Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Ce compte-rendu collaboratif reflète les points de vue des personnes qui se sont exprimées lors des débats. Il ne reflète pas la position de la CNIL
Compte rendu du premier « Privacy Camp Paris » - 30 mars 2012
Compte-rendu des ateliers
Ce compte-rendu collaboratif reflète les points de vue des personnes qui se sont exprimées lors des débats. Il ne reflète pas la position de la CNIL
Thèmes des ateliers 1. Anonymes… ou pas? ........................................................................................................................ 3
2. Les réseaux sociaux distribués ou décentralisés ............................................................................. 4
3. Questions autour des téléphones mobiles et de la vie privée ....................................................... 5
4. ToutCaCaSertARien.com : toutes vos données à poil sur internet. Pourquoi il est impossible de
contrôler ses données lorsqu’elles sont sur internet (démonstration proposée et animée par Kitetoa
(reflets.info) ............................................................................................................................................. 6
5. Modèles économiques gratuits vs. Vie privée ................................................................................ 7
6. Les outils de représentation des traces : cookies de navigation, lecteurs de cartes à puces
(démonstration proposée et animée par Alain Pannetrat, ingénieur expert à la CNIL) .......................... 8
7. Le concept de « web id » ................................................................................................................. 9
8. La e-notoriété et la e-réputation : comment gérer sa réputation en ligne ? ................................ 10
9. Les outils d’anonymat (démo) ....................................................................................................... 10
10. Comment gérer plusieurs identités ? ........................................................................................ 11
11. Hacker la CNIL ? Que faire ensuite ensemble ? ......................................................................... 12
Ce compte-rendu collaboratif reflète les points de vue des personnes qui se sont exprimées lors des débats. Il ne reflète pas la position de la CNIL
1. Anonymes… ou pas?
- L'anonymat pose la question de la confiance : il y a une différence entre publier soi-même et
voir d’autres publier sur soi.
- Le « grand public » ne pense pas nécessairement que l'anonymat soit nécessaire (« Si je n'ai
rien à cacher je n'ai pas besoin d'être anonyme »). Or le droit à l'anonymat, c’est le droit à
avoir un jardin secret.
- Il faut faire une distinction entre le simple pseudonymat, plutôt lié à la e-réputation ou à une
protection simple de la vie privée et de la vie professionnelle et le véritable anonymat lié par
exemple à la protection des sources et à la notion de secret (ne pas laisser de traces, ne pas
être identifiable).
- Finalement le pseudonymat est utilisé en premier lieu pour éviter de donner ses données
personnelles à n'importe qui et pour contrer les formulaires de saisie trop intrusifs.
- La liberté d’expression peut être très fortement liée à la question du pseudonymat ou de
l’anonymat, même dans un pays démocratique : cela peut être un problème pour les agents
de l'Etat de communiquer et s’exprimer sous leur vraie identité, ou pour un employé d’avoir
un avis critique sur son entreprise.
- Mais l’anonymat peut parfois être contre-productif : certains refusent d'être ou de dialoguer
avec quelqu'un qui est anonyme. Le droit de prendre une autre identité est-il une liberté ? A
l’image du concept de droit à l'oubli, ne devrait-il y avoir un droit au mensonge ?
- Derrière ce sujet, il y a la question des outils d’anonymisation : Tor, I2P, VPN. Mais même si
ceux-ci sont de plus en plus accessibles, ils ne sont pas encore facilement utilisés par le grand
public.
- Dans quelle mesure peut-on avoir confiance dans ces outils ? Par exemple Thor aurait été
cassé par des chercheurs il y a quelques mois. C'est une leçon, car chaque fois qu'on invente
un outil pour protéger quelque chose, on trouve ensuite une voie pour
« déprotéger », « désanonymiser ».
- L'outil le plus couramment utilisé reste le basique « mode de navigation privé » des
navigateurs (par exemple de firefox) qui supprime tous les cookies et l'historique de
navigation. Or ceci est loin d'être suffisant pour être réellement anonyme en ligne car nous
laissons malgré tout de nombreuses traces sur les serveurs des sites que nous visitons.
