leurs localisations ».

Le programme d’espionnage américain de la NSA, révélé par Edward Snowden a, permis la collecte de données personnelles de millions de citoyens, ainsi que des institutions et chefs d’Etats étrangers. Ces révélations ont montré que ces collectes dépassaient le cadre de la lutte nécessaire contre le terrorisme ou contre les autres risques géopolitiques.

Article original de l’express

Réagissez à cet article

Usages et attentes des Français à l’égard du digital en matière d’information sur leur santé

Article original de Ipsos

Réagissez à cet article

15 millions de comptes Telegram d’Iraniens  piratés

Des chercheurs en sécurité informatique ont annoncé à l’agence de presse Reuters que l’application Telegram avait subit une attaque informatique qui a donné l’occasion aux malveillants de mettre la main sur 15 millions de données d’utilisateurs Iraniens.

Pour rappel, Telegram a été fondé en 2013 par le Russe Pavel Durov. Cet outil de messagerie permet de rendre « illisible » des communications entre personnes autorisées (sauf si groupe publique). Pour cela, les communications sont chiffrées. Dans les options de l’application : chiffrer les messages, auto destruction des textes…

Collin Anderson et Claudio Guarnieri, les deux chercheurs travaillent entre autres pour Amnesty International, ont expliqué que la vulnérabilité est exploitable via son utilisation des SMS. Une faille qui avait pourtant été révélée en 2013 par Karsten Nohl. Selon les deux chercheurs, les utilisateurs Iraniens ont été touchés par une infiltration qui a peut-être permis à des « espions » de mettre la main sur les informations de 15 millions d’utilisateurs de ce pays.

Cyberattaques terroristes déjouées au Maroc

Selon un communiqué du ministère de l’Intérieur cité par des médias locaux, dont le Matin.ma, ainsi que le quotidien ivoirien Fraternité Matin, cette opération antiterroriste a été menée sous la houlette du parquet général et visait 343 individus.

Outre des projets terroristes ciblant des centres de loisir, des festivals, des établissements sécuritaires du Royaume, des cyberattaques à un niveau de préparation bien avancée devaient être dirigées contre les institutions marocaines. Objectif? Bloquer le fonctionnement des structures étatiques et paralyser l’économie.

D’autres personnes arrêtées par les forces de police marocaine sont soupçonnées de recruter des combattants mineurs via les réseaux sociaux.

Article original de Alselme AKEKO

Réagissez à cet article

Ma vie disséquée à travers mes données personnelles

La NSA. Google. Les opérateurs téléphoniques. Nos banques. La DGSE. Les cartes de fidélité. Le Pass Navigo. La vidéosurveillance. Du lever au coucher, on sait depuis quelques années que nos vies se copient en temps presque réel dans des bases de données, parfois sans notre véritable consentement. L’anonyme dans la foule est de moins en moins flou.

A quoi ressemble une vie contemporaine, et donc numérisée ? Dessine-t-elle un portrait fidèle de ce que je suis ? Est-ce même encore possible, en 2014, de le savoir ?

Vendredi matin, mon réveil sonne. Mon premier réflexe : allumer mon iPhone. Son réflexe ? Se géolocaliser. Il répète l’opération plusieurs fois dans la journée, si l’option n’a pas été désactivée, afin d’« améliorer ses performances et proposer des informations utiles en fonction des lieux où vous êtes ».

Apple m’assure que les données sont stockées sur mon iPhone, accessible uniquement par moi, et non dans un « datacenter ». La vague certitude que le détail de mes allers et venues n’est pas mémorisé dans un lieu que j’imagine froid, vaste et à l’autre bout du monde est une maigre consolation.

Je constate la réception, pendant la nuit, de iMessages dont je préférerais qu’ils ne soient pas lus par d’autres. Apple m’assure qu’ils sont chiffrés et être incapable elle-même de les lire. Mais en même temps, la NSA a ajouté l’entreprise à son programme Prism, qui permet d’accéder de manière privilégiée aux données de plusieurs géants du Web, en octobre 2012.

