Bien que l'anonymat complet ne soit pas possible, il est avantageux d'afficher : l'expéditeur (qui a envoyé ce message ?), le destinataire (qui est la destination ?) et la relation (l'expéditeur A et le destinataire B sont-ils liés ?).

INTRODUCTION

f1    Chaque jour, de plus en plus de technologies et de stratégies sont développées pour atténuer certains risques liés à la protection de la vie privée et à la cybersécurité. Par exemple : (1) Les technologies de gestion des droits numériques (DRM). Elles permettent un accès conditionnel aux informations chiffrées, assurent la traçabilité et autorisent l’accès en fonction de l’utilisateur et de l’appareil. (2) Les technologies de chiffrement et de stéganographie. Elles protègent les données et les programmes contre les accès non autorisés en masquant leur contenu et leur existence. (3) Les technologies d’anonymisation et de pseudonymisation. Elles floutent automatiquement les informations personnelles, de sorte que même après authentification, seules les informations nécessaires à la finalité visée sont divulguées ; par exemple, il suffit de vérifier la sécurité d’un canal. (4) Les technologies d’interface. Elles signalent les menaces pesant sur la vie privée et rappellent aux utilisateurs comment configurer leurs paramètres de confidentialité. Par exemple, les navigateurs web peuvent être améliorés pour afficher des informations normalement masquées concernant les cookies et les paramètres P3P. Il est important d’avertir les utilisateurs du risque que les protocoles P3P côté client n’affectent pas la sécurité côté serveur. En juin 2011, le site web de Sega (le site de jeux vidéo de Sega) a été victime d'une fuite de données, entraînant le vol de 1,3 million d'enregistrements. En mars 2013, la police nationale espagnole a arrêté des individus impliqués dans un trafic de données confidentielles. Ces individus avaient acquis illégalement des informations personnelles en les achetant auprès d'employés de compagnies de téléphone, de la Sécurité sociale, des impôts, de l'Institut national de l'emploi (INEM) et d'autres organismes. En 2011, la Cour de justice de l'Union européenne a nuancé la réglementation espagnole en matière de protection des données, affirmant que le droit de l'UE établit deux conditions de licéité du traitement des données : la nécessité de satisfaire aux intérêts légitimes du responsable du traitement et le respect des droits et libertés fondamentaux de la personne concernée ; les États membres ne peuvent imposer de conditions supplémentaires. En août 2015, une cyberattaque contre l'opérateur britannique de téléphonie mobile Carphone Warehouse a compromis les données de 2,4 millions de clients, notamment leurs noms, adresses, dates de naissance, coordonnées bancaires et autres données sensibles.

 

 

RAISONS DE PROTÉGER LA VIE PRIVÉE. MENACES QUI MENACENT LA VIE PRIVÉE.

