Sécurité des utilisateurs et confidentialité des données

Dr Khadija Ramah HouerbiEABA, Laboratoire Cristal (ENSI)

Association des professionnels de la sécurité de l'information (APSIT)

Introduction● Internet est un moteur de développement

économique, social et démocratique

⇒ Un accès à internet sécurisé, fiable, de débit approprié, de coût abordable et égalitaire est-il un droit humain ?

● Dans quelle mesure les utilisateurs peuvent-ils faire confiance aux :

– fournisseurs de contenus, les sites web, réseaux sociaux, clouds,..

– FSIs, opérateurs,

– logiciels utilisés, ...

● Que peuvent faire les internautes pour limiter les risques de violation de leurs données personnelles?

PlanLe mythe de l'anonymat sur l'Internet

Traces numériques

◦ Traces involontaires

◦ Traces volontaires

Limiter les risques de violation de données personnelles

◦ Limiter les traces involontaires

◦ Et maîtriser celles volontaires

◦ Identité numérique et E-réputation

3

Sur l'Internet, personne ne sait que tu es un chien, adage né d'un dessin humoristique de 1993

4

En 2000

le site web anonymizer.com 5

En 2013les révélations faites par snowden au sujet des systèmes d'écoute sur internet, des programmes de surveillance PRISM et XKeyscore du gouvernement américain.

Plus de 80 entreprises ont signé des convention avec NSA (National Security Agency), leur permettant de pratiquer la surveillance généralisée et indifférenciée des internautes et des communications téléphoniques

● Ces projets sont conformes aux lois, ils ont eu l'approbation du congrès qui continue de les suivre de prés

● Tout le monde le fait !!!

● Quel écosystème Internet voudrons nous avoir en Tunisie post révolutionnaire ?

PlanLe mythe de l'anonymat sur l'Internet

Traces numériques

◦ Traces involontaires

◦ Traces volontaires

Limiter les risques de violation de données personnelles

– Limiter les traces involontaires

– Et maîtriser celles volontaires

– Identité numérique et E-réputation

10

Traces numériquesDésigne les informations qu'un dispositif numérique

enregistre sur l'activité ou l'identité de ses utilisateurs

◦ Nos ordinateurs, nos téléphones mobiles, les FSIs, les opérateurs, les moteurs de recherche,  blogs, réseaux sociaux, sites web, …

◦ soit automatiquement,

◦ soit par le biais d'un dépôt intentionnel. 

Les traces numériques en en constante augmentation

◦ Prix du Megaoctet a été divisé par 1 million, l’espace occupé par 100 000

◦ Puissance des µprocesseurs multipliée par 500 000

Les traces sont souvent des fichiers de log 

◦ Prises isolément, elles ont peu d’importance.

◦ Mais regroupées, traitées et combinées dans d'importantes bases de données, elles peuvent révéler des informations significatives, stratégiques ou sensibles.

11

Les traces involontaires (sites web visités)

http://www.cnil.fr/vos-libertes/vos-traces/experience/

◦ Votre adresse IP permet de vous géolocaliser

◦ Celle de votre fournisseur d'accès (ou le proxy)

◦ Votre navigateur et votre système d'exploitation

◦ Adresse de la page web qui vous amené à ce site

◦ Votre historique de navigation

• L'horloge de votre ordinateur

• La résolution de votre écran

le tout sans que vous ayez à remplir un formulaire

12

Les cookies (ou les traces collectées par les sites web)

Un cookie est un simple fichier text

◦ stocké par un serveur sur votre disque dur

◦ le nom du serveur qui l'a crée

◦ un identifiant

◦ une date d'expiration. 

13

Les cookies (mode de fonctionnement)

Une page sur internet est souvent une agrégation d’informations issues de différents sites, notamment via les bannières publicitaires.

Les cookies peuvent être déposés et relus par des sites autres que ceux auxquels vous accédez directement…

14

Les cookies tierces parties et les cookies persistantes

Permettent le pistage à travers les différents sites visités par un internaute.

En particulier, une entreprise de publicité peut pister un utilisateur à travers toutes les pages où elle a placé des images de publicité.

La connaissance des pages visitées par l'utilisateur permet à l'entreprise de publicité de lui envoyer des publicités ciblées.

Les cookies flash, evercookies (cookies persistantes) et device finger printing

15

La ré-identification: le scandale d’AOL

En 2006, AOL a mis en ligne, avant de le retirer rapidement, un document contenant des millions de données sur les recherches effectuées par des internautes américains

Avant publication, le fichier avait été rendu anonyme : les noms des abonnés étaient remplacés par des numéros d’identification.

En observant la seule liste des requêtes quotidiennes, sur plusieurs mois, de nombreux pisteurs ont pu retracer la vie d’internautes, identifier leurs adresses ou leurs noms.

