Apple contre le FBI : Un cadeau aux pirates informatiques ?

C’est excessivement rare, si ce n’est pas une première, que des représentants des Nations Unies s’invitent très directement dans une affaire judiciaire. Pourtant, c’est bien aux côtés de très nombreux industriels et organisations de la société civile (dont Apple dresse la liste) que le Haut-Commissariat aux droits de l’homme de l’ONU a décidé de venir apporter à la firme de Cupertino son soutien très officiel, contre le FBI.

Totalement indépendant des états membres de l’ONU, le Rapporteur Spécial des Nations Unies pour la protection et la promotion de la liberté d’expression et d’expression, David Kaye, a ainsi écrit (.pdf) à la juge californienne Sheri Pym, avec le soutien du Haut-Commissariat chargé de veiller au respect des traités en matière de droits de l’homme. Il demande à la magistrate de ne pas ordonner à Apple de supprimer la protection qui permettrait au FBI de découvrir le code de déblocage de l’iPhone 5C de l’auteur de la tuerie de San Bernardino, pour accéder en clair aux données chiffrées qui y sont stockées.

Pour David Kaye, la législation américaine ne permet pas à un tribunal de prendre une telle décision qui obligerait Apple, non pas à fournir des données qui sont en sa possession, mais à fournir son aide technique pour accéder à des données qui, normalement, ne doivent être accédées par personne d’autre que le propriétaire du téléphone.

LA VIE PRIVÉE GARANTIT LA LIBERTÉ DE PENSER ET DE S’EXPRIMER

Il rappelle que l’article 19 du pacte international relatif aux droits civils et politiques(PIDCP) n’autorise des restrictions à la liberté d’opinion — qui comprend celle de les dissimuler — et d’expression que si elles sont « expressément fixées par la loi  ». C’est le même raisonnement, appuyé sur la Constitution américaine, qu’a eu le juge de New York qui a donné tort au FBI dans une affaire similaire.

Il peut paraître surprenant que l’auteur du courrier soit l’expert de l’ONU chargé de la liberté d’expression, et non celui en charge de la vie privée, Joe Cannataci, qui ait pris la plume pour soutenir Apple. Mais c’est parce que les droits de l’homme sont liés et interdépendants.

Atteindre à la vie privée des individus pour aller sonder ce qu’ils pensent ou ce qu’ils se disent en privé, c’est inciter les individus à ne plus penser librement, ou à ne plus se parler librement.

LES DÉBATS SUR LE CHIFFREMENT ET L’ANONYMAT SE SONT BIEN TROP SOUVENT CONCENTRÉS UNIQUEMENT SUR LEUR UTILISATION POTENTIELLE POUR DES DESSEINS CRIMINELS

C’est pourquoi David Kayes avait déjà à plusieurs reprises exigé le respect du droit au chiffrement. L’expert, qui a été mandaté en 2014, est aussi un opposant farouche aux backdoors, auxquels peut s’assimiler la méthode demandée à Apple au FBI (non pas fournir la clé, mais faire en sorte que la serrure ne fonctionne plus). « Les gouvernements qui proposent des accès par backdoor n’ont pas démontré que l’utilisation criminelle ou terroriste du chiffrement serve de barrière insurmontable pour les objectifs d’application de la loi », avait-il critiqué dans un rapport contre les backdoors.

« Les débats sur le chiffrement et l’anonymat se sont bien trop souvent concentrés uniquement sur leur utilisation potentielle pour des desseins criminels dans des périodes de terrorisme. Mais des situations urgentes ne dispensent pas les Etats de leur obligation de s’assurer du respect du droit international des droits de l’homme »,

UN CADEAU FAIT AUX RÉGIMES AUTORITAIRES ET AUX PIRATES INFORMATIQUES

L’initiative de David Kayes en faveur d’Apple est publiquement soutenue par la Haut-Commissaire de l’ONU aux droits de l’Homme, Zeid Ra’ad Al Hussein, qui explique que « dans le but de régler un problème de sécurité relatif au chiffrement des données dans un cas bien précis, les autorités risquent d’ouvrir la boîte de Pandore, avec des implications qui pourraient être extrêmement dommageables pour les droits de l’Homme de millions de personnes, y compris pour leur sécurité physique et financière ».

« Un succès dans l’affaire contre Apple aux Etats-Unis établirait un précédent qui pourrait rendre impossible pour Apple ou toute autre société informatique internationale majeure de protéger la vie privée de ses clients partout dans le monde. Cela pourrait être un cadeau fait aux régimes autoritaires et aux pirates informatiques »… [Lire la suite]

Réagissez à cet article

Mise à disposition d’un accès Internet au public – Quelles précautions ?

Le déploiement d’un réseau Wi-Fi public nécessite de respecter certaines exigences juridiques. Il s’agit de savoir si le professionnel du tourisme est ou non identifié en tant qu’opérateur télécoms (I). Ensuite, toute connexion au réseau Wi-Fi nécessite, préalablement, de respecter plusieurs principes (II). Enfin, il existe différentes contraintes légales quant aux données liées aux utilisateurs et à leurs connexions au réseau Wi-Fi (III). Ne pas respecter toutes ses exigences peut engager directement la responsabilité de toute personne exploitant un réseau Wi-Fi interne ouvert au public.

I- OPÉRATEUR… OU PAS OPÉRATEUR ?
Selon le Code des postes et communications électroniques (CPCE, art. L. 32 , 15°), un opérateur est une « personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques. »
Le même code précise que « L’établissement et l’exploitation des réseaux ouverts au public et la fourniture au public de services de communications électroniques » nécessitent « une déclaration préalable auprès de » l’Arcep (CPCE, art. L. 33-1, I ). Toutefois, l’alinéa suivant libère les exploitants de « réseaux internes ouverts au public » de toute obligation de déclaration auprès de l’Arcep.