f2    La protection des données personnelles désigne le droit ou la capacité des individus à contrôler la collecte, l'utilisation et la divulgation de leurs informations personnelles par des tiers. Le volume de données à protéger ne cesse de croître : données personnelles identifiables (DPI), informations relatives au navigateur web et au système d'exploitation (comme les cookies), informations linguistiques, adresses IP et MAC, volumes de données envoyées et reçues, cadence de navigation, etc. Les DPI, telles que le nom, l'adresse et le numéro de téléphone, peuvent être biographiques, biologiques, généalogiques, historiques, transactionnelles, de géolocalisation, relationnelles, informatiques, professionnelles ou de réputation — autant d'éléments qui nous permettent de construire notre identité moderne. La notion de vie privée est contextuelle, nouvelle et en constante évolution ; elle varie d'un pays à l'autre et doit être prise en compte lors de la conception, de la mise en œuvre et de la configuration des applications. Lorsqu'il est impossible d'identifier une personne, que ce soit directement ou indirectement par manipulation, recoupement ou connexion d'informations, il n'y a pas de problème de confidentialité. Une personne peut être dissimulée au sein d'une foule, dans des rues, des bâtiments, etc. (k-anonymat) ou ont pu désactiver leur puce RFID implantée grâce à la technologie de la cage de Faraday afin d'empêcher son déclenchement lors de leur entrée dans un lieu où une bombe était programmée pour exploser à l'identification. J. Craig (1997, « Invasion of Privacy and Charter Values ​​») a identifié six raisons justifiant la protection de la vie privée : (1) Autonomie. Elle favorise l'autonomie en encourageant les individus à prendre leurs propres décisions. (2) Liberté. La vie privée empêche toute ingérence dans les actions d'une personne. (3) Refuge. Elle permet aux individus de se soustraire aux pressions de la surveillance publique et des normes sociales. (4) Créativité. En protégeant les individus des pressions à la conformité, elle encourage l'expérimentation créative, source de diversité sociale. (5) Santé mentale. La vie privée est liée à la santé mentale. (6) Intimité. La vie privée est une condition nécessaire à l'établissement de la confiance et à la confidence.
    Le nombre et la gravité des menaces à la vie privée augmentent quotidiennement. Parmi celles-ci, il convient de souligner : (1) La divulgation non autorisée de contenu, d'identités, d'adresses, de coordonnées bancaires, etc. (2) L'utilisation abusive ou inappropriée des données. (3) Connexion de données non autorisée. (4) Données inexactes, notamment fausses identités, contenu erroné ou obsolète. (5) Détournement de finalité. Il s'agit du processus par lequel l'objectif de l'obtention des informations s'étend à des fins autres que celles initialement spécifiées. Ce détournement peut se produire avec ou sans le consentement de la personne ou de l'entité fournissant les données. Par exemple, l'utilisation d'une carte d'identité nationale ou d'un numéro de sécurité sociale à de nouvelles fins, la vente de photos de permis de conduire à une entreprise privée ou la copie de toutes les photocopies réalisées dans un centre de reprographie sur le disque dur de l'ordinateur du propriétaire ou d'un employé. Par exemple, les passeports électroniques sont utilisés dans de nouveaux domaines tels que le commerce électronique. L'utilisation accrue d'une technologie ou d'un système au-delà de sa finalité initiale peut entraîner une atteinte à la vie privée. (6) Vie privée physique. Stigmatisation et hygiène. (7) Suivi. Surveillance et traçabilité. Par exemple, l'utilisation de la reconnaissance faciale pour surveiller à la fois des personnes légitimes et des terroristes et des criminels. (8) Perpétuation de discrimination, de cyberintimidation, etc. (9) Vol de données, usurpation d'identité. (10) Contrôle bureaucratique des renseignements personnels sans garanties juridiques adéquates. (11) Inexactitudes dans la collecte, la vérification et la confirmation des données personnelles par les entités. (12) Mécanismes d'indemnisation, de recours et de réparation. (13) Faux positifs.

 

DIMENSIONS DE LA VIE PRIVÉE. PROTECTION DES DIFFÉRENTS TYPES DE DONNÉES.

