Compte rendu du premier « Privacy Camp Paris » - 30 mars 2012 · 2016. 1. 25. · identifiants bancaires notés en clair dans un bloc-notes...). Or les failles techniques sont exploitables

Ce compte-rendu collaboratif reflète les points de vue des personnes qui se sont exprimées lors des débats. Il ne reflète pas la position de la CNIL

Compte rendu du premier « Privacy Camp Paris » - 30 mars 2012

Compte-rendu des ateliers


Thèmes des ateliers 1. Anonymes… ou pas? ........................................................................................................................ 3

2. Les réseaux sociaux distribués ou décentralisés ............................................................................. 4

3. Questions autour des téléphones mobiles et de la vie privée ....................................................... 5

4. ToutCaCaSertARien.com : toutes vos données à poil sur internet. Pourquoi il est impossible de

contrôler ses données lorsqu’elles sont sur internet (démonstration proposée et animée par Kitetoa

(reflets.info) ............................................................................................................................................. 6

5. Modèles économiques gratuits vs. Vie privée ................................................................................ 7

6. Les outils de représentation des traces : cookies de navigation, lecteurs de cartes à puces

(démonstration proposée et animée par Alain Pannetrat, ingénieur expert à la CNIL) .......................... 8

7. Le concept de « web id » ................................................................................................................. 9

8. La e-notoriété et la e-réputation : comment gérer sa réputation en ligne ? ................................ 10

9. Les outils d’anonymat (démo) ....................................................................................................... 10

10. Comment gérer plusieurs identités ? ........................................................................................ 11

11. Hacker la CNIL ? Que faire ensuite ensemble ? ......................................................................... 12


1. Anonymes… ou pas?

- L'anonymat pose la question de la confiance : il y a une différence entre publier soi-même et

voir d’autres publier sur soi.

- Le « grand public » ne pense pas nécessairement que l'anonymat soit nécessaire (« Si je n'ai

rien à cacher je n'ai pas besoin d'être anonyme »). Or le droit à l'anonymat, c’est le droit à

avoir un jardin secret.

- Il faut faire une distinction entre le simple pseudonymat, plutôt lié à la e-réputation ou à une

protection simple de la vie privée et de la vie professionnelle et le véritable anonymat lié par

exemple à la protection des sources et à la notion de secret (ne pas laisser de traces, ne pas

être identifiable).

- Finalement le pseudonymat est utilisé en premier lieu pour éviter de donner ses données

personnelles à n'importe qui et pour contrer les formulaires de saisie trop intrusifs.

- La liberté d’expression peut être très fortement liée à la question du pseudonymat ou de

l’anonymat, même dans un pays démocratique : cela peut être un problème pour les agents

de l'Etat de communiquer et s’exprimer sous leur vraie identité, ou pour un employé d’avoir

un avis critique sur son entreprise.

- Mais l’anonymat peut parfois être contre-productif : certains refusent d'être ou de dialoguer

avec quelqu'un qui est anonyme. Le droit de prendre une autre identité est-il une liberté ? A

l’image du concept de droit à l'oubli, ne devrait-il y avoir un droit au mensonge ?

- Derrière ce sujet, il y a la question des outils d’anonymisation : Tor, I2P, VPN. Mais même si

ceux-ci sont de plus en plus accessibles, ils ne sont pas encore facilement utilisés par le grand

public.

- Dans quelle mesure peut-on avoir confiance dans ces outils ? Par exemple Thor aurait été

cassé par des chercheurs il y a quelques mois. C'est une leçon, car chaque fois qu'on invente

un outil pour protéger quelque chose, on trouve ensuite une voie pour

« déprotéger », « désanonymiser ».

- L'outil le plus couramment utilisé reste le basique « mode de navigation privé » des

navigateurs (par exemple de firefox) qui supprime tous les cookies et l'historique de

navigation. Or ceci est loin d'être suffisant pour être réellement anonyme en ligne car nous

laissons malgré tout de nombreuses traces sur les serveurs des sites que nous visitons.