Ce n’est pas tout : Apple a récemment détaillé la manière dont l’entreprise répond aux demandes de données des autorités. On y apprend que même les passages au « Genius Bar », le service après-vente d’Apple, sont mémorisés.

Sur la table du petit déjeuner, l’iPhone a remplacé le dos de la boîte de céréales. Les corn-flakes ne pouvaient pas savoir où j’habitais. L’iPhone, si : chacune de mes localisations, implacablement consignées dans sa mémoire, lui permet de situer mon « domicile » sur une carte. Les corn-flakes n’étaient pas l’allié objectif de mon patron. L’iPhone, lui m’indique le temps nécessaire pour rejoindre un autre lieu qu’il a identifié : « Si vous partiez maintenant, il vous faudrait 28 minutes pour arriver sur votre lieu de travail. »

La pluie me pousse vers la station de métro. Le portique s’ouvre après le passage du badge. Le Pass Navigo, gratuit, est recommandé à tous les utilisateurs réguliers de la RATP ; il est associé à toute son identité.  Il ne sauvegarde que mes trois dernières validations aux portiques de la RATP.

La raison ? Un combat de dix ans avec la Commission nationale de l’informatique et des libertés (CNIL) qui s’est efforcée de limiter l’appétit en données de la RATP. Un Navigo « découverte », anonyme mais coûtant 5 euros existe, mais il est difficile de se le procurer.

Arrivée 26 minutes plus tard sur mon lieu de travail. Le badge à l’accueil fait biper la porte. Un son qui devrait me rappeler que toutes mes allers et venues sont consignées également dans une base de données.

Renseignements pris, on m’assure que mon chef ne peut y avoir accès, même si certains ont tenté, mais les données servent, en cas de problème, à savoir qui est entré dans le bâtiment. J’ai essayé, en vain, d’avoir le détail des données associées à mon badge, mais je n’ai reçu aucune réponse.

A peine arrivé au bureau, je prévois déjà d’aller au cinéma le lendemain. En cherchant les horaires, je me fais la réflexion que ma carte UGC Illimité doit enregistrer l’ensemble des informations et des films que je suis allé voir.

Cette recherche personnelle devient donc professionnelle : hélas, impossible de savoir quelles données sont conservées. Les conditions générales d’abonnement, qui sont rarement lues, n’en font pas mention. Et impossible de savoir où réclamer l’accès à mes données. UGC n’est d’ailleurs pas d’une très grande aide : « Tout le monde est à Cannes », me répond-on quand j’essaie d’en savoir plus.

Ces exemples d’organismes pas très enthousiastes à l’idée de répondre à mes demandes ne sont pas isolés. Je me rends vite compte du nombre effarant de bases de données dans lesquelles figurent des bribes de mon existence, ainsi que de la réticence (ou l’incompréhension) de certains organismes.

La loi informatique et libertés de 1978 prévoit pourtant explicitement un droit quasiment inconditionnel d’accès aux données personnelles. En cas de refus ou au bout de deux mois sans réponse, je peux même saisir laCNIL, qui peut « faire usage de ses pouvoirs de contrôle et de sanction ». Et même, en dernier recours, le procureur de la République.

A l’heure du déjeuner, nouveau bip caractéristique : celui de ma carte de cantine. Là aussi, l’historique de mes consommations est gardé pendant treize mois. Que peut donc faire le chef avec mes pâtes fraîches achetées en juin 2013 ? « Oh, nous n’en faisons rien, mais je peux vous sortir tous vos tickets. »

Passage ensuite à la pharmacie. La carte Vitale, obligatoire pour obtenir le remboursement des médicaments, enregistre la transaction. En jaugeant ce qu’est capable de faire la Sécu avec les données de ses assurés, j’imagine que mon achat d’aujourd’hui va rejoindre ceux que j’ai faits tout au long de ma vie dans les serveurs de l’assurance-maladie.