f3    Actuellement, on peut identifier plusieurs dimensions de la vie privée : (1) La protection des données personnelles. Elle consiste à établir des règles régissant la collecte, la saisie et le traitement des données personnelles, telles que les informations médicales, les relevés bancaires et les documents administratifs. (2) La protection de l’intégrité physique. Elle concerne la protection de l’intégrité physique des individus contre les procédures invasives telles que les tests génétiques, les tests de dépistage de drogues, les fouilles corporelles et les interventions chimiques, biologiques, radiologiques, nucléaires ou explosives. (3) La protection des communications. Elle couvre la sécurité et la confidentialité des courriels, de la messagerie instantanée, des communications téléphoniques, du courrier postal et des autres formes de communication. (4) La protection de l’espace personnel. Elle vise à limiter les intrusions dans les domiciles et autres lieux publics, tels que les espaces publics et les lieux de travail. Cela inclut les perquisitions, la vidéosurveillance et les contrôles d’identité. En matière de protection de la vie privée, plusieurs types de données peuvent être identifiés : (a) Les données transactionnelles. Elles sont issues des interactions entre particuliers et entreprises. Il existe actuellement des solutions efficaces axées sur la protection de la vie privée. (b) Les données d’auteur. Elles sont créées par les acteurs sociaux. Des outils de gestion des droits numériques (DRM) basés sur les filigranes et la stéganographie sont utilisés. (3) Données de capteurs. Elles représentent une menace croissante pour la vie privée. Leur date de création est difficile à déterminer et leur volume augmente rapidement. Exemples de données de capteurs : caméras de surveillance, drones de vidéosurveillance (notamment de nuit avec logiciel de reconnaissance faciale) ; logiciels de surveillance du lieu de travail (pour détecter les comportements inappropriés, les abus ou les intrusions par enregistreurs de frappe ou logiciels espions cachés, par exemple) ; émetteurs GPS/GLONASS/QZSS différentiels et étiquettes RFID avec ou sans puce/NFC ; capteurs sans fil (par exemple, pour les services de géolocalisation). Les données de capteurs peuvent être difficiles à identifier, même pour les collecteurs de données, ce qui leur permet de franchir la frontière entre le monde réel et le cyberespace. La frontière entre données transactionnelles et données de capteurs peut être floue, par exemple avec les données de navigation web.

 

ANATOMIE DE LA PROTECTION DES DONNÉES PERSONNELLES.

    La société actuelle connaît une croissance exponentielle du nombre et de la variété des bases de données contenant des informations spécifiques sur les individus et les entités. Le partage de ces informations est précieux pour la recherche et les entreprises. Cependant, la publication de données peut gravement compromettre la vie privée des personnes ou des entités concernées. L'objectif est donc de maximiser l'utilité des données tout en limitant le risque de divulgation à un niveau acceptable. À l'heure actuelle, il n'existe pas de définition claire d'un niveau de divulgation acceptable (hormis le vol, le détournement ou la violation des contrôles d'accès). Dans le domaine de la recherche médicale, les hôpitaux peuvent posséder certaines données sur des individus spécifiques qu'ils souhaitent publier de manière à empêcher leur identification. Toutefois, des personnes mal intentionnées peuvent déduire des données secrètes et sensibles à partir de la base de données publiée. La définition même des données personnelles étant complexe, il n'existe pas de définition universellement acceptée de la vie privée, que ce soit hors ligne ou en ligne. La vie privée est contextuelle. Les conceptions de la vie privée sont influencées par la culture, l'économie, la société, la politique, la religion, l'histoire, l'expérience, l'éducation, etc.
f4La notion de vie privée peut revêtir différentes significations selon les personnes et être envisagée sous divers angles :
(1) Elle correspond au désir des individus et des entités de choisir et de contrôler librement les circonstances et la mesure dans lesquelles ils exposent leurs données personnelles, leurs données de géolocalisation, etc., ainsi que la manière dont leur comportement est présenté à autrui. Ce désir a engendré une course au développement de nouvelles technologies et législations.
(2) Elle correspond au droit des individus de déterminer eux-mêmes quand, comment et dans quelle mesure les informations les concernant seront communiquées à des tiers (Westin, 1967).
(3) Elle constitue un droit fondamental défini à l’article 8 de la Convention européenne des droits de l’homme. La protection des données personnelles présente deux caractéristiques distinctes : le droit à la vie privée et le droit de décider soi-même des informations que l’on souhaite révéler. Actuellement, la protection de la vie privée des individus est assurée par diverses directives de l'Union européenne : la directive 95/46/CE relative à la protection des données (qui poursuit un double objectif : garantir un niveau élevé de protection des données personnelles et permettre la libre circulation des données au sein de l'Union européenne), la directive 2002/58/CE relative aux télécommunications et la directive 99/93/CE relative aux signatures numériques. Ce droit est reconnu dans les pays les plus développés, tels que l'UE et les États-Unis. En Espagne, la LOPD (Loi organique relative à la protection des données) et sa réglementation d'application constituent une loi organique.
(4) Elle permet l'isolement et la solitude souhaitée. Le désir d'être seul.
(5) Elle permet la propriété. Le désir d'être rémunéré pour ses données.
Elle permet l'autonomie. La capacité d'agir librement.
(7) Elle est un objet commercial. Elle peut être achetée, vendue et payée.
(8) C'est la capacité de contrôler la diffusion, le stockage, le traitement et l'utilisation de ses informations personnelles.