L’absence de déclaration Arcep
Le déploiement d’un réseau Wi-Fi localisé à un bâtiment ou une zone réduite rentre dans cette qualification de « réseau interne ouvert au public ». Ceci concerne toute structure : cybercafés, immeubles de bureaux, hôtels, bibliothèques, etc. Ils peuvent implanter et mettre à disposition d’un public un réseau Wi-Fi sans avoir à faire une quelconque « déclaration préalable ». Le mode d’accès au réseau (filaire ou hertzien) autant que le nombre de personnes pouvant se connecté n’a pas d’influence tant que le réseau est et reste localisé. Il faut uniquement que ce public soit restreint et que, en cas de réseau Wi-Fi, les distances d’émissions des ondes ne dépassent pas excessivement les limites de propriété en ce que le réseau doit rester interne.
II- LE RÉSEAU WI-FI, CONDITIONS TECHNIQUES ET CONSIDÉRATIONS JURIDIQUES
Localisé, le réseau Wi-Fi ne peut être implanté qu’en tenant compte de différents éléments techniques (A), ce qui permet de le sécuriser partiellement face à ces utilisateurs (B).

A- Eléments techniques liés à l’implantation du réseau Wi-Fi
La protection d’un réseau Wi-Fi se pense en termes d’architecture réseau (1), de sécurisation logique du réseau (2), de blocages d’accès (3) et de limitation des seuils d’exposition (4).

1. Architecturer le réseau Wi-Fi
On ne fait pas ce que l’on veut en matière d’architecture de réseau de communications électroniques. L’implantation d’un réseau Wi-Fi, où qu’il se trouve, nécessite d’être pensée. En outre, plus l’endroit concerné sera étalé malgré sa localisation, par exemple un musée ou un camping, plus la configuration sera complexe est exigeante. Dès lors, faire appel à un prestataire compétent permettra des gains de temps et des économies d’échelle.
câbles et prises de connexion ethernet
câbles de connexion
L’idée d’un « réseau » implique l’implantation de plusieurs équipements de différents niveaux interdépendants :
* hardwares : hotspots, antennes, centrale informatique, mitigeurs, serveurs, etc. ;
* software : logiciels de gestion informatique, pare-feu, gestion de données, etc.
Outre le fait de disposer des bons équipements, il est nécessaire d’implanter au mieux les hotspots Wi-Fi pour :
* limiter le nombre à acheter ;
* éviter de surcharger le réseau ;
* limiter les expositions aux ondes hertziennes Wi-Fi.
La loi obligeant à conserver certaines données, il s’agira également de tenir compte des volumes de données à stocker, de leurs périodes de péremption et de leurs sécurisations (cf. partie II-A).
La sécurisation physique du matériel n’ait pas à négliger. Outre les risques liés aux vols, il faut empêcher tout accès non autorisé au réseau. Ceci concerne avant tout les serveurs centraux, lesquels contiennent des données, notamment personnelles.

2. Sécurisation logique du réseau Wi-Fi
Selon l’ article 323-1 du Code pénal , « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni (…). »
Sans préciser le mode d’accès (physique ou logique), cet article s’avère très large. Il fait appel aux articles 226-17 du même code et 34 de la loi informatique et libertés (cf. partie III-A-2).
En dehors de la loi, c’est un réflexe de bon sens que de protéger son matériel informatique pour se prémunir des intrusions, frauduleuses ou non. Les risques d’aspirations de données sont une réalité mais il en est une autre, celles liée aux accès et utilisations malveillantes du réseau Wi-Fi. Il paraît ainsi préférable de sécuriser le réseau pour éviter tout accès risqué, ceci se faisant via des accès par identifiants (cf. partie II-B). Les restrictions d’accès sont une meilleure garantie à la protection logique du réseau. Ceci permet également de se prémunir contre les fraudes électroniques, les risques liés au terrorisme, les pratiques illicites sur internet (pédophilie, xénophobie, apologie, diffamation, piratage, etc.), le tout en conformité à la loi Hadopi.

Enfin, l’ANSSI a publié des « Recommandations de sécurité relatives aux réseaux WiFi ».

3. Blocage d’accès
Si certains des risques cités ci-dessus paraissent plus théoriques que réalistes, l’on ne peut être sûr de rien. En effet, le comportement de chaque utilisateur du réseau Wi-Fi interne ne peut être contrôlé. Par exemple, peut-on empêcher un utilisateur d’accomplir des actes de téléchargements illégaux sachant que c’est la responsabilité de l’opérateur local qui sera engagée ?
Il paraît préférable de bloquer l’accès de certains sites internet présentant un risque quelconque pour l’opérateur interne. Commercialement parlant, il n’est pas envisageable de bloquer un grand nombre de sites. Raisonnablement, un blocage ciblé est permis face, par exemple, à des sites de partage de fichiers, de téléchargement illégal et/ou à caractère pornographique.
Pour mettre en place ces blocages ciblés, il faut en informer les utilisateurs du réseau. Cette information se fera par une note d’information qui s’affichera en lieu et place du site bloqué. Elle doit également se faire de manière préalable en étant stipulée dans la « Charte d’utilisation du réseau Wi-Fi » (cf. partie II-B-2).

4. Limitation des seuils d’exposition
Même s’il s’agit également d’une question polémique, la nocivité des émissions d’ondes électromagnétiques ne doit pas être négligée. Les seuils d’exposition tolérés ont diminués au fil des polémiques et des années.
Pour optimiser la captation de signaux des hotspots Wi-Fi, il faut les positionner au mieux sur l’espace interne à desservir. Dès lors, l’aide d’un prestataire pour architecturer l’emplacement des bornes n’est pas dénuée du sens. Dans plusieurs crèches et écoles maternelles, des parents ont fait les émissions d’ondes Wi-Fi sous prétexte de principe de précaution au profit de la santé de leurs enfants.
L’ OMS a institué des seuils d’exposition , lesquelles doivent être respectés. Concernant la France, les seuils nationaux peuvent être plus restrictifs !
L’association Robins des Toits met à disposition un dossier très complet concernant les dangers du Wi-Fi .