- Des exemples d’outils et guides pour être anonyme en ligne :
http://jhack.info/wiki/doku.php?id=ressources ou http://free.korben.info/index.php/Accueil
- Suites dans l’atelier 9. « les outils d’anonymat »
Ce compte-rendu collaboratif reflète les points de vue des personnes qui se sont exprimées lors des débats. Il ne reflète pas la position de la CNIL
2. Les réseaux sociaux distribués ou décentralisés
- Demandez-vous à quoi ressemblera Facebook dans 20 ans ? 25 ans de vos données seront
stockées dans Facebook ! Est-ce que cela sera encore supportable ?
- Facebook pose le problème de la révocation des données: comment récupérer les data qui
ont été envoyé par l'utilisateur ?
- Il est possible de revenir à une logique de pair à pair pour les services de réseaux sociaux.
Diverses solutions sont explorées et avancées : diaspora, XMPP, FoA, Freedom Box,
bootstrapper, … Objectif : permettre aux personnes d'avoir le contrôle de leurs données
publiées.
- Cela demande de concevoir une excellente architecture : comment concevoir un service de
réseau social décentralisé utile ?
o Veut-on un réseau social distribué où il est possible de joindre n'importe qui (= des
personnes qu'on ne connait pas) ?
o Veut-on un réseau social distribué qui ne fonctionne que de proche en proche
(théoriquement plus sûr du point de vue de la vie privée) ?
- Des efforts importants sont demandés aux utilisateurs, puisqu’il faudrait par exemple que
chaque utilisateur gère son propre serveur (préconfiguré par les FAI par exemple, d’où leur
importance dans de tels projets)
- Comment résout-on le triangle de Zooko sur la question des noms1 ? Selon cette conjecture,
les noms / identités peuvent soit être lisibles (comme les noms de domaines) mais
centralisés (DNS), soit décentralisés mais non lisible (des hashs)
- Comment faire exister un réseau où il est possible d'avoir plusieurs identités (contextuelles) ?
Si possible avec les protections nécessaires pour qu'il ne soit pas possible de relier ces
identités entre elles ?
- Liens avec la question du chiffrement (par exemple, CGA - Cryptographically Generated
Addresses)2
- Suites dans l’atelier 7. sur « Web ID »
1 https://en.wikipedia.org/wiki/Zooko%27s_triangle
2 http://en.wikipedia.org/wiki/Cryptographically_Generated_Addresses
Ce compte-rendu collaboratif reflète les points de vue des personnes qui se sont exprimées lors des débats. Il ne reflète pas la position de la CNIL
3. Questions autour des téléphones mobiles et de la vie privée
- Le monde du mobile n’est-il pas devenu un « far west » des données ? Toutes les
problématiques Web se reportent en pire sur les mobiles.
- Il y a de plus en plus d’outils permettant de « disséquer » les mobiles de manière plus ou
moins brutale, avec d’importantes différences selon les systèmes d’exploitation et les
configurations). Tout ce qui était dans la carte mère est récupérable sur un ordinateur, donc
tout est lisible même si c'est un système fermé. Au final, un smartphone est juste un disque
de stockage. De plus en plus d'outils permettent de le surveiller. Si le wifi et le bluetooth ne
sont pas désactivés, c’est encore plus simple.
- Les données stockées sur le téléphone sont souvent très peu sécurisées (pas de code PIN,
identifiants bancaires notés en clair dans un bloc-notes...). Or les failles techniques sont
exploitables à distance et l'approche des développeurs reste une approche « pansement » :
des correctifs partiels sont appliqués en réaction à l’émergence publique d’un problème.
Leur crainte, c’est la mauvaise publicité : en cas de risque d’image, ils réagissent.
- Aujourd'hui on peut envoyer des SMS « blancs » qui permettent de récupérer des
informations sur l'utilisateur (géolocalisation notamment). Lorsqu'on envoie un mail, on peut
diffuser l'identifiant unique de l’appareil, l'opérateur téléphonique....
