Payer avec sa vie privée : les risques

L’Internet moderne est davantage qu’une collection de sites web personnels ou promotionnels. On y trouve aussi de nombreux services ; des boutiques bien sûr, mais également de véritables applications : messagerie instantanée ou non, outils bureautiques, gestion de documents.

Beaucoup des applications web semblent gratuites ; le sont-elles vraiment ? Sont-elles sûres ?

On trouve une grande variété d’applications web :

  • en premier lieu les applications de messagerie, historiquement parmi les plus anciennes et aujourd’hui représentées majoritairement par GMail ;
  • la messagerie instantanée et les réseaux sociaux, qui ont convergé (facebook, twitter…) ;
  • la bureautique, parfois collaborative (Google Docs) ;
  • l’organisation de sondages ou de rendez-vous (Doodle) ;
  • le partage ou la synchronisation de documents (Box, Dropbox…), d’image (Flickr, Picasa…), de vidéos (Youtube, Dailymotion…), etc.

Il y en a d’autres. La plupart de ces applications ont la particularité d’être mises à disposition gratuitement par des sociétés commerciales (essentiellement américaines, mais c’est un détail), dont le but n’est pourtant pas d’être généreuses mais de faire du profit.

Il y a évidemment une explication, largement connue, publiée et débattue : les applications « gratuites » se paient avec des informations privées.

On note au passage que beaucoup des applications gratuites populaires sur le web sont détenues par Google, qui peut du coup agréger les informations obtenues de ces diverses applications. Or, Google n’est pas une entreprise quelconque : je vous invite à lire l’article que propose Newsweek au sujet de Google.

Au-delà des applications mises gratuitement à la disposition des usagers, les informations privées divulguées permettent un ciblage publicitaire qui, s’il est efficace et pertinent, peut réellement être utile. L’article de Computerworld pose une question intéressante : puisque, en échange d’informations privées, nous devrions bénéficier de services et de publicités personnalisés, obtient-on effectivement cette personnalisation ? La réponse est malheureusement non… C’est dommage.

Mais ce qui me gêne davantage, dans cet article, est l’indifférence affichée envers la collecte d’informations elle-même :

[…] You’re not the product. Advertisers don’t own you. […] The companies selling the advertising theoretically (and algorithmically) display ads to you if you meet the advertiser’s criteria. […] They do it privately and securely, and it’s all automated so that no human being actually learns anything about you. […] It’s really a philosophical question as to whether your privacy has been violated if no human being sees your data.

C’est, me semble-t-il, accorder beaucoup de confiance aux entreprises qui collectent nos données personnelles ! Il est arrivé que cette confiance soit mal placée (lecture des données des clients). Parfois, un cas d’utilisation légitime a simplement eu des conséquences non envisagées (sauvegarde centralisée incluant des mots de passe en clair). Dans d’autres cas, une simple erreur a pu causer un résultat fâcheux (envoi de données sensibles à la mauvaise adresse) ; « l’erreur est humaine », dit-on… Mais une erreur — de conception, par exemple — peut passer inaperçue pendant un temps et être exploitée par d’autres (espionnage). Sans oublier que l’utilisateur peut être abusé à de multiples niveaux de l’architecture du réseau informatique (navigateur induit en erreur).

Il y a donc bien de réels risques à concentrer ainsi des données privées. Que se passerait-il…

Ces risques, non exhaustifs, peuvent sembler hypothétiques. Il faut cependant avouer que si nous devions vivre une de ces situations, nous nous dirions sûrement « Si j’avais su que cela se passerait ainsi, j’aurais agi autrement… » Il n’est évidemment pas possible de savoir ce qui arrivera. Mais cela ne vaut-il pas le coup de prendre quelques précautions, surtout lorsque des solutions existent, même imparfaites ?

Bien sûr, il est impossible d’éviter tous les risques ; des risques demeurent sur Internet, comme dans la « vraie vie ». Cependant, il peut être intéressant d’identifier des facteurs aggravants :

  • en tout premier lieu, le regroupement des données vers des services centralisés : il est plus tentant pour un pirate informatique d’attaquer ou de profiter de serveurs hébergeant des millions de comptes plutôt que des serveurs hébergeant au plus une dizaine de comptes (meilleur « butin » en regard du risque encouru, meilleures possibilités de croisement des données) ;
  • ensuite, la nature commerciale de l’hébergeur des données : il y a conflit d’intérêts entre la mission de protection des données et la mission de générer du profit, conflit qui se règle au gré des politiques internes, voire externes ;
  • enfin, le fait que les données soient enregistrées — ou transitent sur le réseau — sous un format exploitable au lieu qu’elles ne soient chiffrées : le transit en clair sur le réseau tend à disparaître (heureusement) mais il est souvent nécessaire que les données soient enregistrées de manière exploitable pour que le service attendu soit rendu.