B- La sécurisation juridique face aux utilisateurs du réseau Wi-Fi
La sécurisation du Wi-Fi n’est pas liée qu’aux risques d’introductions malveillantes, à la loi et aux ondes électromagnétiques. Elle concerne directement les utilisateurs du réseau interne lui-même. Il paraît préférable d’en restreindre les possibilités d’accès (1) et de mettre en place une « Charte d’utilisation du réseau Wi-Fi » (2).
1. Les restrictions d’accès au réseau Wi-Fi
Même si cela ne constitue pas une réelle obligation légale, il paraît préférable de restreindre les possibilités d’accès au réseau Wi-Fi en tant que tel. Ainsi, mettre en place des codes d’accès ou obliger l’utilisateur à s’identifier préalablement s’avère être une bonne alternative. Cela permet de limiter les risques d’accès frauduleux et de satisfaire à la protection face aux actes non autorisés sur internet : pédopornographie, diffamation, piratage, actes terroristes, etc.
Allant plus loin pour mieux sécuriser et restreindre, on peut imiter la durée de vie de chacun des codes d’accès.
Attention, la mise en place de codes d’accès conduit inévitablement à la collecte de données à caractère personnelle. Il faut donc se soumettre à toutes les dispositions de la loi informatique et libertés (cf. partie III) : déclaration Cnil, information préalable des utilisateurs, sécurisation des données, effacement, etc.
2. La mise en place d’une « Charte d’utilisation du réseau Wi-Fi »
Face aux utilisateurs du réseau Wi-Fi, une bibliothèque, un cybercafé, un musée ou un camping peu mettre en place une « législation de proximité » destinée à encadrer les droits et devoirs de ses utilisateurs. Ce cadrage s’accompli par un document de valeur contractuelle accepté par tout utilisateur du réseau interne. En général dénommé « Charte d’utilisation du réseau Wi-Fi », il s’agit, pour l’opérateur local, de proposer une convention qui lui permettra de stipuler des réserves de responsabilité face à l’utilisation de son réseau. Cette charte est comparable aux conditions générales d’utilisation (CGU) de tout site ou service internet.
connect-20333_1280
Ainsi, la Charte d’utilisation du réseau Wi-Fi est un document essentiellement destiné à protéger l’opérateur interne (bibliothèque, musée, camping, etc.) face aux utilisations de son réseau par ses clients. Mais pourquoi ? Tout simplement parce que, malgré l’installation de restriction d’accès (codes d’indentification et blocage de sites), on ne peut jamais contrôler le comportement des utilisateurs. La charte doit stipuler que l’utilisateur n’a pas le droit d’accomplir telle ou telle action ; s’il le fait, il engage directement sa responsabilité !
Mais la charte doit être acceptée préalablement à l’utilisation effective du réseau. Cette acceptation doit donc avoir lieu dès la première connexion au réseau interne. Cela s’opère à condition que l’utilisateur coche une case indiquant « J’accepte la Charte d’utilisation du réseau Wi-Fi. » Cette case doit obligatoirement être un opt-in, c’est-à-dire qu’elle ne doit pas être précochée par défaut. C’est l’utilisateur qui doit volontairement, indépendamment et explicitement cocher cette case d’opt-in.
Les différentes stipulations de la charte doivent être adaptées à l’opérateur qui met à disposition le Wi-Fi interne et à ses modes de fonctionnement. Entre autre, peuvent être stipulées l’acceptation de la charte elle-même, les restrictions d’utilisation, les actes interdits et le fait que certaines données à caractère personnel des utilisateurs peuvent être collectées et conservées.
Enfin, il ne faut pas oublier d’insérer des mentions légales au sein de la Charte ( Code de la consommation, art. L. 111-2 ; loi CEN, art. 6-III ). Vous pouvez trouver une matrice pour mentions légales , elle est librement disponible sur le site de l’association AEC.