- Des exemples d’outils et guides pour être anonyme en ligne :

http://jhack.info/wiki/doku.php?id=ressources ou http://free.korben.info/index.php/Accueil

- Suites dans l’atelier 9. « les outils d’anonymat »

http://jhack.info/wiki/doku.php?id=ressources

http://free.korben.info/index.php/Accueil


2. Les réseaux sociaux distribués ou décentralisés

- Demandez-vous à quoi ressemblera Facebook dans 20 ans ? 25 ans de vos données seront

stockées dans Facebook ! Est-ce que cela sera encore supportable ?

- Facebook pose le problème de la révocation des données: comment récupérer les data qui

ont été envoyé par l'utilisateur ?

- Il est possible de revenir à une logique de pair à pair pour les services de réseaux sociaux.

Diverses solutions sont explorées et avancées : diaspora, XMPP, FoA, Freedom Box,

bootstrapper, … Objectif : permettre aux personnes d'avoir le contrôle de leurs données

publiées.

- Cela demande de concevoir une excellente architecture : comment concevoir un service de

réseau social décentralisé utile ?

o Veut-on un réseau social distribué où il est possible de joindre n'importe qui (= des

personnes qu'on ne connait pas) ?

o Veut-on un réseau social distribué qui ne fonctionne que de proche en proche

(théoriquement plus sûr du point de vue de la vie privée) ?

- Des efforts importants sont demandés aux utilisateurs, puisqu’il faudrait par exemple que

chaque utilisateur gère son propre serveur (préconfiguré par les FAI par exemple, d’où leur

importance dans de tels projets)

- Comment résout-on le triangle de Zooko sur la question des noms1 ? Selon cette conjecture,

les noms / identités peuvent soit être lisibles (comme les noms de domaines) mais

centralisés (DNS), soit décentralisés mais non lisible (des hashs)

- Comment faire exister un réseau où il est possible d'avoir plusieurs identités (contextuelles) ?

Si possible avec les protections nécessaires pour qu'il ne soit pas possible de relier ces

identités entre elles ?

- Liens avec la question du chiffrement (par exemple, CGA - Cryptographically Generated

Addresses)2

- Suites dans l’atelier 7. sur « Web ID »

1 https://en.wikipedia.org/wiki/Zooko%27s_triangle

2 http://en.wikipedia.org/wiki/Cryptographically_Generated_Addresses

https://en.wikipedia.org/wiki/Zooko%27s_triangle

http://en.wikipedia.org/wiki/Cryptographically_Generated_Addresses


3. Questions autour des téléphones mobiles et de la vie privée

- Le monde du mobile n’est-il pas devenu un « far west » des données ? Toutes les

problématiques Web se reportent en pire sur les mobiles.

- Il y a de plus en plus d’outils permettant de « disséquer » les mobiles de manière plus ou

moins brutale, avec d’importantes différences selon les systèmes d’exploitation et les

configurations). Tout ce qui était dans la carte mère est récupérable sur un ordinateur, donc

tout est lisible même si c'est un système fermé. Au final, un smartphone est juste un disque

de stockage. De plus en plus d'outils permettent de le surveiller. Si le wifi et le bluetooth ne

sont pas désactivés, c’est encore plus simple.

- Les données stockées sur le téléphone sont souvent très peu sécurisées (pas de code PIN,

identifiants bancaires notés en clair dans un bloc-notes...). Or les failles techniques sont

exploitables à distance et l'approche des développeurs reste une approche « pansement » :

des correctifs partiels sont appliqués en réaction à l’émergence publique d’un problème.

Leur crainte, c’est la mauvaise publicité : en cas de risque d’image, ils réagissent.

- Aujourd'hui on peut envoyer des SMS « blancs » qui permettent de récupérer des

informations sur l'utilisateur (géolocalisation notamment). Lorsqu'on envoie un mail, on peut

diffuser l'identifiant unique de l’appareil, l'opérateur téléphonique....

