Vie privée, Internet et peur du loup

« octobre 2006 »
lun	mar	mer	jeu	ven	sam	dim
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

Comme une trainée de poudre, cette semaine, s’est propagée l’idée qu’Internet est un monde dangereux où il ne fait pas bon mettre une souris dehors. Partout, une information, assez nébuleuse, s’est dissiminée faisant état d’études décrivant l’horreur du décor : La Presse, La Gazette, Globe and Mail, Toronto Star, CTV, juste pour identifier les coupures que j’ai eu l’occasion de lire.

Michel Leblanc, un de mes anciens étudiants, mais je pense qu’il est plus juste de l’identifier comme un des gourous de la blogosphère québécoise, a eut un coup de sang pour ce qu’il considère comme un mythe ; plus posément, il explique (sur Canal Argent) que ce n’est sans doute pas plus dangereux que le monde réel.

Mais ce texte dont tout le monde parle, sans citer, quel est-il ? Après quelques recherches, (notamment sur le site de Michael Geist), j’ai l’impression qu’il s’agit plutôt de deux textes : l’un, selon le papier de La Presse, viendrait d’Industrie Canada (obtenu par ledit journal grâce à la Loi sur l’accès à l’information) ; l’autre, drôle de hasard, est sorti avant-hier et s’intitulerait « 7 Laws of Identity - The Case for Privacy-Embedded Laws of Identity in the Didital Age », signé par Ann Cavoukian, commissaire au Information and Privacy Commissioner of Ontario.

Relativement à ce dernier document, la dangerosité est affirmée mais aucunement démontrée. 2 paragraphes, sur 24 pages, sont utilisés pour décrire cet état de fait :

« But as the value of what people do online has increased, the Internet itself has become more complex, vulnerable, and dangerous. Online identity theft, fraud, and privacy concerns are on the rise, stemming from increasingly sophisticated practices such as “phishing,” “spear-phishing,” and pharming. Keeping track of multiple accounts, passwords and authentication methods is difficult and frustrating for users. “Password fatigue” results in insecure practices such as re-using the same account names and passwords at many sites. »

Plus loin on peut lire :

« The consequences of these problems are severe and growing. The number of “phishing” attacks and sites has skyrocketed. There are reports that online banking activity is declining. Recent regulatory guidance on authentication in online banking reports that “Account fraud and identity theft are frequently the result of single-factor (e.g., ID/password) authentication exploitation.” (référant ici au Federal Financial Institutions Examination Council, Authentication in an Internet Banking Environment, October 2005) Consumer trust of the Internet is low and ever-dropping (référant cette fois au National Consumers League, A Call for Action : Report from the NCL Anti-Phishing Retreat, March 2006) Clearly, the status quo is no longer a viable option. »

Deux documents américains donc, dont l’existence d’études chiffrées sur l’ampleur du phénomène de l’hameçonnage semble encore une fois absente. Peut être plus surprenant encore, la présence d’une étude de Microsoft dans le rapport du NCL (page 43) où l’on explique à l’annexe 4 « Internet Fraud “Battlefield” - The Big Picture » que « the potential harms are serious and range from bank fraud to cyberterrorism ».

Microsoft : le mot est lancé. La connexion semble très marquée avec l’organisme gouvernemental et cela dérange manifestement certains commentateurs. Michael, toujours à la fin pointe de l’information, est de ceux-là et son propos est sans équivoque :

« More troubling is the close connection with Microsoft as the release and accompanying press coverage at times feels like an infomercial for the software giant. The Ontario Privacy Commissioner’s Office has worked with Microsoft in the past, however, this intiative goes to great lengths to extoll not only the Seven Laws, but also the company itself. The White Paper devotes nearly three pages to Microsoft’s much-criticized Passport program and its CardSpace identity management feature that will be included in Vista, its forthcoming operating system upgrade.

The Office’s seemingly unqualified embrace of Microsoft strikes me as a mistake for several reasons. First, there are other companies developing similar solutions and they should be granted equal airtime. Second, the CardSpace feature includes a significant DRM component. When combined with the Vista licensing terms that prohibit circumvention, users are entrusting both their privacy and total computer experience to Microsoft (see Wendy Seltzer’s review of the implications of the Vista terms and how that trust is being repaid). Third, while it is good to see privacy commissioner offices in Canada working with the business community, they must take care to maintain sufficient distance to be advocates for privacy, not for particular companies and their products. There is a fine line between co-operating and becoming co-opted and there is reason to believe that this initiative falls on the wrong side of the line. »

Même si je ne suis pas un fanatique de la « neutralité technologique », ce choix délibéré pour UNE technologie en particulier provenant d’UNE seule compagnie semble effectivement troublant. À la première ligne du document, il est donc annoncé « This paper recognizes and is inspired by the “7 Laws of Identity” formulated on an open blog by a global community of experts through the leadership of Kim Cameron, Chief Identity Architect at Microsoft. » Outre le doute que l’on peut avoir sur le plan méthodologique, l’a priori positif donné à l’entreprise est effectivement non équivoque.