III- QUANT AUX DONNÉES LIÉES AUX CONNEXIONS WI-FI
Une donnée est le conteneur d’une information, elle est destinée à apporter un renseignement.
Lors de tout accès à internet via un Wi-Fi quelconque, des opérations de collectes, de transferts et d’échanges de données ont lieu. Cela oblige à conserver certaines données (A). Lorsqu’il s’agit de données à caractère personnel, les opérations de collecte et de traitement doivent suivre certaines obligations légales (B).
binary-system-63526_1280 (1)
A- Collecte et conservation de données
L’ article 9 du Code civil énonce que « Chacun a droit au respect de sa vie privée. » Suivant cette disposition d’ordre public, le CPCE énonce en son article L. 34-1 toutes les règles juridiques liées aux opérations de collecte et de conservation de données auxquelles doivent se conformer « Les personnes qui (…) offrent au public une connexion (…) réseau, y compris à titre gratuit, » (II, al. 3). Ainsi, ces personnes peuvent « conserver certaines données en vue d’assurer la sécurité de leurs réseaux. » (IV, in fine).
Un hôtel, une bibliothèque ou un musée sont notamment soumis à cette obligation de conservation de données s’ils mettent en place un réseau Wi-Fi interne ouvert à leur clientèle. Il s’agit donc de savoir quelles données sont concernées (1), dans quelles conditions elles doivent être conservées (2), sans omettre la situation particulières des salariés (3) qui peuvent également avoir accès au réseau hertzien interne local.
1. Les données soumises à conservation
Il n’est pas nécessaire de conserver tous les types de données. Le Code des postes et communications électroniques liste qu’elles données sont obligatoirement soumises à conservation.
Les articles R. 10-13 et R. 10-14 , IV dudit Code énonce qu’il faut conserver des données dites de « trafic » ; c’est-à-dire, en application du l’ article R. 10-12 du CPCE , des « informations (…) susceptibles d’être enregistrées par l’opérateur à l’occasion des communications électroniques (…) et qui sont pertinentes au regard des finalités poursuivies par la loi. » Les deux articles suivants permettent d’identifier de telles informations.
Ces données de trafic concernent :
* Art. R. 10-13 , pour « les besoins de la recherche, de la constatation et de la poursuite des infractions pénales » : « a) Les informations permettant d’identifier l’utilisateur ; b) Les données relatives aux équipements terminaux de communication utilisés ; c) Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ; d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ; e) Les données permettant d’identifier le ou les destinataires de la communication. »
* Art. R. 10-14 , IV, « Pour la sécurité des réseaux et des installations » :« a) Les données permettant d’identifier l’origine de la communication ; b) Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ; c) Les données à caractère technique permettant d’identifier le ou les destinataires de la communication ; d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs. »
Si l’on constate que la plupart des informations à conserver ont un caractère technique (caractéristiques des terminaux informatiques utilisés, volumétries des communications, connexions aux services), certaines concernent l’identification des utilisateurs. Mais, qui dit collecte de données d’identification d’une personne physique – ici l’utilisateur d’un réseau Wi-Fi interne – dit collecte de données personnelles ! D’ailleurs, cette partie réglementaire du CPCE concerne la protection de la vie privée des personnes.
Pour rappel, une donnée personnelle est une « information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement » ( loi IL, art. 2, al. 2 ). Face aux données de trafic à collecter et conserver, cela concerne les informations d’identification des utilisateurs, l’origine de la communication ou les caractéristiques des terminaux utilisés. Par exemple, il en ira ainsi des nom, prénom et coordonnées (adresse, mail, numéro de portable) de l’utilisateur, des identifiants numériques et informatiques de son ordinateur ou smartphone (adresses MAC et IP, numéros constructeurs, etc.), de sa géolocalisation ou encore de navigation sur internet.
Dans le respect de la vie privée des personnes et de la loi informatique et libertés , lesdits utilisateurs doivent être informés de telles opérations de collectes. Cela s’opère par l’acceptation de la charte d’utilisation du réseau Wi-Fi (cf. partie II-B).
Un problème demeure : la collecte de « données permettant d’identifier le ou les destinataires de la communication. » ( CPCE, art. R. 10-13 , e). En effet, il y a là aussi collecte de données personnelles… mais auprès de personnes n’en étant pas préalablement informées et n’ayant pas accepté cela préalablement. On touche ici une limite à la protection de la vie privée. Cependant, ces collectes suivent des considérations d’ordre public liées à la sécurité du territoire et la protection des personnes (notamment la lutte contre le terrorisme ). Une telle finalité permet de passer outre la protection de la vie privée au nom de l’intérêt général. Pour bénéficier d’un minimum de sécurité juridique, il est préférable de stipuler de telles collectes dans la charte d’utilisation du réseau Wi-Fi (cf. partie II-B).
Ceci ne doit surtout pas être négligé. Le non-respect de cette obligation de conservation expose les personnes morales à une amende de 375 000 € d’amende ( CPCE, art. L. 39-3 ; Code pénal, art. 131-38 ).
2. Les conditions de conservation des données
À compter du jour de la collecte, l’ article R. 10-13 du CPCE , III oblige à conserver toutes ces informations pendant « un an ». Sans plus de précisions, aucune période maximale ne semble exigée. Donc, au-delà de ces douze mois, la loi informatique et libertés s’applique. De manière générale, son article 6 énonce que les données personnelles collectées doivent être « conservées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. » C’est donc la « finalité » de la conservation qui prime ; au regard du CPCE, il s’agit ici « de la recherche, de la constatation et de la poursuite des infractions pénales ». Ainsi, si un an est le minimum légal, il semble préférable de ne pas aller au-delà de deux années.
Plus claire, l’ article R. 10-14 dispose que la durée de conservation ne doit pas excéder « trois mois ».
Passées ces périodes, les données collectées ne peuvent être conservées que si elles ont fait l’objet d’une anonymisation ( loi IL, art. 39-II , dernier al.).
Dans ses aspects techniques et numériques, la conservation des données de trafic doit être sécurisée. Outre l’utilisation de codes d’accès sécurisés, le matériel sur lesquelles elles sont conservées doit être sécurisé et protégé. Si l’opérateur interne les conserve chez lui sur un disque dur, il devra le tenir sous clé et éviter tout accès physique. Il paraît tout de même plus simple et efficace de faire appel à un prestataire hébergeur, lequel a de très fortes obligations de sécurisation physique et logique des données qu’il héberge.
3. Quant aux salariés de l’opérateur Wi-Fi interne
Cas à part, les salariés peuvent eux aussi être utilisateurs, à titre professionnel et/ou personnel, du réseau Wi-Fi interne à disposition.
Selon l’article L. 1222-4 du Code du travail , toute collecte d’« information concernant personnellement un salarié (…) par un dispositif quelconque [doit être] porté préalablement à sa connaissance. » L’indifférence face au dispositif de collecte fait que la collecte de données via réseau Wi-Fi interne est concernée. Ce porté à connaissance peut s’accomplir de différentes façons :
– par affichage et lettre d’information auprès des salariés ;
– par un avenant au contrat de travail, cet avenant devant expressément et personnellement être signé par l’employeur et chaque employé ;
– par une clause particulière au sein de tout nouveau contrat de travail établi après installation du dispositif de collecte via Wi-Fi interne.
Enfin, dans le cadre de l’article L. 2323-32, alinéa 3 du Code du travail , la « mise en œuvre dans l’entreprise » d’un Wi-Fi conduit à des collectes de données relatives aux employés. Cela permet à l’employeur d’exercer « un contrôle de l’activité des salariés. » Ceci impose d’en informer « préalablement » le comité d’entreprise.
B- Obligations légales face aux données collectées
Sous conditions, la loi oblige a rendre disponibles les données collectées, même si celles-ci sont des données personnelles (1), dans le cadre de procédures judiciaires (2).
detective-152085_1280
1. Face aux données personnelles
Concernant les données personnelles, toute opération de collecte nécessite de constituer un fichier contenant de telles données. Dans le cadre de l’ article 25-I de la loi informatique et libertés , ce fichier doit obligatoirement faire l’objet d’une déclaration auprès de la Commission nationale informatique et libertés ( Cnil ). Seul le fait d’opérer des collectes doit être déclaré. Donc, les données collectées doivent rester strictement confidentielles et ne surtout pas être déclarées, même face à la Cnil. Par dérogation prévue au III du même article, la présence d’un Correspondant Informatique et Libertés ( CIL ) apporte une dispense aux obligations de déclaration. En effet, le Cil est une sorte de garant des données personnel car il est « chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans la » loi informatique et libertés.
En son article 34 , cette loi oblige à « prendre toute précautions utiles (…) pour préserver la sécurité des données et, notamment, empêcher (…) que des tiers non autorisés y aient accès. » Cette obligation est rappelée à l’ article 226-17 du Code pénal .
Plus généralement, en lien aux dispositions pénales énoncées par la loi informatiques et libertés ( art. 50 à 52 ), ce sont les articles 226-16 à 226-24 du Code pénal qui répriment les « mauvais » comportements face aux données à caractère personnel. À ce titre, l’ article 226-16 puni « Le fait (…) de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’ai été respectées les formalités préalables à leur mise en œuvre ».
2. Face aux procédures judiciaires
Les autorités judiciaires (services de police ou de gendarmerie et tribunaux) sont habilitées à demander et obtenir communications des données collectées. Cette habilitation s’étend également aux données personnelles. Cette communication est obligatoirement demandée dans le cadre d’une réquisition judiciaire . Elle poursuit des objectifs de lutte contre les fraudes électroniques , contre le terrorisme , contre les pratiques illicites sur internet (activités pédophiles, xénophobie, apologies, diffamation, piratages, etc.) et en conformité à la loi Hadopi .
En dehors des juridictions privées, une réquisition administrative peut être ordonnée pour communiquer les données collectées ( CPCE, art. L. 34-1-1 ) dans un but de prévention et de lutte contre le terrorisme.