- Les configurations par défaut sont très importantes car la majorité des utilisateurs ne
changent jamais les réglages. Or, sur Android, les paramétrages initiaux ne sont pas sûrs…
- L'utilisateur a l'habitude des applications Web, qui n'accèdent pas à beaucoup de données.
Mentalement, l'utilisateur ne se rend pas compte que les applications mobiles accèdent à
beaucoup plus de données.
- Le type de données transmises est-elle différent en fonction du type de connexion (3G et
Wifi) ? Par exemple pour la géolocalisation, l'iPhone attend d'être connecté en Wifi, pour
économiser la bande passante.
- Nous sommes devenus des « homo radiens », qui irradient en permanence des informations.
Le GSM est beaucoup plus verbeux que le wifi : avec l'opérateur, mais pas uniquement. Les
trames radio sont envoyées en permanence, et si il n'y a pas d'attaques de masse
aujourd’hui, c'est parce que le matériel coûtait cher. Ce n'est plus le cas : du matériel basique
qui valait 1500 euros il y a deux ans en coûte 30 aujourd'hui. Principale limite : il faut être à
proximité de la personne (hors connexion à l'opérateur), ce qui limite les attaques en masse.
- La forme d’attaque la moins chère reste l'ingénierie sociale.
- Des risques importants pourraient émerger avec l'arrivée des paiements sur smartphone.
Ce compte-rendu collaboratif reflète les points de vue des personnes qui se sont exprimées lors des débats. Il ne reflète pas la position de la CNIL
4. ToutCaCaSertARien.com : toutes vos données à poil sur internet.
Pourquoi il est impossible de contrôler ses données lorsqu’elles
sont sur internet (démonstration proposée et animée par
Kitetoa (reflets.info)
- Le réseau n'a pas été initialement conçu pour être un lieu sécurisé, en particulier pour les
données personnelles, ni pour être un lieu sur lequel on fait du commerce. Il a fallu penser
des « améliorations » sur un modèle qui n’avait pas été conçu dans ce but : démonstration
de failles de sécurité sur des sites permettant d’accéder par un simple Dump SQL à des
données confidentielles.
- Il y a peu d'incitation pour les entreprises à sécuriser leurs services Web. Depuis longtemps,
une entreprise qui venait déclarer une intrusion dans son système d’informations avec un vol
de données personnelles était passible d'une infraction pénale (pour le vol des données
personnelles).
- Depuis, est arrivée l'ordonnance du 24/8/2011 (transposition du droit européen) qui oblige
les « services de communication au public » à déclarer à la CNIL une intrusion qui aurait pu
donner lieu à un vol de données personnelles et crée une obligation d’information aux
personnes si le vol de données personnelles est avéré, sauf si les données sont « protégées »
(c’est-à-dire chiffrées, mais sans pour autant définir le niveau de chiffrement, qui peut être
très faible).
- Le souci est cette notion de « service de communication au public », dont l'interprétation
varie suivant les acteurs. D'après la CNIL, ce sont les opérateurs de réseau / FAI, mais certains
juristes considèrent que cela comprend aussi les opérateurs de sites Web publics. La
jurisprudence devra trancher.
- Lorsqu’on dénonce une faille de sécurité d’un service ou d’un site, au mieux il n’y a jamais de
retour sur ce qui a été fait par les autorités, au pire on risque soi même une mise en cause.
- Le premier problème, c'est surtout le défaut d'information : nécessité de démonstrations
concrètes, par exemple pour « montrer ce qu'un téléphone « dit » sur nous ». Pour faire
prendre conscience du traçage on a besoin d'outils
- mais au delà de la prise de conscience, il ne faut pas sensibiliser seulement aux risques mais
dire comment on peut se protéger (éviter les messages anxiogènes et proposer des
solutions). La CNIL montre comment on est pisté mais ne montre pas comment se protéger.
Ce compte-rendu collaboratif reflète les points de vue des personnes qui se sont exprimées lors des débats. Il ne reflète pas la position de la CNIL
5. Modèles économiques gratuits vs. Vie privée
- Le modèle économique dominant est la gratuité. Nécessairement, cela renvoi au ciblage
publicitaire et à la monétisation des données
- Pour les startups, le modèle économique du gratuit permet de lever des fonds plus
facilement, car il implique un nombre énorme d'utilisateurs, qu'il sera possible de monétiser.