Quant au contenu, les 7 « Lois », quelques (trop) brefs commentaires (J’y reviendrai lorsque j’aurai le temps de plus approfondir).

1) Personal control and consent

Consentement (ou liberté) : que de crimes commis en ton nom !

2) Minimal disclosure for limited use : data minimization

Pas mal !

3) Justifiable parties : "need to know" access

Vraiment bien. Face à la difficulté de savoir réellement qui dispose des informations personnelles, on semble privilégier ici une plus grande transparence des utilisations par les personnes (commerçants) qui en ont besoin.

4) Directed identity : Protection and accountability

RAS.

5) Pluralism of operators and technologies : minimize surveillance

Comme pour le point 3, c’est un peu le constat que la surveillance est une fausse sécurité dans un contexte électronique, ouvert de surcroît.

6) The human face : Understanding is key

Super, sauf que j’ai bien peur que l’on reproduise les pratiques rédactionnelles habituelles avec des contrats illisibles et infinis faisant de ce souhait un voeux pieux.

7) Consistent experience across contexts : Enhanced user empowerment and control

Nul peut être contre la vertu ! mais a priori, beaucoup de doute sur la capacité ou plutôt l’intérêt d’un consommateur à monitorer ainsi ses données.

Enfin, il me semble que si des solutions doivent être trouvées, elles ne sont assurément pas 1) uniques et 2) uniquement technologiques.

Sur la multiplicité des voies possibles, il y a notamment l’information des consommateurs. Le rapport du NCL (voir l’annexe 1) semble d’ailleurs le mettre en première position. Et puis, pourquoi avoir laissé tombé les recommandations proposées par Industrie Canada en juin 2005 (sous un ancien gouvernement) « Working Together to Prevent Identity Theft », où l’on demandait notamment de s’assurer que les banques et autres organismes détenteurs de renseignements personnels sensibles soient plus transparents quant à leurs mesures de sécurité.

Sur le fait que la sécurité n’est pas principalement technologique (mais davantage organisationnelle et éventuellement juridique), ce n’est pas de moi, mais de Bruce Schneier dans, notamment, « Secret and Lies » qui a prétendu :

« If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology »

Je ne remets pas en cause l’existence de dangers : mais attention aux « vendeurs de peurs ».

Recommander cet article

envoyer par courriel

Commentaires

1. samedi 21 octobre 2006 par Olga Trembach

Vie privée, Internet et peur du loup
Completement d’accord avec Bruce Schneier (comme un informaticien). Bien sûre, il ne faut pas "mettre tous les oeufs dans le seul panier". Si l’on met l’accent sur la technologie, il ne faut pas oublier que avec l’augmentation de la complexité (qui assure plus de sécurité) on croît la probabilité d’une panne du système. Comme vous dites, on manque ici du droit d’option. Même si le cleint veut refuser d’utiliser l’Internet pour certaines transactions, il oblige l’user malgré que cela diminue le niveau de sa sécurité. C’est même drôle qu’ici au Canada la vie réele est beaucoup plus tranquille que la vie virtuelle, qui est complexe et dangereuse.

2. lundi 23 octobre 2006 par Elsa Rizkallah

Vie privée, Internet et peur du loup
Il me semble vraiment aberrant d’imposer une technologie déterminée et unique,empiétant en cela à la liberté et la concurrence du marché.Le monopole et l’exclusivité touchent aussi le commerce électronique:des politiques particulières semblent l’emporter !Mais voyons les choses d’un autre point de vue:voilà que la société électronique se mobilise pour le bien des utilisateurs !Enfin,le gouvernement s’engage pour la sécurité et la protection de ses citoyens internautes.

3. mardi 24 octobre 2006 par Vincent Gautrais :: http://www.gautrais.com

Vie privée, Internet et peur du loup
Sur cette question de pluralité des outils, voici la réponse de Kim Cameron (de Microsoft) sur le même billet publié sur slaw.