… [Lire la suite]

Réagissez à cet article

Sans GPS, Google sait d’où vient une photo 

Les équipes de Google spécialisées en intelligence artificielle mettent actuellement au point un logiciel capable d’identifier le lieu où a été prise une photo, sans avoir besoin d’utiliser les données GPS de la prise de vue.

Baptisé « PlaNet », ce projet de Google n’a pas encore atteint des résultats vraiment fiables, mais le logiciel est déjà meilleur que les humains pour reconnaître la géolocalisation d’une photo.

En se fondant sur une base de données de plus de 2 millions d’images géolocalisées de FlickR, les ingénieurs de Google sont désormais capables de deviner à 48% l’endroit où a été prise une photo. Ce niveau de performance permet à PlaNet de battre des humains 3 fois sur 5 en moyenne.

Sur le site GeoGuessR, les internautes sont invités à se confronter à PlaNet. En 20 secondes, les visiteurs doivent essayer de deviner l’endroit où une photo a été prise, ce qui est un véritable défi quand il s’agit d’un paysage désertique.

A ce petit jeu de géolocalisation, le logiciel PlaNet atteint une précision de 1 130 kilomètres, là où les humains n’en sont qu’à 2 320…

Un résultat surprenant pour un logiciel léger, qui pourrait tenir sans problème sur un smartphone, et devenir à terme, un logiciel de reconnaissance d’images que Google pourrait utiliser … [Lire la suite]

Réagissez à cet article

Failles de sécurité dans les antivirus 

Imaginez votre antivirus ou votre pare-feu reconverti en cheval de Troie permettant à un pirate de pénétrer au sein de votre ordinateur pour mieux l’attaquer.

C’est exactement ce que viennent de découvrir des experts en sécurité informatique qui ont mis la main sur plusieurs failles de sécurité au sein de logiciels de sécurité. Tomer Bitton, vice-président recherche au sein de la société de sécurité EnSilo, a analysé avec son collègue Udi Yavo une douzaine d’antivirus et de pare-feux.

Résultat : les solutions censées protéger nos ordinateurs peuvent en fait représenter la porte d’entrée des attaques.

« Au total, nous avons découvert six failles différentes, dont quatre très critiques, permettant d’exécuter du code arbitraire. De plus, le pirate n’a même pas besoin d’un accès administrateur, les privilèges de l’utilisateur sont suffisants » rapporte Tomer Bitton.

Ces failles de sécurité peuvent être utilisées assez facilement par les pirates sans trop de difficultés sur tous les systèmes Windows. Une des techniques à laquelle ont recours les pirates est le « hooking », qui consiste à introduire du code arbitraire dans un processus.

Les deux experts ont immédiatement alerté les éditeurs. Bon nombre d’entre eux ont mis en place des correctifs pour colmater les brèches. Néanmoins, certains n’ont pris aucune mesure en dépit de l’avertissement des experts, lesquels ont constaté avec étonnement qu’il n’existait pas d’étroite collaboration entre les éditeurs et les analystes de logiciels malveillants.

Les experts ne se sont pas cantonnés à la simple observation. Ils ont aussi conçu un outil permettant de détecter les failles baptisé « AVulnerabilityChecker »… [Lire la suite]

Réagissez à cet article

Stop aux photos d’enfants sur Facebook ? 

Plusieurs chaînes de publication de photos d’enfants comme le « Motherhood Challenge » inquiètent les gendarmes français, qui viennent de poster sur leur page officielle Facebook des consignes de prudence. Les autorités rappellent que la publication de photos sur Facebook n’est pas un geste anodin, notamment lorsqu’il s’agit de mineurs.

De nombreux messages circulent actuellement avec un grand succès sur le réseau social, incitant les papas et mamans à poster des photos de leurs enfants, et à encourager leurs amis à en faire autant. Devant l’ampleur du phénomène, la Gendarmerie Nationale renvoie les membres de Facebook aux recommandations de la CNIL concernant les chaînes de publication.