- Les configurations par défaut sont très importantes car la majorité des utilisateurs ne

changent jamais les réglages. Or, sur Android, les paramétrages initiaux ne sont pas sûrs…

- L'utilisateur a l'habitude des applications Web, qui n'accèdent pas à beaucoup de données.

Mentalement, l'utilisateur ne se rend pas compte que les applications mobiles accèdent à

beaucoup plus de données.

- Le type de données transmises est-elle différent en fonction du type de connexion (3G et

Wifi) ? Par exemple pour la géolocalisation, l'iPhone attend d'être connecté en Wifi, pour

économiser la bande passante.

- Nous sommes devenus des « homo radiens », qui irradient en permanence des informations.

Le GSM est beaucoup plus verbeux que le wifi : avec l'opérateur, mais pas uniquement. Les

trames radio sont envoyées en permanence, et si il n'y a pas d'attaques de masse

aujourd’hui, c'est parce que le matériel coûtait cher. Ce n'est plus le cas : du matériel basique

qui valait 1500 euros il y a deux ans en coûte 30 aujourd'hui. Principale limite : il faut être à

proximité de la personne (hors connexion à l'opérateur), ce qui limite les attaques en masse.

- La forme d’attaque la moins chère reste l'ingénierie sociale.

- Des risques importants pourraient émerger avec l'arrivée des paiements sur smartphone.


4. ToutCaCaSertARien.com : toutes vos données à poil sur internet.

Pourquoi il est impossible de contrôler ses données lorsqu’elles

sont sur internet (démonstration proposée et animée par

Kitetoa (reflets.info)

- Le réseau n'a pas été initialement conçu pour être un lieu sécurisé, en particulier pour les

données personnelles, ni pour être un lieu sur lequel on fait du commerce. Il a fallu penser

des « améliorations » sur un modèle qui n’avait pas été conçu dans ce but : démonstration

de failles de sécurité sur des sites permettant d’accéder par un simple Dump SQL à des

données confidentielles.

- Il y a peu d'incitation pour les entreprises à sécuriser leurs services Web. Depuis longtemps,

une entreprise qui venait déclarer une intrusion dans son système d’informations avec un vol

de données personnelles était passible d'une infraction pénale (pour le vol des données

personnelles).

- Depuis, est arrivée l'ordonnance du 24/8/2011 (transposition du droit européen) qui oblige

les « services de communication au public » à déclarer à la CNIL une intrusion qui aurait pu

donner lieu à un vol de données personnelles et crée une obligation d’information aux

personnes si le vol de données personnelles est avéré, sauf si les données sont « protégées »

(c’est-à-dire chiffrées, mais sans pour autant définir le niveau de chiffrement, qui peut être

très faible).

- Le souci est cette notion de « service de communication au public », dont l'interprétation

varie suivant les acteurs. D'après la CNIL, ce sont les opérateurs de réseau / FAI, mais certains

juristes considèrent que cela comprend aussi les opérateurs de sites Web publics. La

jurisprudence devra trancher.

- Lorsqu’on dénonce une faille de sécurité d’un service ou d’un site, au mieux il n’y a jamais de

retour sur ce qui a été fait par les autorités, au pire on risque soi même une mise en cause.

- Le premier problème, c'est surtout le défaut d'information : nécessité de démonstrations

concrètes, par exemple pour « montrer ce qu'un téléphone « dit » sur nous ». Pour faire

prendre conscience du traçage on a besoin d'outils

- mais au delà de la prise de conscience, il ne faut pas sensibiliser seulement aux risques mais

dire comment on peut se protéger (éviter les messages anxiogènes et proposer des

solutions). La CNIL montre comment on est pisté mais ne montre pas comment se protéger.


5. Modèles économiques gratuits vs. Vie privée

- Le modèle économique dominant est la gratuité. Nécessairement, cela renvoi au ciblage

publicitaire et à la monétisation des données

- Pour les startups, le modèle économique du gratuit permet de lever des fonds plus

facilement, car il implique un nombre énorme d'utilisateurs, qu'il sera possible de monétiser.