Analyse épidémiologique avec le Sniiram (Système national d’information inter-régimes de l’Assurance maladie) ou surveillance de la fraude chez les consommateurs avec Erasme, la Sécu mouline mes données, sûrement pour mon bien. Et certains espèrent même pouvoir y accéder pour leur bien à eux dans le cadre d’une ouverture des données publiques…

La loi permet aux organismes détenteurs de nos données de facturer leur envoi, à un coût qui ne doit pas dépasser leur coût de reproduction. La plupart des gens autour de moi n’ont qu’à se connecter à leur espace client, sur Internet, pour accéder à leurs factures détaillées. Mon opérateur (B&You) me propose également ces documents… Mais les numéros de téléphone de mes correspondants y sont expurgés de leurs deux derniers chiffres. Pour les ajouter , il m’en coûtera 7 euros… par facture.

Mon activité sur Google, jour par jour, heure par heure. Google

Cette quête de mes données est sans fin. J’utilise Google des centaines de fois par jour. Normalement, j’ai désactivé la sauvegarde automatique de chacune de mes recherches. Je vérifie… Manqué : les 11 999 recherches effectuées dans Google depuis le 1er septembre 2012 sont là, à portée de clic depuis mon compte Google.

Requêtes personnelles et professionnelles se mélangent allègrement, et « cat eating quinoa » ou « scary manchot » côtoient « rapport de la Cour des comptes sur l’assiette des impôts locaux » ou « imprimé de changement de situation ameli ».

Prises individuellement, ces recherches font sourire ou consternent, paraissent étranges ou anodines, déplacées ou cryptiques. Mais en parcourant plusieurs pages, c’est tout simplement mes intérêts professionnels, mes lubies, mes passe-temps qui sont soigneusement classés par ordre chronologique. Me revient alors en mémoire le livre de l’artiste Albertine Meunier, qui compile trois ans de recherches Google. Et je désactive aussi sec la mémorisation de mes recherches.

La journée avance et les données continuent de s’égrener derrière moi. La carte de fidélité du supermarché qui garde l’historique de mes achats pour me profiler, mes écoutes sur Spotify, mon achat de billet de train à la SNCF, les centaines de caméras de vidéosurveillance devant lesquelles je passe chaque jour, mes données bancaires, celles de mon compte Apple…

La soirée s’éternise, le dernier métro est passé. Je prends un vélo à la station la plus proche. La carte Vélib longue durée libère un vélo. Dans le même temps, les informations sur la prise du vélo sont envoyées au serveur de JCDecaux, en délégation de service public. Selon le publicitaire, les données relatives à la base de départ et à la base d’arrivée seront effacées dès que mon vélo sera rattaché sur la station d’arrivée. Ils gardent tout de même deux ans d’historique de mes contacts avec l’assistance Vélib.

Sur le chemin, je repense alors à mes données de géolocalisation sur mon iPhone. Il n’y a aucune raison pour que Google ne fasse pas la même chose. Chez moi, une recherche (sur Google) m’apprend que le géant de la recherche stocke bien ma géolocalisation en temps réel. Je me précipite sur mon historique de localisation. Rien, la carte qui s’affiche est vide. Par acquit de conscience, je demande le lendemain à une collègue qui possède un téléphone fonctionnant sous Android, donc Google, d’aller sur la même page que moi.

Elle ne peut pas retenir un cri : sur la carte de Paris, des centaines de petits points rouges, traces bien voyantes de tous ses déplacements. Pour illustrer cet article, j’active, heureusement non sans mal, la même fonctionnalité sur mon iPhone. Au bout d’un mois, tous mes déplacements sont minutieusement consignés chez le géant californien. Ma position quasiment minute par minute, à toute heure du jour et de la nuit. Mon week-end dans l’Ain, mes sorties de course à pied, mes promenades, tout y est.

Au terme de cette plongée ardue dans les traces ma propre existence, difficile de parvenir à une conclusion. Certes, avoir la liste de toutes les applications iPhone téléchargées depuis la création de mon compte n’est pas très intéressant, y compris pour moi. Oui, le détail de mes menus de cantine ne fera peur qu’à un nutritionniste. D’accord, je ne donne pas ces données gratuitement, et trouve formidablement pratique de pouvoir me repérer dans une capitale ou pouvoir écouter de la musique librement.