Toute information peut devenir personnelle quand elle se combine avec suffisamment d’autres données.

chaque citoyen est aujourd’hui repérable par les données qu’il laisse, ou que d’autres laissent sur lui

17

Et les fournisseurs de services internet?

Tous nos trafics passent par eux

Quelles informations sont-ils en train de collecter?

Pour quelles fins?

Les divulguent-ils?

Utilisent-ils la DPI: Deep Packet Inspection?

18

C’est quoi la Deep Packet Inspection? Permet d’analyser le contenu d’un paquet en profondeur

(au-delà de l'en-tête).

Les FSIs utilisent la DPI pour sécuriser leurs réseaux internes face aux intrusions.

Mais ils peuvent l’appliquer aux clients eux-mêmes: stopper le contenu illégal, mettre en place de la publicité ciblée, améliorer la qualité du service, stopper les viols de la propriété intellectuelle et censurer Internet.

◦ Avant le 14 janvier, la DPI était utilisée pour inspecter le trafic de tous les internautes et censurer tout contenu jugé critique

◦ Après, toutes les règles de filtrages ont été supprimées,

◦ Aujourd’hui, il y a l'agence technique des télécommunications !!!

19

Les traces volontairesDes profils multiples (12 en moyenne pour

un internaute français)

Les données de vos profiles:

◦ Nom, prénom, pseudo, ..

◦ Date de naissance, profession, lieu de résidence, centre d’intérêt,..

◦ Photo, avatar,..

Vos publications et vos contributions (statuts, articles, vidéo, images, photos,..)

Vos commentaires (blogs, médias en ligne, pages de groupes FB,…)

20

PlanLe mythe de l'anonymat sur l'Internet

Traces numériques

◦ Traces involontaires

◦ Traces volontaires

Limiter les risques de violation de données personnelles

◦ Limiter les traces involontaires

◦ Et maîtriser celles volontaires

◦ Identité numérique et E-réputation21

● Le chiffrement, ça marche. Correctement configurés, les systèmes de chiffrement forts font partie des rares choses sur lesquelles vous pouvez compter. Malheureusement, la sécurité des points d’accès est si horriblement faible que la NSA peut la contourner fréquemment. Edward Snowden

● ⇒ Utiliser la cryptographie (https) chaque fois que c’est possible

– Septembre 2013 : 24.6% des 168088 sites webs les plus populaires utilisent HTTPS

– Edward Snowden : « la NSA a cassé le chiffrement du protocole HTTPS grâce au programme Bullrun. Toutes les données chiffrées de l'internet (transactions bancaires, courriers, etc.) sont ainsi accessibles aux services de renseignement américain »

● ⇒ Si besoin utiliser un réseau informatique décentralisé permettant l'anonymat de l'auteur, du destinataire et du contenu des échanges d'information (Tor)

Comment limiter nos traces involontaires

Maîtriser son identité numérique

L’identité d’une personne sur le Net se définit comme la somme des données et des productions (ou contributions) associés à son nom prénom ou pseudo.

Elle est alimentée par les traces volontaires mais aussi par celles des autres

Les frontières vie publique/vie privée, vie personnelle /vie professionnelle sont poreuses

L’identité numérique se gère et peut être mise au service de l’influence que l’on souhaite exercer sur les autres : employeurs, clients, proches…

23

E-réputationC’est l'image qu'un tiers se fera de nous à partir des

éléments de notre identité numérique

La E-réputation est mondiale, publique et a une durée indéterminée.

70% des internautes (selon un rapport Microsoft), sont conscients des enjeux de la e-réputation , mais continuent à avoir une attitude paradoxale sur la toile!!

On s’inquiète mais on étale sa vie privée

24

ConclusionLes traces numériques en constante augmentation

Les informations personnelles identifiables sont une catégorie en expansion constante

◦ Limiter les traces involontaires et préserver un tant soit peu son intimité est possible grâce à la cryptographie

Internet nous offre l’opportunité de façonner notre identité

◦ Une identité numérique claire, cohérente et actualisée rapporte beaucoup (influence, crédibilité, ..)

◦ Une fois publiée, l’information a une portée mondiale

◦ Le web n’oublie jamais rien

Nouveaux défis cloud computing et internet des objets

Quel est le rôle des différents intervenants pour avoir un internet plus sûr ?

25

RéférencesSe connecter d'une manière anonyme en toute

sécurité

◦ http://www.framablog.org/public/_docs/encryption_works.pdf

◦ http://www.staysafeonline.org/dpd/2012-events

◦ https://prism-break.org/

Traces involontaires

◦ www.cnil.fr/vos-libertes/vos-traces/

Politique privacy de google

◦ http://www.google.com/privacy

◦ https://www.google.com/dashboard

26

Merci

Des questions?