- Autre modèle : le freemium c’est-à-dire une partie gratuite et une partie payante (sans

publicité ou plus complète – avec d’autres fonctions, capacité de stockage, etc.). Ex : Deezer,

Spotify, …

- 75% des internautes se déclarent inquiets pour la vie privée sur Internet. Est-ce que pour

autant 75% des gens accepteraient de payer pour les services internet? Probablement pas,

pourtant par exemple pour une rentabilité équivalente Facebook ne couterait que 3 dollars

par inscrit et par an.

- Que se passe-t-il quand l’entreprise disparait ?

- Tous les entrepreneurs ne sont pas égaux en terme de taille, de budget… Pourquoi ne pas «

adapter » la loi à la taille et aux moyens ?

- Question des moyens mis en œuvre pour protéger des données, et de la responsabilité

associée : quel équilibre entre ce qui pèse sur l’entreprise et sur les internautes lambda (par

exemple la protection du wifi dans le cadre de la loi HADOPI)


6. Les outils de représentation des traces : cookies de navigation,

lecteurs de cartes à puces

(démonstration proposée et animée par Alain Pannetrat,

ingénieur expert à la CNIL)

- Question centrale : « comment représenter les traces ? ». Démonstration d’un outil créé par le laboratoire de la CNIL pour visualiser les données récupérées par les cookies des sites web Seconde démonstration de lecture d’une puce de carte bancaire.

- Enjeu des outils : comment préserver l’agrément de navigation de l’utilisateur tout en

s’assurant que si un utilisateur fait une bêtise (par exemple bloquer un site qui ne le trace

pas en réalité) il puisse revenir en arrière simplement ?

- Des outils apparaissent : collusion (Mozilla)3, cardpeek4, privoxy, …. - Le problème qui se pose c'est de distinguer termes de visualisation et de blocage les trackers

utiles de ceux qui sont inutiles. - Pour faire prendre conscience du traçage on a besoin d'outils de prise de conscience

- Cependant, la visualisation c'est bien mais quand on y connait rien, que fait-on ensuite ?

- en matière d'évangélisation il ne faut pas sensibiliser aux risques mais à comment se

protéger car l’enjeu est de créer de la confiance.

- Pour l'instant, ce sont des particuliers qui font les outils : la CNIL doit apprendre à travailler

de manière collaborative avec des équipes pluridisciplinaires (designers, ergonomes, juristes,

développeurs) sur des solutions et des outils.

3 https://www.mozilla.org/en-US/collusion/

4 https://code.google.com/p/cardpeek

https://www.mozilla.org/en-US/collusion/

https://code.google.com/p/cardpeek


7. Le concept de « web id »

- Web ID est un projet du W3C de création d’un carnet d’adresses distribué.

- Problème des réseaux sociaux : ce sont des silos de données étanche ou presque. Mais c'est

une question d'architecture (voir atelier 2.)

- Facebook a des éléments qui sont intéressants et d'autres moins : système panoptique et

centralisé, certes, mais la question de la confiance y est « crowdsourcée ».

- Le téléphone, l'email dispose d'un identifiant unique global. Pareil avec les URLs et le web en

général, ce dernier par un système complètement distribué.

- On peut imaginer un réseau de serveurs distribués contenant des données personnelles. Sur

chaque serveur on va mettre une page pour décrire, par exemple un réseau de relations

(données type Friend-of-a-friend, standard du W3C). Mais comment protéger ce qu'on

publie pour que les données ne soient pas accessibles à quiconque ? C'est le problème que

veut résoudre WebID.