Mais mises bout à bout, ces bases de données réunissent mes goûts, mes habitudes, mes obsessions, mes loisirs, mes centres d’intérêt. Dispersées sur des ordinateurs aux quatre coins du monde, ces données, souvent analysées, résistent encore aux croisements et recoupements divers. Mais pour combien de temps ?

Autre évidence : de plus en plus, les entreprises, les outils et les services que nous utilisons vont collecter nos données. Souvent activés par défaut, ces dispositifs ne nous laissent pas souvent le choix. Que faire, puisque personne ne peut vivre parfaitement déconnecté, ni ne peut passer maître dans la dissimulation de toutes ses traces ?

Article original de Alexandre Léchenet et Martin Untersinger

Réagissez à cet article

Le site Internet des avocats de Mossack Fonseca, encore piraté !

Mossack Fonseca, pour rappel, un cabinet d’avocats basé au Panama qui a connu des fuites de données, voilà quelques mois. Des juristes qui cherchent des opportunités économiques aux entreprises, banques, artistes, politiques et sportifs ayant de l’argent à placer… hors de leur juridiction fiscale nationale.

Plusieurs fuites de données avaient été révélées en mars 2016, visant les clients de cette entreprise d’Amérique Centrale. Je vous expliquais comment, en quelques clics de souris et l’ami Google, j’avais pu accéder à plusieurs dizaines de milliers de CV, sauvegardés dans le portail web de « Monseca », comme du vulgaire papier. La presse Internationale, via les Panama Papers avaient diffusé des centaines d’informations sur des « VIP » ayant tenté de cacher à l’administration fiscale l’argent qu’ils possédaient.

Six mois plus tard, nous aurions pu penser que ces « professionnels » avaient pris quelques cours, du moins d’éducation numérique, pour protéger leurs sites Internet. Raté ! D’abord le noyau Linux qui fait tourner leur serveur. Un pirate Russe leur a stipulé, sur Twitter, qu’il datait toujours de 2013. Autant dire qu’il s’est empressé de lancer une petite attaque, histoire de réveiller ses interlocuteurs. Une autre fuite, cette fois avec le fichier phpinfo.php, accessible d’un clic de souris, offrant a qui sait le lire, des données pouvant être exploitées à des fins malveillantes.

A noter que de nouvelles révélations sont annoncées dans cette affaire du Panama Papers. Du blanchiment d’argent et du détournement concernant des hommes d’affaires, en Afrique !

Article original de Damien Bancal

Réagissez à cet article

Quelques domaines d’application du Big Data

« Les données sont le nouveau pétrole : les villes, notamment, prennent conscience de leur valeur et du bénéfice qu’elles peuvent en tirer pour améliorer l’usage de leurs infrastructures et la qualité des services dispensés à leurs citoyens. ». C’est ce qu’a déclaré récemment Arvind Satyam, chargé du développement des affaires internationales pour le projet Internet of Everything de CISCO Systems. Cependant, « si la plupart des villes ont conscience de leur valeur, beaucoup ignorent comment les valoriser. » Une étude sur le numérique aux Etats-Unis réalisée par le cabinet McKinsey classe le gouvernement à la 18e place, sur un total de 22 acteurs, en ce qui concerne l’adoption des technologies numériques. Un retard technologique qui se traduit directement en monnaie sonnante et trébuchante. Toujours selon cette étude, l’usage du Big Data par les autorités publiques permettrait d’épargner 460 milliards de dollars d’ici 2020.

