Les Secrets de Saint Pierre

Cookies, le bras de fer s’intensifie entre Bruxelles et l’industrie du Net

Les Echos du 23 juin 2017

Derek Perrotte

Sous pression du grand public et d’ONG, la Commission européenne veut redonner corps au « consentement préalable obligatoire » de l’utilisateur, instauré en 2009 mais peu efficace. - Shutterstock

Le Parlement pousse au blocage par défaut des cookies au nom du respect de la « e privacy ». L’industrie est vent debout contre une réforme qui bouleverserait son écosystème.

L'industrie numérique sera-t-elle bientôt privée des cookies dont elle raffole tant ? L'inquiétude monte au fur et à mesure que le projet de révision de la directive « e-privacy »? sur la collecte et l'exploitation des données personnelles, suit son chemin à Bruxelles. Sous pression du grand public et d'ONG, la Commission européenne veut redonner corps au « consentement préalable obligatoire » de l'utilisateur, instauré en 2009 mais peu efficace.

« Les internautes acceptent par réflexe et sans informations claires, d'autant que des sites sont inaccessibles en cas de refus », y estime-t-on. Son projet, présenté en janvier, durcit le ton en plaçant les navigateurs au centre du jeu : il leur impose de proposer dès leur installation le blocage automatique (et non plus site par site à chaque connexion) des cookies ne servant pas au fonctionnement direct des sites mais à collecter des données, pour le site ou pour des tiers (publicité, marketing, etc.).

Libre à l'internaute d'ensuite les réactiver ou désactiver à sa guise. De quoi faire bondir l'industrie du web, vent debout contre une réforme qui ébranlerait son écosystème. Fin mars, notamment, des éditeurs de presse de tous pays, dont « Les Echos », sont montés au créneau .

Le rapport a été assez bien accueilli par les libéraux (ALDE)

Ses lobbys espèrent inverser la tendance au Parlement européen. Mais mercredi dernier, les conclusions présentées par la rapporteur du texte, la socialiste Estonienne Marju Lauristin, leur a donné des sueurs froides. Elle salue le projet et pousse même les curseurs plus loin, en préconisant un blocage « par défaut » des cookies sur tous les navigateurs (seul Safari le fait aujourd'hui) et en interdisant de bloquer l'accès à un site en cas de refus des cookies.

« Les dispositifs d'opt-out actuels sont trop difficiles à comprendre pour la plupart des utilisateurs », justifie-t-elle. Reprenant l'argumentaire de l'industrie, le conservateur britannique Daniel Dalton (ECR) dénonce une « approche absurde et ridicule, qui va pousser des sites gratuits à devenir payants alors que l' on peut déjà effacer les cookies ! ».

Mais le rapport a été assez bien accueilli par les autres groupes, dont les libéraux (ALDE). « Ca va tuer Internet », on l'entend depuis des années ! Nous sommes là pour protéger les citoyens et leur droit à la confidentialité. Aux entreprises d'innover pour s'adapter », y explique la néerlandaise Sophia in't Velde.

Tous les cookies tiers ne sont pas nécessairement nuisibles

Ces avis, émis en commission, ne présagent pas forcément du vote final en plénière, cet automne. La position du PEE (droite), premier parti du Parlement, sera cruciale. Deux lignes s'y opposent encore : les uns rejettent en bloc un texte jugé précipité et trop néfaste à la Web économie, les autres estiment que la copie va dans le bon sens mais doit être rééquilibrée, notamment en ciblant mieux les cookies concernés.

«Tous les cookies tiers ne sont pas nécessairement nuisibles. Il faut protéger la vie privée mais attention à ne pas non plus pénaliser l'innovation », y insiste le Polonais Michal Boni. Cette recherche d'équilibre sera au coeur des débats ces prochains mois. L'industrie pourra aussi, au Conseil, s'appuyer sur les Etats, soucieux de ne pas mettre de trop gros bâtons dans les roues d'une industrie qui tire la croissance.