- Les serveurs qui utilisent WebID (par exemple MyProfile) utilisent de l'authentification par

certificat côté client. Quand on veut se connecter, il demande quel certificat utiliser. Ces

certificats côté clients ne sont pas signés par une autorité mais par le serveur associé à

l'utilisateur. On utilise le protocole HTTPS pour authentifier les serveurs entre eux. La clé

publique du certificat du serveur de Bob est extraite du certificat envoyé par Bob. Quand le

serveur d'Alice se connecte au serveur de Bob, ce dernier peut donc vérifier qu'il s'est

connecté au bon serveur. Une fois l'authentification effectuée par le serveur d'Alice,

l'autorisation se fait, par exemple, en utilisant un système de confiance distribué.

Typiquement : est-ce que ce certificat correspond à celui d'un(e) ami(e) ?

- Cependant, l'éclatement des données sur de multiples serveurs fait qu'en observant les

connexions, il est possible d'extraire beaucoup plus d'informations qu'avec les systèmes

centralisés.


8. La e-notoriété et la e-réputation : comment gérer sa réputation en

ligne ?

- La réputation, c'est ce que les autres pensent de nous.

- Favoriser l'usage des réseaux sociaux décentralisés permet de garder la main sur les

informations que nous souhaitons partager.

- Les outils de diffusion de notre réputation (réseaux sociaux, moteurs de recherches)

fonctionnent sur la base d'algorithme. Comprendre d'une manière globale leur

fonctionnement permet d'anticiper l'évolution de notre réputation et de faciliter sa gestion.

- Il faut se poser davantage de questions sur comment votre image sur le web est vue par les

autres internautes.

9. Les outils d’anonymat (démo)

- La question des outils d’anonymat est primordiale (voir atelier 1.)

- Démonstration de l'utilisation de TOR. Cela entraine un trafic très particulier et peut nous

faire remarquer : c'est la masse critique d'utilisateurs connectés simultanément qui permet

l'anonymisation.

- Quand on utilise TOR, il faut aussi utiliser HTTPS (SSL/ TLS). Explication par l'EFF sur

https://www.eff.org/pages/tor-and-https

- Démonstration de TAILS5 : live OS avec TOR intégré qui empêche l’accès au disque dur sauf

autorisation expresse. Evite de faire fuiter des données sans s'en rendre compte.

- Démonstration d’outils permettant d'anonymiser les métadonnées : Metadata

Anonymisation Toolkit6.

- Il y a un compromis à trouver, différent pour chacun, entre confort de l’expérience utilisateur

et vie privée : TOR est lent mais indispensable pour un dissident d'un pays autoritaire qui

joue avec sa vie. Il est par contre inutilisable au quotidien pour qui veut se connecter sur

Facebook sans être vu par son patron.

5 https://tails.boum.org/about/index.en.html

6 https://mat.boum.org/

https://www.eff.org/pages/tor-and-https

https://tails.boum.org/about/index.en.html

https://mat.boum.org/


10. Comment gérer plusieurs identités ?

- Pourquoi créer plusieurs identités ? La création de plusieurs identités en ligne différentes

peut répondre à des objectifs de :

o Protection personnelle : éviter ou réduire l'impact de la surveillance, se prémunir de

dangers physiques hors ligne ;

o Protection d'informations : conserver des secrets, préserver son intimité ;

o Contrôle de son image : réputation, personal branding.

- Pour qui utilise-t-on différentes identités ? Pas pour cacher à sa machine qu'on est une seule personne, mais pour agir et interagir différemment avec des personnes différentes, dans des contextes variés : la segmentation de l'identité répond à une volonté de s'adapter aux différents contextes. Il s'agit d'une pratique qui n'est pas spécifique aux usages en ligne : dans nos comportements courants, on s'adapte et on montre différents visages. La différence est que sur le réseau, cela laisse des traces.

- On peut opérer par segmentation de son identité « réelle » en plusieurs identités

« virtuelles », chacune correspondant à un aspect de sa vie en ou hors ligne. Différentes

identités permettent une expression plus libre, dans la mesure où ce que font les différentes

identités n'est pas rattaché à un individu unique. Il n'y a pas à assumer toutes les facettes de

sa personne en même temps (et face à tout le monde à la fois).

