jeudi, octobre 08, 2009

Le difficile équilibre entre personnalisation et transparence à l'heure du cloud computing


Les Assises de la Sécurité et des Systèmes d'information, discrètement tenues à Monaco du 7 au 10 octobre — mais la principauté ne s'est elle pas déclarée, en mars dernier, « prête à accroître sa coopération dans le domaine de la lutte contre la fraude fiscale » ?— fournissent à nouveau l'occasion de s'interroger sur le discours sécuritaire qui prévaut aujourd'hui dans la réflexion sur l'évolution des systèmes d'information.



Dans la droite ligne des « partenariats public-privé » qui font actuellement, et dans tous les secteurs, figure de panacée miraculeuse dans notre France impécunieuse, Patrick Pailloux, directeur de la toute récente Agence Nationale de la Sécurité des Systèmes d'Information et Webmaster de securite-informatique.gouv.fr lancé l'année dernière pour « protéger » les PME et les particuliers (une sorte de « la sécurité informatique pour les nuls » républicain, laïc et citoyen), en appelait, dans une allocution qualifiée de « musclée » à la collaboration — terme, ô combien, élégamment choisi — des RSSI des entreprises, petites et grandes. Cet appel aux échanges vise notamment à affiner une approche opérationnelle des nouvelles missions de l'Anssi (250 personnes quand même !), à commencer par la communication et la sensibilisation aux problématiques de sécurité informatique, une chose « qui n'est pas dans notre culture, mais on se soigne », concède Patrick Pailloux.



La cure menacerait-elle d'être pire que le mal ?



On peut se poser la question en ces temps, orageux en fin de journée, d'Hadopi 2, de paquet Telecom, de filtrage du Net pour la « protection des joueurs » (mineurs et victimes de l'assuétude aux jeux d'argent) dans le cadre du projet de loi « Jeux en ligne » (Article 20), et de la bienveillante Lopsi 2 ?



Il est difficile de résister à l'illustration le plus pur style Stasi du projet de texte en citant in extenso quelques articles choisis dans la section 6bis :



« Lorsque les nécessités de l'information concernant un crime ou un délit entrant dans le champs de l'article 706-73 l'exigent, le juge d'instruction peut, après avis du procureur de la République, autoriser par ordonnance motivée les officiers et agents de police judiciaire commis sur commission rogatoire à mettre en place un dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder, en tous lieux, à des données informatiques, de la enregistrer, les conserver et les transmettre, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données ou telles qu'il les y introduit par saisie de caractères. Ces opérations sont effectuées sous l'autorité et le contrôle du juge d'instruction. »



Rappelons — pour rire — que dans le même temps Nicolas Sarkozy souhaite précisément la disparition du juge d'instruction. Notons néanmoins qu'il s'agit, tout d'abord, d'un cadre judiciaire et non pas administratif — ce qui avait, à l'époque provoqué une bronca à la lecture du premier texte Hadopi 1 : inspiré du texte de Denis Olivennes, le contrôle judiciaire y était inexistant, en fait, entièrement sous-traité à des officines privées. Dans le cadre d'une information judiciaire, l'installation du dispositif de surveillance suppose naturellement l'ordre du juge. Et dans le cas où elle supposerait l'introduction (sans consentement des intéressés !) dans un lieu d'habitation ou un véhicule, l'autorisation du juge des libertés est (heureusement) requise. Autrement dit, ici, la mesure vise exclusivement à la découverte et non à la prévention d'infractions. Ceci, probablement, pour éviter les tentations gouvernementales de contrôle de la population... Voire ! Car si le dispositif est limité à la recherche d'infractions spécifiques, il peut également servir à la poursuite d'autres infractions lorsqu'il a permis de les découvrir. (Exemple : Un juge autorise captation de données informatiques pour actes de terrorisme. S'il apparaît à cette occasion que la personne a procédé au téléchargement illicite de fichiers soumis à droits d'auteurs, elle pourra être poursuivie pour contrefaçon, alors même que l'information en matière terroriste n'aurait pas eu de suite. Pourquoi aller au Palais de justice, alors que vous pouvez faire votre propre Clearstream à domicile ?)



Mais, après tout, est-ce si grave que ça ?



Faut-il en effet se soucier de ces Clearstream 2.0 au petit pied, tout compris, dans le bouquet de votre fournisseur d'accès favori en ces temps de Facebook, et autres Twitter, où circulent déjà informations personnelles, privées, confidentielles ou diffamatoires dans une joyeuse et bruyante parade ?



Où en est le fameux « droit à l'oubli » que la secrétaire d'État à l'Économie numérique était venue, la main sur le coeur présenter à la CNIL en juillet dernier ? Google lui-même avait lâché un peu de lest sur la durée de conservation et le caractère anonyme des données personnelles que le moteur de recherches collectait. Sur nos rives, Viviane Reding, commissaire européenne chargée de la société de l'information et des médias, reste très vigilante sur ce sujet.



Deux événements récents viennent cependant tempérer les effets espérés de ces vertueuses invocations. À la grande surprise de ses concepteurs, à l'Université de Washington, le système de protection des données privées, Vanish, fondé sur l'utilisation de clés d'encryption à durée limitée (qui s'auto-détruisent, comme dans Mission Impossible), dans un réseau pair-à-pair de surcroît, a été cassé avant même d'être publié à la conférence Usenix Security à Montreal ! Le butineur spécialisé mis au point par l'Université du Texas, à Austin, est en effet capable de traquer ces clés cryptographique dans un flot de bittorrents comptant un million de noeuds avant leur autodestruction. (On ne saurait trop engager l'Anssi à se rapprocher d'Austin.) Si même les hashtables massivement distribuées sont vulnérables...



Sur un autre sujet en apparence plus anodin, l'échec de l'anonymisation semble également démontré. Quand Netflix, le loueur de films par internet américain, a rendu disponible sa base de données de recommandations de films — soigneusement anonymisée là encore — pour lancer son concours d'amélioration de son moteur de recommandation, gagné en août dernier par un équipe de ATT, des scientifiques ont combiné ces données avec d'autres données de recommandation sur le Web, leur permettant de réidentifier un grand nombre d'utilisateurs. Le fait de poster de simples avis sur des films peut donc aussi permettre de vous identifier, expliquent ainsi Arvind Narayanan et Vitaly Shmatikov.



Paul Ohm, de la Law School de l'Université du Colorado, essaye de tirer les conclusions de ce qu'il qualifie « d'échec de l'anonymisation » dans un papier fondateur. Le prix à payer pour les avantages indéniables de la personnalisation des produits et des services — quel que soit le secteur: commercial, santé (Google Health, Microsoft Health Vault, etc.), culturel... — est une transparence absolue : toute donnée devient personnelle et toute personne devient donnée (23andMe).



Netflix s'apprêterait d'ailleurs à relancer son concours en élargissant encore l'éventail des données mises en ligne (Netflix Prize 2) : les voix s'élèvent déjà contre les dangers de cette divulgation, même anonyme, d'information privée.



Alors, pour sauver la planète et protéger vos données privées, faîtes comme le recommande l'Ademe (« un ordinateur éteint a une durée de vie plus longue qu'un ordinateur mis en veille et consomme moins d'énergie » sic), éteignez maintenant votre ordinateur !



ShareThis