- Autre modèle : le freemium c’est-à-dire une partie gratuite et une partie payante (sans
publicité ou plus complète – avec d’autres fonctions, capacité de stockage, etc.). Ex : Deezer,
Spotify, …
- 75% des internautes se déclarent inquiets pour la vie privée sur Internet. Est-ce que pour
autant 75% des gens accepteraient de payer pour les services internet? Probablement pas,
pourtant par exemple pour une rentabilité équivalente Facebook ne couterait que 3 dollars
par inscrit et par an.
- Que se passe-t-il quand l’entreprise disparait ?
- Tous les entrepreneurs ne sont pas égaux en terme de taille, de budget… Pourquoi ne pas «
adapter » la loi à la taille et aux moyens ?
- Question des moyens mis en œuvre pour protéger des données, et de la responsabilité
associée : quel équilibre entre ce qui pèse sur l’entreprise et sur les internautes lambda (par
exemple la protection du wifi dans le cadre de la loi HADOPI)
Ce compte-rendu collaboratif reflète les points de vue des personnes qui se sont exprimées lors des débats. Il ne reflète pas la position de la CNIL
6. Les outils de représentation des traces : cookies de navigation,
lecteurs de cartes à puces
(démonstration proposée et animée par Alain Pannetrat,
ingénieur expert à la CNIL)
- Question centrale : « comment représenter les traces ? ». Démonstration d’un outil créé par le laboratoire de la CNIL pour visualiser les données récupérées par les cookies des sites web Seconde démonstration de lecture d’une puce de carte bancaire.
- Enjeu des outils : comment préserver l’agrément de navigation de l’utilisateur tout en
s’assurant que si un utilisateur fait une bêtise (par exemple bloquer un site qui ne le trace
pas en réalité) il puisse revenir en arrière simplement ?
- Des outils apparaissent : collusion (Mozilla)3, cardpeek4, privoxy, …. - Le problème qui se pose c'est de distinguer termes de visualisation et de blocage les trackers
utiles de ceux qui sont inutiles. - Pour faire prendre conscience du traçage on a besoin d'outils de prise de conscience
- Cependant, la visualisation c'est bien mais quand on y connait rien, que fait-on ensuite ?
- en matière d'évangélisation il ne faut pas sensibiliser aux risques mais à comment se
protéger car l’enjeu est de créer de la confiance.
- Pour l'instant, ce sont des particuliers qui font les outils : la CNIL doit apprendre à travailler
de manière collaborative avec des équipes pluridisciplinaires (designers, ergonomes, juristes,
développeurs) sur des solutions et des outils.
3 https://www.mozilla.org/en-US/collusion/
4 https://code.google.com/p/cardpeek
Ce compte-rendu collaboratif reflète les points de vue des personnes qui se sont exprimées lors des débats. Il ne reflète pas la position de la CNIL
7. Le concept de « web id »
- Web ID est un projet du W3C de création d’un carnet d’adresses distribué.
- Problème des réseaux sociaux : ce sont des silos de données étanche ou presque. Mais c'est
une question d'architecture (voir atelier 2.)
- Facebook a des éléments qui sont intéressants et d'autres moins : système panoptique et
centralisé, certes, mais la question de la confiance y est « crowdsourcée ».
- Le téléphone, l'email dispose d'un identifiant unique global. Pareil avec les URLs et le web en
général, ce dernier par un système complètement distribué.
- On peut imaginer un réseau de serveurs distribués contenant des données personnelles. Sur
chaque serveur on va mettre une page pour décrire, par exemple un réseau de relations
(données type Friend-of-a-friend, standard du W3C). Mais comment protéger ce qu'on
publie pour que les données ne soient pas accessibles à quiconque ? C'est le problème que
veut résoudre WebID.