La Commission laisse aussi des portes ouvertes. « On ne veut pas empêcher la publicité ciblée, juste faire respecter le consentement préalable. Si l'industrie a des solutions plus « business friendly », qu'elle les propose », y confie un proche du dossier. L'éxécutif européen rappelle aussi que le projet prévoit la possibilité de réactiver site par site les cookies ou d'établir une « liste blanche » de sites où l'utilisateur les autoriserait de manière permanente.

Derek Perrotte En savoir plus sur https://www.lesechos.fr/tech-medias/hightech/030405789957-cookies-le-bras-de-fer-sintensifie-entre-bruxelles-et-lindustrie-du-net-2097043.php#w1bY8Ms473JsRyz6.99

L'Homme nu, de Marc Dugain et Christophe Labbé, analyse d'un nouvel impérialisme

Mediapart du 20 mai 2016,

par Frederic L'Helgoualch Blog : Deci-Delà

"Car la philosophie libertarienne (chacun pour soi, abolition des états, des impôts, création d'une élite entrepreneuriale) portée par les Bill Gates, Mark Zuckerberg, le défunt Steve Jobs et autres souriants grands patrons 2.0 (ah, le joli story-telling, la success-story bien ficelée...) s'accommode très mal de ce vieux bidule que l'on nomme démocratie."

         Imaginez un monde où, sous couvert de santé publique et de gestion des dépenses, chacun se verrait équipé d'instruments de mesure de son poids, de ses efforts physiques quotidiens, du nombre de calories avalées matin midi et soir, ces données étant directement envoyées aux assureurs. Le montant de vos cotisations serait calculé selon vos 'efforts'.

Bonus : vous avez été obéissant, vous aurez votre remise tel un nonos. Malus : vous êtes un feignant pathologique, potentiellement coûteux, vous allez banquer.

Un monde où chaque mail, texto, note numérique, message privé via les réseaux seraient expédiés dès leur écriture au-delà des frontières nationales, étudiés, archivés, par des inconnus sans visage ni légitimité.

Un monde où les élections présidentielles se joueraient in fine entre les algorithmes choisis par les candidats pour influencer les indécis.

Un monde où votre web cam pourrait s'allumer discrètement et à distance, où votre PC pourrait être visité à volonté par des services étrangers, et ce sans mandat bien entendu.

Un monde où la lecture de votre ebook serait décortiquée de loin (quelles pages avez-vous sauté ? Sur lesquelles vous êtes-vous attardé ?)

Un monde où la vie privée serait annihilée.

Ce monde monstrueux existe et, nous y vivons.

Marc Dugain (auteur entre autres du remarquable 'La Malédiction d'Edgar', qui interrogeait déjà la réalité de la démocratie américaine à travers le parcours d'Edgar Hoover) et Christophe Labbé (journaliste d'investigation au Point) relient ce que nous devinions vaguement, dans leur ouvrage 'L'Homme Nu', chez Robert Laffont.

Ils nous parlent d'une dictature invisible, celle du numérique. Américaine de fait.

Intrusive, globale, cynique, dissimulée derrière des smileys abêtissants, des icônes infantilisantes, des prétentions louches à nous 'simplifier la vie'.

Balayons de suite le scepticisme de certains : nul discours anti-modernité ici. Les auteurs ne sont pas des réactionnaires ronchons et sont les premiers à reconnaître la formidable révolution qu'a été la naissance du web. Ce qui ne les empêche pas de s'interroger sur ses dérives (inscrites dès le début dans les gènes de cette invention militaire).

Factuellement, ils reprennent l'histoire du 2.0, racontent la montée irréversible des géants Gafa (Google, Apple, Facebook, Amazon), les nouveaux rois du monde, toujours plus gourmands de data-données (nos goûts, nos choix, nos clics, nos humeurs, nos positions physiques à tout moment). Rappellent au passage la célèbre maxime qui meut les réseaux sociaux :

       "lorsque c'est gratuit, c'est que vous êtes le produit."