Khadija.ramah@gmail.com

Et ailleurs? Sécurité du net et propriété intellectuelle

Plus de sécurité, faire respecter les lois passe inévitablement par restreindre la sphère des libertés

Pourquoi craindre d’avoir sa vie privée bafouée par les services gouvernementaux puisqu’on n’a rien à se reprocher?

Stop On line Piracy Act (SOPA) au USA : projet abondonné

28

Stop On line Piracy Act (SOPA)

Projet de loi permet à la justice américaine de sanctionner n’importe quel site violant les droits d’auteur

Tous les sites alimentés par les internautes: Youtube, Facebook, wikipédia,.. peuvent être censurées partout dans le monde

◦ Blockage DNS

◦ dé-référencement dans les moteurs de recherche

◦ DPI au niveau des FSIs américains

◦ Pénalisation du l’usage du streaming

Censure à grande échelle

29

Stop On line Piracy Act: Opération blackout (18 janvier 2012) a aboutit à l’abandon du projet

La page de Wikipedia en anglais du 18 Janvier 2012

La page de google.com du 18 janvier

http://americancensorship.org/30

Nouveaux défis : Cloud computing et internet des objets

Nouveaux défis : Cloud computing et internet des objets

Avec le cloud les frontières de confiance sont élargies vers les fournisseurs

● Criticité du choix du fournisseur et du contrat SLA● Services peu matures● Manque de standards

● L'enjeu est de construire un Internet des Objets profitable, acceptable et « gouvernable »● Défis technologiques● Mais aussi sur le plan législatif et politique de gouvernance

RéférencesData Pravicy Day

◦ http://http://www.staysafeonline.org/dpd/2012-events

Traces involontaires

◦ www.cnil.fr/vos-libertes/vos-traces/

◦ http://www.gearfuse.com/are-you-being-watched-internet-privacy-and-big-brothers-technological-grasp-infographic/

Politique de confidentialité de google et gestion de ses données sur google

◦ http://www.google.com/privacy

◦ https://www.google.com/dashboard

33

34

Pourquoi créer son identité numérique?

35

La ré-identification

Au milieu des années 90, un groupe d’Assurance américain décida de publier des données médicales anonymisées d’employés de l’Etat du Massachusetts.

Un étudiant en informatique en demanda une copie et travailla à leur “réidentification”.

◦ il utilisa les listes de votants de la petite ville où habitait le gouverneur et croisa les deux bases de données.

◦ Seulement 6 personnes dans cette ville partageaient les mêmes dates de naissance, seulement 3 étaient des hommes et un seul partageait le même code postal… que le gouverneur.

L’informaticien envoya au gouverneur tout son dossier médical.

36

Gestion d’identité numériqueOpenID est un système d’authentification décentralisé qui permet l’authentification unique,

ainsi que le partage d’attributs. Il permet à un utilisateur de s’authentifier auprès de plusieurs sites (devant prendre en charge cette technologie) sans avoir à retenir un identifiant pour chacun d’eux mais en utilisant à chaque fois un unique identifiant OpenID. Le modèle OpenID se base sur des liens de confiance préalablement établis entre les fournisseurs de services (sites web utilisant OpenID par exemple) et les fournisseurs d’identité (OpenID providers). Il permet aussi d’éviter de remplir à chaque fois un nouveau formulaire en réutilisant les informations déjà disponibles. OpenID permet à un utilisateur d'utiliser un mécanisme d'authentification forte.

37

Données éphémères

38

39

Entreprises et célébrités : des enjeux différents Le Web est devenu incontournable, les médias sociaux aussi

◦ Les internautes y sont, les entreprises ont tout intérêt à y être

◦ Créer un climat de confiance et d'écoute avec les internautes

◦ Faire la promotion de leurs activités et de leur actualité

◦ Surveiller la concurrence

◦ Faire de la veille sur leur E-réputation

◦ Une recherche sur 4 concernant les 20 marques les plus connues au niveau mondial aboutit sur un contenu généré par l’usager !!

◦ selon Jeff Bezos (PDG d'Amazon) « dans le monde réel, des clients mécontents sont susceptibles d’en parler chacun à 6 amis. Sur internet, ils peuvent en parler chacun à 6000 amis

Votre E-réputation sera faite avec ou sans vous

 

40/36

Entreprises et célébrités: Soigner sa réputation numérique Internet est devenu le lieu de la fabrication de

l’opinion publique. Politiques, entreprises, acteurs de la société civile et particuliers s’y pressent pour faire valoir leurs positions.

Des agences spécialisées

◦ Communication de crise, développer sa stratégie web2.0, mangement de communautés, Audit d’image, veille,..

◦ Stratégie de masquage (cacher une information sans annuler sa visibilité en la noyant dans une masse d'informations de même type, mais mieux référencées)

◦ Utilisée par Benali

41/36