- Si la création de plusieurs identités répond à une volonté de protection, elle doit

s'accompagner d'une multiplication des canaux de contact de l'identité : deux pseudos ne

doivent pas conduire à une même adresse mail, et chaque couple pseudo / adresse mail

devrait correspondre à un mot de passe unique.

- Gérer une pluralité d'identité conduit à multiplier les outils techniques permettant cette

gestion (client de messagerie, gestion de base de données de mots de passe).

- La gestion de différentes identités conduit à complexifier la gestion des données en ligne

pour la personne. Cela peut conduire à un paradoxe : plus on segmente son identité, plus sa

gestion devient complexe ; plus la gestion est complexe, plus le risque de faille augmente, et

moins la multiplication des identités devient efficace.

- Au départ, la segmentation des identités semble un moyen peu technique d'assurer la vie

privée et de la liberté. À l'arrivée, la diversité des identités semble inefficace si l'on ne

l'appuie pas aussi sur des moyens techniques. Mais si on a les moyens techniques de se

protéger, peut-être n'a-t-on plus besoin de passer par la segmentation...

- In fine, utiliser différentes identités apparaît comme un moyen très faible de protéger sa vie privée efficacement :

o D'une part, il existe des limites techniques à ce type de protection. Multiplier les identités virtuelles ne sert pas beaucoup si l'on ne sait pas masquer qu'elles proviennent d'une même machine, ou d'une même connexion. Bref, sauf à être techniquement compétent, la machine physique trahit très facilement la supercherie.

o D'autre part, la probabilité d'une erreur humaine rend ce moyen peu sûr. On peut aisément trahir le fait qu'on soit une même personne derrière différents pseudos : par inadvertance, par une façon d'écrire similaire et identifiable, par des contacts communs aux deux identités, etc.

- Plus problématique, les personnes qui connaissent notre « double » identité peuvent révéler elles aussi qui nous sommes. Même en étant bien intentionné, on peut lier deux identités numériques à une seule personne, et annihiler son travail de segmentation.


11. Hacker la CNIL ? Que faire ensuite ensemble ?

- Faible connaissance des actions de la CNIL suite à des plaintes ou des signalements, peu de

connaissance des sanctions ou des actions menées pour faire cesser des problèmes

- Vraie attente d’une plus grande ouverture et de plus de moments d’échanges et

d’interfaces : la CNIL doit apprendre à travailler de manière collaborative

- la CNIL montre comment on est pisté mais ne montre jamais comment se protéger

- Il faut trouver comment donner envie aux individus de faire attention à leurs données

personnelles sans tomber dans des explications techniques et complexes. .

- Créer une chaîne de confiance, et non pas seulement un site ou un outil de confiance : en

fournissant des assistants, des briques d’outils « packagés » qui protègent la vie privée par

défaut, des modes différents de navigation, ...

- Quels outils pourrions-nous imaginer ?

o Guide sur les outils, par exemple sur les add-ons Firefox existants

o Un site, pas seulement animé ou alimenté par la CNIL, mais qui recense les best

practices et liste les outils par exemple en mode « bac à sable », pour permettre des

tests et des évaluations

o Créer une version téléchargeable d’un navigateur sécurisé, par exemple en mode

portable app (cf Tor Bundle ?). Mais pourquoi se limiter au navigateur ? C’est tout un

CNIL OS qu’il faudrait !

- Réaliser des vidéos ou des data visualisation, par exemple à destination des enfants à l'école.

- Eviter les messages anxiogènes.

- Partir des témoignages utilisateurs.

- Mettre en avant des initiatives collectives, la CNIL n’étant qu’un des partenaires parmi

d'autres...

Documents

Compte rendu du premier « Privacy Camp Paris » - 30 mars 2012 · 2016. 1. 25. · identifiants bancaires notés en clair dans un bloc-notes...). Or les failles techniques sont exploitables