Et plus qu’un enjeu économique, comme le note dans un billet de blog, Shaina Doar, du Sidewalk Labs, filière de Google aidant les communes à passer à l’ère de la smart city, ce chiffre « représente une immense opportunité ratée de révolutionner l’accès à la santé, l’éducation, la sécurité et autres services de base, et par conséquent, d’améliorer grandement la qualité de vie des Américains.» Les choses sont pourtant en train d’évoluer. Un nombre croissant d’états américains se dotent de data scientists et plusieurs rapports mettent en exergue le potentiel d’une utilisation avisée des données, pour une meilleure qualité des services publics.

Améliorer la mobilité…

De manière très concrète, les autorités peuvent se targuer, grâce au Big Data d’améliorer la qualité des services fournis aux citoyens. Le potentiel pour une meilleure gestion des flux de mobilité urbaine est particulièrement évident. Un bon usage des données aide par exemple à repérer les places de parking disponibles, à les communiquer aux automobilistes pour favoriser un stationnement plus rapide et réduire ainsi le trafic. Des feux tricolores intelligents, servis par les données, offrent dans certains territoires une meilleure régulation de la circulation. La conception d’applications de navigation holiste rassemblant l’ensemble des données issues des différents moyens de transport disponibles, du vélo à la voiture individuelle en passant par le tramway et l’autopartage, optimise les déplacements des individus. La start-up Placemeter propose de son côté de communiquer l’ensemble des données, ayant trait aux flux de population urbaine aux municipalités, pour permettre à ces dernières d’optimiser la gestion de l’espace public. « Nous pouvons désormais savoir où les individus passent le temps dans la ville, et à quel moment. Ainsi, si telle place publique connaît un pic d’affluence chaque jour entre 17 et 19h, la municipalité peut adapter ses services, renforcer la sécurité ou réaménager l’espace public pour prendre en compte cette réalité. » explique Arvind Satyam. Cisco et Placemeter travaillent ainsi en collaboration avec la Mairie de Paris pour analyser les flux de population sur la Place de la Nation, dans le cadre du projet de rénovation de cette place, porté par la Mairie.

A Chicago, le Big Data permet de détecter les infractions sanitaires dans les restaurants.

…et les services publics

Outre l’amélioration de la mobilité, l’usage du Big Data permet aux gouvernements d’optimiser leurs services dans de nombreux domaines. Prenons la salubrité publique, par exemple. A Chicago, le Department of Innovation and Technology a récemment mis au point un algorithme permettant de prédire les infractions au code sanitaire dans les restaurants. Prenant en compte neuf variables, dont l’historique des infractions commises par les restaurants, la durée depuis la dernière inspection ou encore la dangerosité et la propreté de la zone géographique, l’algorithme détecte les infractions graves, en moyenne sept jours plus tôt que le système traditionnel. La ville de Chicago comptant trois millions d’habitants et 15 000 restaurants pour seulement une trentaine d’inspecteurs sanitaires, une allocation optimale des ressources est capitale pour garantir une meilleure protection des citoyens. Les mégadonnées peuvent également venir en aide aux plus démunis : ainsi, à New-York, l’entreprise SumAll a recours à l’analyse de données pour repérer les ménages risquant d’être évincés de leur logement et les aider à s’en sortir.

New-York a recours aux données pour aider les plus démunis.

Vers des services personnalisés

Le Big Data permet également aux pouvoirs publics de personnaliser leurs services, fournissant des prestations adaptées à chaque situation individuelle plutôt que des offres standards taillées pour un profil-type inexistant. Ainsi, plusieurs villes américaines ont adopté un outil baptisé the Public Safety Assessment, qui utilise les mégadonnées pour aider les juges à déterminer si un suspect doit être détenu avant son procès ou s’il peut être laissé en liberté. L’outil repose sur des données recueillies parmi un million et demi de cas différents recueillis auprès de 300 juridictions américaines. Il prend en compte les antécédents judiciaires de l’accusé, les faits lui étant reprochés et son âge. The Public Safety Assessment  permet ainsi de réduire à la fois le taux d’incarcération et le nombre de crimes commis par des individus en attente d’un procès. Dans un autre registre, à Singapour, l’application Beeline offre aux citoyens de remonter leurs requêtes, pour des routes plus adaptées à leurs besoins.