Il est essentiel de régler ses paramètres de confidentialité de manière stricte, pour que les photos et contenus postés ne soient pas diffusés sans limite sur les réseaux sociaux. Il est également indispensable de supprimer à intervalles réguliers les données obsolètes encore en ligne. Les autorités rappellent qu’au-delà des dangers immédiats, la publication de photos de mineurs sur Facebook peut avoir des conséquences à long terme.

Que penseront les enfants en question si ces photos sont utilisées dans 5 ou 10 ans ?

Le droit à l’oubli et la protection de la vie privée des mineurs doivent s’envisager sur la durée.

… [Lire la suite]

Réagissez à cet article

L’ADN remplacerait-il bientôt nos disques durs pour stocker nos données ? 

Qu’est-ce que l’ADN ? Un immense support pour stocker l’information. L’information génétique dans les organismes vivants, évidemment. Mais aussi bien d’autres choses. Il suffit d’élaborer un code à partir des quatre bases (les lettres qui constituent le code ADN) pour y stocker n’importe quelle donnée, et notamment les données numériques.

Les chercheurs de l’université Harvard, du laboratoire européen de biologie moléculaire de Heidelberg et de l’école polytechnique fédérale de Zurich testent les possibilités des brins d’ADN depuis plusieurs années, rappelle Digital Trends. Et ce sont les Suisses qui viennent d’obtenir la dernière grande avancée, celle qui résout le problème de la conservation des informations sur une longue durée.

Informations préservées pendant des centaines de milliers d’années

Dans un fragment d’ADN, ils ont encodé la Charte fédérale suisse de 1921 et la méthode des théorèmes mécaniques d’Archimède. Ils ont ensuite inséré ce fragment d’ADN dans une minuscule sphère de verre mesurant 150 nanomètres de diamètre, des fossiles synthétiques en quelque sorte. Ils ont ensuite soumis cette “bille” à des conditions extrêmes pour simuler un vieillissement accéléré. A la fin de l’expérience, ils pouvaient toujours lire les données, explique ExtremeTech.

Stockées de cette façon, à basse température (–18 °C), les informations pourraient être préservées pendant des centaines de milliers d’années, estiment les chercheurs.

Le monde dans quatre grammes

Mais pourquoi se donner tout ce mal ? Parce que l’avantage de la molécule d’ADN, c’est son immense capacité de stockage. En théorie, toutes les données numériques existant pourraient “tenir” dans quatre grammes d’ADN, rappelleDigital Trends.

Reste à lever deux obstacles principaux. Le coût de cette technologie, toujours très élevé. Et le fait qu’une fois écrite et “vitrifiée”, l’information ne peut plus être corrigée.

Mais selon le Dr Nick Goldman, du laboratoire européen de biologie moléculaire (EMBL), le coût pourrait baisser suffisamment pour que la technologie soit accessible d’ici dix ans.

Microsoft, quant à lui, a déjà développé un langage spécifique baptisé DNA Strand Displacement Tool, qui peut être utilisé pour concevoir des séquences génétiques capables de faire fonctionner des circuits électroniques, rappelle la MIT Technology Review.

Réagissez à cet article

Arnaque à la SexTape – Ne vous découvrez pas d’un clic 

Le 24 février dernier, un  garçon de 13 ans qui habite en Haute-Vienne près de Limoges a ainsi été contacté sur Internet. Une « prétendue » jeune fille l’a abordé sur les réseaux sociaux et l’a encouragé à se déshabiller devant sa webcam puis lui a demandé 150 € en mandat-cash sous peine de diffuser la vidéo. Une grosse frayeur pour l’adolescent qui a eu le bon réflexe de prévenir ses parents.

D’abord abordé puis dragué, le mode opératoire est bien rodé pour ces cyberdélinquants et peut toucher la plupart d’entres vous.

Adultes ou adolescents, ils sont de plus en plus nombreux à tomber dans le piège

LA TECHNIQUE

1- Repérage

La technique consiste à repérer ses victimes sur des sites renfermant des nids de cibles faciles. Les forums, les réseaux, sociaux, les sites de rencontre, les sites de loisirs et de manière générale tous les sites internet favorisant le dialogue, les rencontres amicales et surtout amoureuses sont les plus couramment utilisés.

Ca ne fait pas peur au prédateur d’aborder dans la même journée plusieurs dizaines de cibles. L’essentiel est d’avoir un minimum quotidien de victimes pour s’assurer un revenu minimum et régulier.

Trouver des victimes sur Internet pourrait bien finit un jour, comme les envois en masse de mailings ou des opérations en masse de phoning, par avoir ses propres statistiques de retour (Un pourcentage assuré de victimes par rapport au nombre de cibles).

2- Le contact

Une fois la cible repérée, il faut la vérouiller.

Si la cible est un homme, l’usurpateur prendra la peau (les photos et les vidéos) d’un modèle de beauté féminin; et si la cible est une femme, c’est à un bel étalon ou quelqu’un excessivement attentionné que le pirate ressemblera. Il n’y a que l’embarra du choix sur Internet. Un simple clic droit sur une photo permet de l’enregistrer sur son ordinateur et ensuite de l’utiliser impunément.

Le dialogue est alors très dirigé, cherchant à faire parler la victime d’elle, la complimentant, lui trouvant un nombre important de points communs (ça fait partie des techniques de manipulation comportementale que ces voyous savent très bien uiliser) cherchant à instaurer un climat de confiance, développer de la complicité et surtout faire baître, DES SENTIMENTS !

Ne vous en faîtes pas pour le malfrat, quoi qu’il vous dise, il n’a de son coté aucun sentiment, il atend juste que des sentiments commenent à naître chez sa proie et on peut alors consédérer qu’elle est malheureusement vérouillée.

3- Le piège

Il existe une technique similaire consistant à vous dérober de l’argent et parfois même, des montants faramineux. Mais c’est la tournure d’une arnaque à la SexTape que prendra la relation à distance si vous avez une Webcam.