4. mardi 24 octobre 2006 par Vincent Côté

Vie privée, Internet et peur du loup

L’implantation d’une technologie unique et déterminée va non seulement à l’encontre de la liberté et de la concurrence de marché, mais ne risque-t-elle pas de se retrouver désuète quand viendra le temps de l’appliquer ? Les technologies de l’information se développent à un rythme bien plus rapide que ne peut l’assumer l’administration publique.

Par ailleurs, il est facile de tomber dans la "paranoïa des technologies". Je crois personnellement que l’usager moyen (comprendre la personne ordinaire) peut faire confiance aux outils techologiques mis en place par les institutions bancaires entre autre. Suis-je utopiste en croyant que l’institution en question est responsable de la sécurité des transactions ?

5. mardi 24 octobre 2006 par Michel leblanc :: http://www.michelleblanc.com

Vie privée, Internet et peur du loup
N’est-il pas étrange que ce soit quelqu’un de Microsoft plutôt que d’Industrie Canada ou encore du bureau de la "Information and Privacy Commissioner of Ontario" qui réagisse sur SLAW ? Hormis le fait d’être peut-être taxé de paranoïa, cela démontre à l’avantage de Microsoft, qu’ils suivent les discussions dans le blogues !

6. mardi 24 octobre 2006 par Vincent Gautrais :: http://www.gautrais.com

Vie privée, Internet et peur du loup

Bizarre en effet Michel. Le problème c’est que l’on peut guère dire plus que « bizarre » tant le projet est à ses débuts. Des suspicions donc, uniquement des suspicions, face au flou d’un outil qui n’est pas encore implanté.

Aussi, même si le principe d’interopérabilité est prévu au principe 5, cette apparence de liens avec UNE compagnie en particulier empêche de voir le reste.

7. mercredi 25 octobre 2006 par Ahmed Gourram

Vie privée, Internet et peur du loup

Je pense plutôt que Microsoft a bien choisi le moment pour se lancer dans cette aventure parce que : Microsoft soutien le gouvernement Conservateur ou Républicain américain. Il a déjà compter sur ce gouvernement lors de ses procès. Je vous laisse deviner qui gouverne actuellement au Canada pour comprendre que sa stratégie pourra être concluante. Surtout qu’elle doit faire vite étant données les risques d’avoir des élections anticipées.

Par ailleurs, pour appuyer son projet, Microsoft joue la carte des relations publiques pour attirer la sympathie du consommateur en publiant son document « Privacy Guidelines for Developing ».

Ce qu’il nous faut, ce n’est pas une technologie unique, mais plutôt un processus unique. La preuve, les méthodes de gestion de risque fonctionne bien jusqu’à maintenant, pourtant, elles n’appartiennent a aucune entreprise. et elles sont gratuites.

8. mardi 31 octobre 2006 par Cong Lu :: http://khepra.free.fr/loup_voyou/in...

Vie privée, Internet et peur du loup

Voici quelques conseils d’un blogue :

* ne pas mettre d’informations personnelles (comme votre nom, adresse) dans une recherche. Cela permettrait de faire le lien entre votre identifiant numérique (votre adresse IP) et vos identités physiques.

* ne faire aucune recherche via la page de votre fournisseur d’accès : c’est en effet le seul qui fasse directement le lien entre un individu physique et son adresse IP (identifiant électronique.)

* ne faire aucune recherche lorsque vous êtes logé sur une page web. Le service de google par exemple permettant de personnaliser sa page d’accueil leur permet aussi de regrouper toutes les recherches que vous pouvez effectuer sous un même identifiant. Ainsi regroupées, google dispose de toutes les recherches que vous avez pu faire pendant plusieurs années, leur permettant d’affiner votre profil psychologique.

* bloquer les cookies provenant de votre moteur de recherche. Ces cookies permettent aussi de vous retracer sur des périodes de temps assez longues, et donc de regrouper toutes vos recherches.

* utiliser des techniques permettant d’anonymiser votre connection. par exemple, le projet TOR permet de passer par plusieur serveurs (un peu comme le P2P) de façon cryptée. Il est ainsi quasi impossible de retracer la source des informations transitant ainsi.

et bien sûr, pour éviter toute mauvaise surprise, évitez de frequenter des sites politiquement incorrects ;-)

Je trouve que c’est surtout constructif malgré sa petite exigence...

Chaire en droit de la sécurité et des affaires électroniques

Calendrier

Catégories

Archives

Derniers commentaires

Quoi de neuf sur le site !

Mes RSS Préférés