- Les serveurs qui utilisent WebID (par exemple MyProfile) utilisent de l'authentification par
certificat côté client. Quand on veut se connecter, il demande quel certificat utiliser. Ces
certificats côté clients ne sont pas signés par une autorité mais par le serveur associé à
l'utilisateur. On utilise le protocole HTTPS pour authentifier les serveurs entre eux. La clé
publique du certificat du serveur de Bob est extraite du certificat envoyé par Bob. Quand le
serveur d'Alice se connecte au serveur de Bob, ce dernier peut donc vérifier qu'il s'est
connecté au bon serveur. Une fois l'authentification effectuée par le serveur d'Alice,
l'autorisation se fait, par exemple, en utilisant un système de confiance distribué.
Typiquement : est-ce que ce certificat correspond à celui d'un(e) ami(e) ?
- Cependant, l'éclatement des données sur de multiples serveurs fait qu'en observant les
connexions, il est possible d'extraire beaucoup plus d'informations qu'avec les systèmes
centralisés.
Ce compte-rendu collaboratif reflète les points de vue des personnes qui se sont exprimées lors des débats. Il ne reflète pas la position de la CNIL
8. La e-notoriété et la e-réputation : comment gérer sa réputation en
ligne ?
- La réputation, c'est ce que les autres pensent de nous.
- Favoriser l'usage des réseaux sociaux décentralisés permet de garder la main sur les
informations que nous souhaitons partager.
- Les outils de diffusion de notre réputation (réseaux sociaux, moteurs de recherches)
fonctionnent sur la base d'algorithme. Comprendre d'une manière globale leur
fonctionnement permet d'anticiper l'évolution de notre réputation et de faciliter sa gestion.
- Il faut se poser davantage de questions sur comment votre image sur le web est vue par les
autres internautes.
9. Les outils d’anonymat (démo)
- La question des outils d’anonymat est primordiale (voir atelier 1.)
- Démonstration de l'utilisation de TOR. Cela entraine un trafic très particulier et peut nous
faire remarquer : c'est la masse critique d'utilisateurs connectés simultanément qui permet
l'anonymisation.
- Quand on utilise TOR, il faut aussi utiliser HTTPS (SSL/ TLS). Explication par l'EFF sur
https://www.eff.org/pages/tor-and-https
- Démonstration de TAILS5 : live OS avec TOR intégré qui empêche l’accès au disque dur sauf
autorisation expresse. Evite de faire fuiter des données sans s'en rendre compte.
- Démonstration d’outils permettant d'anonymiser les métadonnées : Metadata
Anonymisation Toolkit6.
- Il y a un compromis à trouver, différent pour chacun, entre confort de l’expérience utilisateur
et vie privée : TOR est lent mais indispensable pour un dissident d'un pays autoritaire qui
joue avec sa vie. Il est par contre inutilisable au quotidien pour qui veut se connecter sur
Facebook sans être vu par son patron.
5 https://tails.boum.org/about/index.en.html
6 https://mat.boum.org/
Ce compte-rendu collaboratif reflète les points de vue des personnes qui se sont exprimées lors des débats. Il ne reflète pas la position de la CNIL
10. Comment gérer plusieurs identités ?
- Pourquoi créer plusieurs identités ? La création de plusieurs identités en ligne différentes
peut répondre à des objectifs de :
o Protection personnelle : éviter ou réduire l'impact de la surveillance, se prémunir de
dangers physiques hors ligne ;
o Protection d'informations : conserver des secrets, préserver son intimité ;
o Contrôle de son image : réputation, personal branding.
- Pour qui utilise-t-on différentes identités ? Pas pour cacher à sa machine qu'on est une seule personne, mais pour agir et interagir différemment avec des personnes différentes, dans des contextes variés : la segmentation de l'identité répond à une volonté de s'adapter aux différents contextes. Il s'agit d'une pratique qui n'est pas spécifique aux usages en ligne : dans nos comportements courants, on s'adapte et on montre différents visages. La différence est que sur le réseau, cela laisse des traces.