Rapidement, au bout de quelques heures ou quelques jours,  une fois les sentiments vous faisant quitter le monde rationnel mais plutôt voyager dans le monde des émotions, votre interlocuteur, le plus beau ou la plus belle du monde vous invite à vous dévoiler physiquement pour son plus grand bonheur… Une démarche plus ou moins naturelle vous me direz, dans le cadre d’une relation amoureuse qui commence à s’installer….

Cepentant, à l’autre bout de la souris, l’interlocuteur malintentionné est prêt à appuyer sur sa gachette pour …. vous enregistrer en train de vous dénuder, en train de jouer.

Une fois cette étape franchie, le piège s’est refermé et votre interlocuteur ou votre fausse interlocutrice détient précieusement des images compromettantes.

4- Le chantage

Une fois le piège refermé sur vous, et cette étape franchie, le cybercriminel s’empresse de mettre fin au jeu sexuel pour le remplacer par un jeu de force, consistant à vous menacer de dévoiler sur Internet d’envoyer à votre famille, à votre employeur ou à d’autres de vos contacts la vidéo ou les photos compromettantes capturées si vous ne payez pas une somme d’argent. C’est du chantage (action d’extorquer de l’argent ou tout autre avantage par la menace, notamment de révélations compromettantes ou diffamatoires).

Les pirates vous demanderont à tous les coups, pour conserver l’anonymat grace à des complices, de régler par mandat cash, westernu union ou par monnaie électronique, naturellement anonyme.

5- Que faire pour s’en protéger ?

L’action la plus citoyenne que vous pourriez faire consisterait à nous aider à faire de la prévention en partageant cet article, en parlant à votre entourrage ou à vos proches de l’existence de ce fléau pour éviter qu’ils se fassent attraper, car une fois le piège refermé sur vous, vu que les communicatins peuvent être surveillées, enregistrées, sauvegardées et partagées dans le cloud, il est souvent trop tard pour supprimer toutes traces de photos ou vidéos compromettantes et ceci, même si vous payez la rançon…

Quelques conseils

• Sois méfiant à l’égard de ceux qui veulent en savoir trop.
• Ne donne aucune information sur toi ou sur ta famille (comme ton nom, ton numéro de téléphone, ton adresse ou celle de ton école…) sans en parler avec tes parents.
• Si tu reçois ou si tu vois quelque chose qui te met mal à l’aise, ne cherche pas à en savoir plus par toi-même, déconnecte toi et parles-en à tes parents.
• Si tu envisages de rencontrer quelqu’un que tu as connu en ligne n’y va jamais sans en parler à tes parents.
• Supprime, sans les ouvrir, les mails que tu n’as pas demandés ou qui te sont envoyés par des personnes en qui tu n’as pas confiance.
• N’achète jamais rien sur Internet, sauf si tes parents sont avec toi pour te conseiller.
• Ne donne jamais un mot de passe.

6- Et si c’est trop tard

Si c’est malheureusement trop tard pour vous et que vous êtes bel et bien victime d’arnaque à la Sex Tape, il faut surmonter sa honte et en parlet à des amis ou des confidents. Si vous êtes mineur, parlez-en immédiatement à vos parents.  Il faut relativiser, se dire que ce n’est pas catastrophique. Vous êtes juste victime d’une escroquerie.

Ensuite, il est important que pouvoir récolter le maximum d’éléments techniques qui permettront de remonter jusqu’à l’auteur de cette machinerie. Pseudos, courriers électroniques avec leurs entêtes, récupérer les adresses IP, garder les SMS, etc…. seont un point de départ solide pour une enquête.

Il est également important de porter plainte.

Si vous n’avez pas encore payé, malgré les menaces ou la diffusion de vidéos, ne le faites surtout pas. Payer n’engagera pas la personne à supprimer les informations compromettantes.

Si vous pensez avoir été victime d’une escroquerie sur Internet, mais n’êtes pas sûr, si vous voulez des conseils suite à une tentative d’escroquerie dont vous auriez été victime, vous pouvez contacter la plateforme téléphonique Info Escroqueries, où des policiers et des gendarmes vous répondent au 0811 02 02 17 (coût d’un appel local) », porter plainte en brigade de Gendarmerie ou au Commissariat de Police ou bien signaler l’acte malveillant dont vous êtes victime sur la plateforme PHAROS (Plateforme d’Harmonisation, d’Analyse, de Recoupement et d’Orientation des Signalements) sur www.internet-signalement.gouv.fr.

Ces escroqueries sentimentales sont souvent organisées, par des réseaux structurés, depuis des pays d’Afrique, où la justice peine à se faire entendre même si le cyber harcèlement est puni en France par l’article 222-33-2-2 du code pénal (2014) de 2 ans à 3 d’emprisonnement et de 30 000 à 45 000 € d’amende.

Réagissez à cet article

Est-ce légal d’utiliser un VPN pour contourner le filtrage géographique ?

Alors que NordVPN part en guerre contre le blocage de ses serveurs par Netflix, vous vous posez peut-être la question : est-ce légal pour un internaute de passer par les services d’un VPN pour contourner le filtrage géographique et accéder à des œuvres qui, normalement, ne sont pas diffusées en France ou le sont par d’autres services ?

La réponse est loin d’être aussi évidente qu’on pourrait le penser. Elle n’est en tout cas, comme souvent en droit, pas binaire. Il est impossible de répondre « oui » ou « non ». Mais tentons une réponse argumentée.

Il fait peu de doute que les blocages géographiques imposés par les ayants droit peuvent être considérés comme des mesures techniques de protection, qui sont celles destinées à « empêcher ou à limiter les utilisations non autorisées par les titulaires d’un droit d’auteur ». Quand un studio accorde des droits à Netflix US, il le fait pour autoriser l’accès depuis les États-Unis, pas depuis les autres pays, et le blocage géographique vise à s’en assurer.

Or l’article L335-3-1 du code de la propriété intellectuelle punit bien de 3 750 euros d’amende « le fait de porter atteinte sciemment, à des fins autres que la recherche, à une mesure technique efficace (…) afin d’altérer la protection d’une oeuvre par un décodage, un décryptage ou toute autre intervention personnelle destinée à contourner, neutraliser ou supprimer un mécanisme de protection ou de contrôle ».