Le second risque peut être réduit en tentant d’obtenir une plus grande confiance dans les logiciels utilisés — utilisation de logiciels libres — d’une part, et dans le fournisseur de service d’autre part. C’est ce que propose par exemple l’association Framasoft avec son initiative « dégooglisons Internet ». Des services similaires existent, avec un périmètre moins ambitieux, tels Jappix et Diaspora pour les réseaux sociaux, ou encore Piwigo pour les images (payant) ; d’autres services existent.

Réduire les autres risques est plus complexe. Cela passe par une décentralisation des services, autrement dit faire coopérer de multiples serveurs pour rendre un service sur Internet plutôt que d’avoir un seul fournisseur de ce service. Concrètement, il s’agit de faire de l’auto-hébergement, soit directement chez soi, soit sur un serveur loué. Même si cela peut représenter un grand saut dans l’inconnu, ce n’est pas forcément compliqué car de nombreux guides existent ; cela nécessite cependant de la rigueur. Attention quand même : auto-héberger la messagerie traditionnelle est sensiblement plus compliqué que d’auto-héberger le reste, d’une part du fait des multiples dispositions qui sont apparues au fil du temps pour combattre le SPAM, d’autre part de par la contrainte de disponibilité que cela amène.

La société nous pousse vers les solutions « gratuites » populaires (effet d’entraînement et parfois effet de mode) ; c’est de plus le choix de la facilité. Les solutions alternatives ont du coup un attrait a priori moindre et peuvent nécessiter un effort, un compromis, ce qui représente un coût aussi, de nature différente. En fin de compte, l’équilibre est personnel et ne dépend pas de la technique ; chacun peut se poser la question « Quelle valeur accordé-je à ma liberté »(*) et y apporter une réponse différente…

(*) Si si, c’est comme ça qu’on dit :-)

Internet nous apporte l’opportunité de nous exprimer comme jamais auparavant. Dans le même temps, il me semble que nous sommes dangereusement proches d’une mise en œuvre efficace de la surveillance et de la censure décrites dans 1984 de George Orwell ; nous n’y sommes pas encore, heureusement. Nous sommes en équilibre précaire, entre la liberté actuelle étendue à Internet, et la censure qui risque d’être aidée par Internet. Ce tiraillement entre deux tendances opposées se retrouve dans les polémiques autours du projet de loi sur la neutralité du net.

Les dangers sont là. La Liberté est là aussi, au moins dans notre pays. Pour l’instant. Cette liberté doit cependant être défendue. Des associations œuvrent en ce sens, bien souvent totalement ignorées des médias ; dans le domaine informatique, on peut notamment citer :

Beaucoup de ces associations ont pour origine une défense de la Liberté dans une vision très étroite, qui est celle du logiciel ou d’Internet. Au fil du temps, elles ont élargi leur champ d’action pour contrer les risques apportés par des lois, accords ou projets, de niveau américain, européen ou trans-atlantique. En effet, certains des ces projets ou lois représentent une menace pour nos liberté, non seulement en informatique, mais avec aussi des conséquences potentielles dans notre quotidien (voir les liens ci-dessus).

Pour finir, je voudrais mentionner la vénérable Commission nationale de l’informatique et des libertés (CNIL), qui est probablement moins indépendante et moins revendicatrice, mais qui malgré tout tente de nous protéger depuis de nombreuses années.

Ce qui me fait penser à un autre site, certes un peu hors-sujet mais que trop peu connaissent : Signal Spam, qui ne demande qu’à recevoir vos « pourriels » afin de mieux les combattre.

Agissez.

Mises à jour :

  • 2014-10-24 — Ajout d’un paragraphe dédié à Google ; je ne pouvais laisser passer l’article donné en lien sans rien faire…

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

La discussion continue ailleurs

URL de rétrolien : http://yalis.fr/cms/index.php/trackback/58

Fil des commentaires de ce billet