Renforcer la confiance dans le gouvernement

Le Big Data est aussi un outil efficace pour renforcer la confiance des citoyens dans le gouvernement, en oeuvrant pour la transparence. « Je pense que l’ouverture des données peut contribuer à plus de transparence, à éclairer les citoyens sur les actions du gouvernement, afin qu’ils sachent où vont leurs impôts, qu’ils voient l’intérêt de participer au processus démocratique. » confiait Libby Schaaf, maire d’Oakland, à L’Atelier l’an passé. Dans cette optique, la ville d’Oakland s’est doté d’un site internet baptisé Open budget Oakland. Il offre une visualisation exhaustive et intelligible du budget de la ville, afin que les citoyens puissent savoir où vont leurs impôts. Cette infographie a été conçue par les jeunes bénévoles d’Open Oakland qui mettent les nouvelles technologies au service de la collectivité, et travaillent notamment sur l’ouverture et l’exploitation des données. La mairie de la ville met de son côté des locaux à leur disposition. Lors de la dernière élection municipale, les jeunes volontaires ont également conçu une infographie mettant en évidence les sources de financement des différents candidats. De quoi rendre le processus électoral moins opaque et plus digne de confiance.

« Les gouvernements peuvent accroître leur capital confiance en donnant aux citoyens accès aux données, et en leur offrant ainsi une meilleure visibilité sur le monde qui les entoure. », affirme Arvind Satyam. Car telle la matière noire bien connue des scientifiques, les données sont invisibles mais agissent sur notre environnement.

Oakland compte parmi les villes pionnières en matière d’Open Data.

Donner plus de pouvoir aux citoyens

Promouvoir l’usage des données sert aussi à renforcer les échanges entre citoyens et gouvernements, participant à l’établissement de ce lien de confiance qui fait aujourd’hui souvent défaut. La start-up NextRequest propose ainsi une plate-forme intuitive permettant de demander l’accès à n’importe quel document public. Mis en place par la municipalité d’Asheville, le site SimpliCity communique de son côté n’importe quelles données concernant la ville, qu’il s’agisse des chiffres de la criminalité, du montant des taxes ou encore des projets immobiliers. L’application NYC311 autorise les New-Yorkais à alerter les autorités en cas de problème concernant un bien ou service public, qu’il s’agisse d’une absence de collection des déchets, d’un parcmètre défectueux ou encore d’une école vandalisée. Lors de l’hiver 2015, qui fut particulièrement rigoureux dans l’est des Etats-Unis, plusieurs villes, dont Boston et Chicago, se sont dotées d’applications permettant aux citoyens de signaler les tronçons de route enneigés ou verglacés. Chaque fois, la même volonté de rapprocher le citoyen des pouvoirs publics et de rendre la démocratie plus transparente et efficace.

A Montréal, l’application Ubifood permet de lutter contre le gaspillage alimentaire.

Renforcer les liens communautaires

Enfin, le Big Data est un moyen de renforcer l’engagement civique des individus, de souder la communauté et d’améliorer son fonctionnement. A Jakarta, où la collecte des déchets pose un véritable défi aux pouvoirs publics, grâce à une application, les citoyens indiquent les zones géographiques où collecter les déchets. Et les habitants peuvent s’improviser éboueurs en échange d’une somme d’argent. A Montréal, l’application Ubifood rend possible pour les magasins ayant des stocks de nourriture proche de la date de péremption de publier des offres promotionnelles sur ces produits. Les utilisateurs de l’app voient alors d’un clic les offres situées dans leur zone géographique, paient via l’application et passent récupérer leurs achats au magasin. Citons finalement l’application MyResponder, développée à Singapour, qui avertit les citoyens disposant d’une formation en secourisme lorsqu’une personne fait un malaise dans la rue à proximité. Aussi abstraites qu’elles puissent paraître, les données peuvent ainsi sauver des vies.

Article original de Guillaume Renouard

Réagissez à cet article

150 Go de données médicales volées seraient dans la nature !

Réagissez à cet article