Fin de l’histoire ? Non. Car il y a deux obstacles.

LE FILTRAGE GÉOGRAPHIQUE, UNE MESURE TECHNIQUE DE PROTECTION « EFFICACE » ?

Le contournement du filtrage géographique par contrôle d’adresse IP n’est interdit que s’il s’agit d’une mesure technique « efficace », ce qu’il ne faut pas prendre au sens commun. Il suffit pas de pouvoir contourner pour dire que ça n’est pas efficace.

La loi précise que les « mesures techniques sont réputées efficaces lorsqu‘une utilisation […] est contrôlée par les titulaires de droits grâce à l’application d’un code d’accès, d’un procédé de protection tel que le cryptage, le brouillage ou toute autre transformation de l’objet de la protection ou d’un mécanisme de contrôle de la copie qui atteint cet objectif de protection ».

Il paraît clair que le contrôle de l’adresse IP n’est pas un contrôle de code d’accès, ni un procédé de transformation de l’œuvre tel que le brouillage ou le cryptage. Mais s’agit-il d’un « mécanisme de contrôle de la copie » ? Il y aurait débat, puisque techniquement, l’utilisateur de Netflix ne réalise pas de copie. Mais admettons.

L’UTILISATEUR D’UN VPN EST-IL RESPONSABLE ?

Un deuxième problème se pose. L’amende de 3 750 euros prévue par l’article L335-3-1 ne peut s’appliquer que si le contournement est réalisé par « d’autres moyens que l’utilisation d’une application technologique, d’un dispositif ou d’un composant » qui existe déjà, fourni par un tiers.

Dans ce dernier cas, c’est le fait de « procurer ou proposer sciemment à autrui, directement ou indirectement, des moyens conçus ou spécialement adaptés pour porter atteinte à une mesure technique efficace » qui devient punissable, de six mois de prison et 30 000 euros d’amende. L’idée est que c’est d’abord celui qui fournit l’outil en toute connaissance de cause qui doit être tenu responsable pénalement, et pas celui qui s’en sert.

Dès lors, il faut distinguer deux cas, assez paradoxaux :

Si l’internaute utilise un service de VPN qui est clairement promu comme un outil de contournement du filtrage (typiquement NordVPN), il n’est pas responsable ;
Si l’internaute utilise un service de VPN totalement neutre, qui ne fait que fournir une adresse IP géolocalisée dans d’autres pays, sans dire à quoi ça peut servir, c’est lui qui le transforme en outil de contournement de la mesure technique de protection, et il devient donc responsable.
Dans tous les cas, l’internaute est potentiellement coupable de recel de contrefaçon, mais c’est une réflexion qui nous amènerait trop loin. Et songez surtout qu’en pratique, il reste extrêmement peu probable qu’existe un jour une plainte pour utilisation d’un VPN, qui demanderait d’obtenir l’adresse IP des internautes en cause. Mais si vous vous posiez la question, vous avez une réponse.

Source : Guillaume CHAMPEAU

Réagissez à cet article

Gare aux « tarifs délirants » des numéros en 118 

Des numéros de renseignements téléphoniques, la plupart d’entre vous n’en connaissent que le duo moustachu qui amusait la galerie dans les spots TV voilà quelques années. À force de le répéter sur un air de générique des années 80, le numéro « 118 218 » s’est peut-être inscrit durablement chez certains. Ce que l’on sait moins, c’est que cette société – leader du marché – ainsi que ses pairs, génèrent une « vague de plaintes » des utilisateurs.

L’association 60 Millions de consommateurs dit avoir reçu un certain nombre de réclamations de personnes ayant vu leur facture téléphonique exploser suite à un appel en « 118 ». Après la libéralisation complète du « 12 » en 2007, ces services se sont mis à pulluler. Depuis, la plupart a disparu et le nombre d’appels a fondu, mais une dizaine survit. Le 118 218, de la société Le Numéro (filiale de l’américain KGB), a même lancé son application.

Une arnaque en 3 leçons

« Pour à peine 2 minutes et 40 secondes au bout du fil, un de nos lecteurs s’étonne d’avoir payé 10,80 euros au 118 218 », rapporte l’association. Elle voit trois explications. La première : « Face à la baisse des appels, les services de renseignements téléphoniques ont augmenté leurs tarifs jusqu’à des sommets inédits. La plupart facturent désormais 5 à 6 euros la première minute d’appel, puis 2,50 à 3 euros les minutes suivantes. »

En effet, les services de renseignements téléphoniques « sont les seuls numéros surtaxés pour lesquels la réglementation ne fixe aucun plafond tarifaire », rappelle 60 Millions de consommateurs, alors que les autres numéros à tarification majorée (08) ont plafonnés à 0,80 euro la minute depuis la réforme d’octobre 2015.

Réagissez à cet article

Alerte vigilance – #Ransomware Lockyx 

CONSEIL N°1 : VIGILANCE UTILISATEUR
Informez vos collaborateurs de l’importance de ne pas ouvrir la pièce jointe d’un email envoyé par un expéditeur inconnu. Soyez très vigilant notamment avec les pièces jointes .zip, .doc, .xls : sources de propagation de Locky.
Les sensibiliser à l’utilisation des macros et/ou les désactiver, source de propagation de Locky.

CONSEIL N°2 : SOLUTION DE PRA
Assurez-vous que vos machines sont correctement sauvegardées, et les images externalisées pour une restauration rapide en cas d’attaque.

Les équipes ESET sont mobilisées à l’heure actuelle pour vous apporter une solution rapide et continue contre ce ransomware et ses multiples variantes quotidiennes.
Note : si vos machines sont déjà infectées, isolez-les des autres, initiez leur restauration et lancez une analyse complète de vos systèmes.
Cordialement,
L’équipe ESET

… [Lire la suite]

Réagissez à cet article