- On peut opérer par segmentation de son identité « réelle » en plusieurs identités
« virtuelles », chacune correspondant à un aspect de sa vie en ou hors ligne. Différentes
identités permettent une expression plus libre, dans la mesure où ce que font les différentes
identités n'est pas rattaché à un individu unique. Il n'y a pas à assumer toutes les facettes de
sa personne en même temps (et face à tout le monde à la fois).
- Si la création de plusieurs identités répond à une volonté de protection, elle doit
s'accompagner d'une multiplication des canaux de contact de l'identité : deux pseudos ne
doivent pas conduire à une même adresse mail, et chaque couple pseudo / adresse mail
devrait correspondre à un mot de passe unique.
- Gérer une pluralité d'identité conduit à multiplier les outils techniques permettant cette
gestion (client de messagerie, gestion de base de données de mots de passe).
- La gestion de différentes identités conduit à complexifier la gestion des données en ligne
pour la personne. Cela peut conduire à un paradoxe : plus on segmente son identité, plus sa
gestion devient complexe ; plus la gestion est complexe, plus le risque de faille augmente, et
moins la multiplication des identités devient efficace.
- Au départ, la segmentation des identités semble un moyen peu technique d'assurer la vie
privée et de la liberté. À l'arrivée, la diversité des identités semble inefficace si l'on ne
l'appuie pas aussi sur des moyens techniques. Mais si on a les moyens techniques de se
protéger, peut-être n'a-t-on plus besoin de passer par la segmentation...
- In fine, utiliser différentes identités apparaît comme un moyen très faible de protéger sa vie privée efficacement :
o D'une part, il existe des limites techniques à ce type de protection. Multiplier les identités virtuelles ne sert pas beaucoup si l'on ne sait pas masquer qu'elles proviennent d'une même machine, ou d'une même connexion. Bref, sauf à être techniquement compétent, la machine physique trahit très facilement la supercherie.
o D'autre part, la probabilité d'une erreur humaine rend ce moyen peu sûr. On peut aisément trahir le fait qu'on soit une même personne derrière différents pseudos : par inadvertance, par une façon d'écrire similaire et identifiable, par des contacts communs aux deux identités, etc.
- Plus problématique, les personnes qui connaissent notre « double » identité peuvent révéler elles aussi qui nous sommes. Même en étant bien intentionné, on peut lier deux identités numériques à une seule personne, et annihiler son travail de segmentation.
Ce compte-rendu collaboratif reflète les points de vue des personnes qui se sont exprimées lors des débats. Il ne reflète pas la position de la CNIL
11. Hacker la CNIL ? Que faire ensuite ensemble ?
- Faible connaissance des actions de la CNIL suite à des plaintes ou des signalements, peu de
connaissance des sanctions ou des actions menées pour faire cesser des problèmes
- Vraie attente d’une plus grande ouverture et de plus de moments d’échanges et
d’interfaces : la CNIL doit apprendre à travailler de manière collaborative
- la CNIL montre comment on est pisté mais ne montre jamais comment se protéger
- Il faut trouver comment donner envie aux individus de faire attention à leurs données
personnelles sans tomber dans des explications techniques et complexes. .
- Créer une chaîne de confiance, et non pas seulement un site ou un outil de confiance : en
fournissant des assistants, des briques d’outils « packagés » qui protègent la vie privée par
défaut, des modes différents de navigation, ...
- Quels outils pourrions-nous imaginer ?
o Guide sur les outils, par exemple sur les add-ons Firefox existants
o Un site, pas seulement animé ou alimenté par la CNIL, mais qui recense les best
practices et liste les outils par exemple en mode « bac à sable », pour permettre des
tests et des évaluations
o Créer une version téléchargeable d’un navigateur sécurisé, par exemple en mode
portable app (cf Tor Bundle ?). Mais pourquoi se limiter au navigateur ? C’est tout un
CNIL OS qu’il faudrait !
- Réaliser des vidéos ou des data visualisation, par exemple à destination des enfants à l'école.
- Eviter les messages anxiogènes.
- Partir des témoignages utilisateurs.
- Mettre en avant des initiatives collectives, la CNIL n’étant qu’un des partenaires parmi
d'autres...