 

RÈGLES ET PILIERS DES PRATIQUES ÉQUITABLES EN MATIÈRE D'INFORMATION.

    Il est urgent d'intégrer la protection de la vie privée dès la conception et l'architecture (sans pour autant négliger la protection de la vie privée lors de la mise en œuvre et de la configuration), en toute transparence et en simplifiant les choix de l'utilisateur. Voici quelques questions essentielles à se poser pour une gestion professionnelle de la protection de la vie privée : (1) Pourquoi ces informations sont-elles demandées ? Il est important de recueillir ces informations et d'en préciser clairement la finalité de manière simple. (2) Comment ces informations seront-elles utilisées ? Il convient d'indiquer les finalités principales et d'en limiter l'utilisation. (3) Quelles sont les utilisations secondaires possibles ? Il est indispensable de les signaler, d'exiger un consentement explicite (et non implicite) et d'interdire toute divulgation non autorisée. (4) Qui pourra consulter mes informations ? Il est impératif de limiter l'accès aux tiers non autorisés.

 

PROTECTEURS D'IDENTITÉ. PSEUDONYMES NUMÉRIQUES.

f5    Un protecteur d'identité permet de contrôler l'échange d'identité entre différents domaines. Il convertit l'identité d'un utilisateur en une pseudo-identité, c'est-à-dire une identité numérique alternative que l'utilisateur peut adopter dans une situation donnée. Parmi les exemples de pseudo-identités figurent les numéros de compte bancaire, de sécurité sociale, de carte d'identité nationale, de carte SIM, d'adresse e-mail, etc. Voici quelques fonctions d'un protecteur d'identité : (1) Générer des pseudo-identités, temporaires ou permanentes selon le lieu, le contexte, la date, etc. ; (2) Convertir les pseudo-identités en identités réelles et inversement ; (3) Convertir des pseudo-identités en d'autres pseudo-identités ; (4) Lutter contre les abus ; (5) Informer et contrôler la divulgation de l'identité.
L'utilisateur peut activer le protecteur d'identité à différentes fins, par exemple pour préserver la confidentialité de son identité lors d'une utilisation légitime, ou pour ne révéler son identité qu'à certains fournisseurs de services. Un pseudonyme numérique peut être représenté par une suite aléatoire de caractères (chiffres, lettres et caractères spéciaux). Le fournisseur de services ne connaît pas l'identité de l'utilisateur, mais uniquement grâce à cette chaîne de caractères. L'utilisateur peut choisir différents pseudonymes numériques, un pour chaque fournisseur de services avec lequel il interagit. Par conséquent, les fournisseurs de services ne peuvent pas échanger d'informations sur chaque utilisateur.  

 

RÉSEAU D'ANONYMAT TOR.

    Le réseau Tor (basé sur des routeurs en oignon) est conçu pour garantir l'anonymat sur Internet. Il se compose d'un grand nombre de nœuds Tor. Les logiciels clients acheminent le trafic Internet, comme la navigation web et les courriels, via des circuits établis au sein du réseau Tor. Ces circuits Tor sont des connexions passant par trois nœuds Tor et expirent toutes les dix minutes. L'établissement d'un circuit Tor comprend quatre phases : (1) L'utilisateur A consulte la liste des nœuds Tor disponibles et en sélectionne trois aléatoirement. Autrement dit, son client Tor obtient cette liste auprès d'un serveur d'annuaire et choisit un chemin aléatoire vers le nœud ou serveur de destination. (2) L'utilisateur A se connecte au premier nœud sélectionné. Ce nœud génère une paire de clés publique/privée temporaire, qu'il signe numériquement avec sa clé permanente. Cette nouvelle clé publique est ensuite utilisée pour échanger une clé symétrique. (3) L'utilisateur A peut alors faire transiter le trafic via le nœud 1 vers le nœud 2 et convenir d'une nouvelle clé éphémère. (4) L'initiateur A fait transiter le trafic par les nœuds 1 et 2 jusqu'au troisième nœud et échange à nouveau des clés éphémères. L'initiateur A est alors prêt à quitter le réseau Tor via ce troisième nœud et à communiquer anonymement avec le destinataire B. Lorsqu'A envoie un message à B, il le chiffre à l'aide de trois couches de chiffrement et de trois clés éphémères convenues avec les nœuds. Chaque nœud déchiffre une couche avant de transmettre le message au nœud serveur suivant. Aucun nœud ne sait qui communique avec qui, et le destinataire B n'a pas besoin de connaître l'identité ni la localisation de l'initiateur A. Les circuits ne durent que quelques minutes, après quoi les clés éphémères sont détruites. Même si le trafic Tor est enregistré, son contenu est irrécupérable en raison de la taille des clés. Récemment, des améliorations de Tor ont été apportées, comme HORNET (High-speed Onion Routing at the NETwork layer), qui offre une sécurité accrue. HORNET utilise un chiffrement symétrique et chiffre chaque paquet individuellement, avec un débit supérieur à 90 Gbit/s. N'oubliez pas que l'anonymat parfait n'est pas possible, car il nécessite une coopération, et ce lien peut être rompu.

 

CONSIDÉRATIONS FINALES.

    Notre groupe de recherche travaille depuis plus de vingt ans dans le domaine de la protection renforcée des données et du respect de la vie privée. Un défi majeur auquel nous sommes toujours confrontés consiste à donner aux individus et aux organisations les moyens de mesurer leur niveau de confidentialité et d'interagir efficacement et de manière appropriée avec les outils adéquats.

 

LITTÉRATURE.

- Areitio, J. « Sécurité de l’information : réseaux, informatique et systèmes d’information ». Cengage Learning-Paraninfo. 2015.
- Areitio, J. « Exploration et analyse des systèmes cyberphysiques du point de vue de la cybersécurité ». Conectrónica Magazine. N° 181. Novembre 2014.
- Areitio, J. « Gestion de l’identité : une priorité stratégique pour minimiser les risques liés à la sécurité de l’information ». Conectrónica Magazine. N° 146. Avril 2011.
- Areitio, J. « Le potentiel caché de la stéganographie dans la sécurité de l’information moderne ». Conectrónica Magazine. N° 136. Avril 2010.
- Zeadally, S. et Badra, M. « La protection de la vie privée dans un monde numérique en réseau : technologies, implications et solutions ». Springer. 2015.
- Laurent, M. et Bouzefrane, S. « Gestion de l’identité numérique ». Elsevier. 2015.
- Metadata-Clearner : outil pour supprimer les métadonnées des documents Office : http://www.pointstone.com/products/metadata-cleaner
- Bowman, C., Gesher, A., Grant, JK et Slate, D. « The Architecture of Privacy: On Engineering Technologies that Can Deliver Trustworthy Safeguards ». O'Reilly Media. 2015.
- Foca : outil pour supprimer les métadonnées des documents : http://www.informatica64.com/Download Foca/
- Herold, R. et Hertzog, C. « Data Privacy for the Smart Grid ». Auerbach Publications. 2015.
- Éditeur hexadécimal xvi32 pour visualiser la représentation hexadécimale des images ou autres fichiers : http://www.chmaas.handshake.de/
- Craig, T. et Ludloff, ME « Privacy and Big Data ». O'Reilly Media. 2011.
- Outil Tor pour l'anonymat sur le réseau : https://torproject.org/download
- Cherry, D. « Les bases de la protection de la vie privée numérique : des outils simples pour protéger vos informations personnelles et votre identité en ligne ». Syngress. 2013.

Auteur:

Professeur Javier Areitio Bertolín,
professeur à la Faculté d'ingénierie de l'Université de Deusto.
Directeur du groupe de recherche Réseaux et Systèmes.