Un exemple parmi cent : Facebook, numéro deux mondial de la pub en ligne, Facebook et ses 1,4 milliards d'utilisateurs (20 millions en France), Facebook, ses 'amis', ses cœurs et ses identifications sympathiques (tout est sympa sur FB) à qui nous avons cédé l'accès à notre intimité, nos listes, nos pensées, nos photos, en signant 'j'accepte ces conditions d'utilisation', vient de se doter d'un outil de tracking acheté à Microsoft, encore plus efficace que les cookies mouchards.

Appelé Atlas, il permet de pister chaque membre du réseau social.

De le baguer, repérer, pister même lorsqu'il n'est pas sur FB. À la trace, la firme de Mark Zuckerberg suit donc près d'1,4 milliards d'humains n'importe où sur la toile.

Pour ce qui est de la liberté individuelle, on repassera.

"Depuis 2010, l'humanité produit autant d'informations en deux jours qu'elle ne l'a fait depuis l'invention de l'écriture il y 5300 ans. 98% de ces informations sont aujourd'hui consignées sous forme numérique. Apple, Microsoft, Google ou Facebook détiennent 80% de ces informations personnelles de l'humanité." Le secteur du data (traitement de cette masse de données intimes pour mieux cibler les consommateurs) : un véritable gisement d'une croissance de 40% l'an et dont le chiffre d'affaires atteindra 24 milliards de dollars en 2016.

Certains de soupirer, haussement d'épaules en prime : " Oui, bon. Business is business. " Ah, le relativisme appliqué aux valeurs fondamentales... On s'habitue à tout, n'est-ce pas ?

Peut-être sursauteront-ils davantage en découvrant la porosité, voire l'alliance complète, entre ces Gafa et les services secrets américains.

La donne change : d'un ultra-libéralisme insatiable on passe à un problème politique majeur. Et ce, à l'échelle mondiale.

Car c'est bien d'une nouvelle forme d'impérialisme dont nous parlent les auteurs. Consentie, sans bain de sang ni coup de force. Mais, sans limite non plus.

Le 11 septembre 2001 a été le déclic qui a rapproché les entités privées et publiques. "La lutte contre le mal" a été le slogan. La surveillance mondiale, les moyens." Quelle que soit l'origine ou la destination d'une information (un mail par exemple), ses fibres transitent à un moment ou à un autre par les États-Unis." Open-bar, pourrait-on dire, pour la NSA.

Les révélations d'Edward Snowden, sur cette écoute généralisée par les USA de ses 'amis' (en politique, il n'y a pas d'amis. Au mieux des alliés, au pire des ennemis) n'ont rien stoppé au 'jeu'. À peine retardé la décision officielle de Bruxelles (le Safe Harbor, alors) d'autoriser les big data à transférer les données personnelles des internautes européens outre-Atlantique. Officieusement, de toute façon...

D'éminents spécialistes de pointer du doigt l'importance des moyens humains plutôt que technologiques pour pister les terroristes ? La ligne "pour trouver une aiguille dans une meule de foin, mieux vaut contrôler toute la meule" a prévalu. À nouveau ici en France, avec la loi Renseignement.

L'hégémonisme, tentation irrésistible...

Impossible de résumer le livre ici en quelques lignes, il est trop dense. Mais les sujets, si nombreux (Twitter et son encouragement à simplifier le monde, notre mode de pensée, en 140 caractères; la naïve croyance de beaucoup dans la neutralité de Google; les rêves de faire entrer le numérique à l'école dès le plus jeune âge, les impôts quasi nuls payés par ces world companies, etc) sont habillement mis en perspective pour en montrer la logique commune. Terrifiante.

Car la philosophie libertarienne (chacun pour soi, abolition des états, des impôts, création d'une élite entrepreneuriale) portée par les Bill Gates, Mark Zuckerberg, le défunt Steve Jobs (qui, pas fou, conscient des dégâts sur l'attention, interdisait le numérique à ses jeunes enfants) et autres souriants grands patrons 2.0 (ah, le joli story-telling, la success-story bien ficelée...) s'accommode très mal de ce vieux bidule que l'on nomme démocratie.

Dès lors que l'aigle américain, ses services (pour l'hégémonie du renseignement) et les big data (dans le but avoué de transformer les citoyens en consommateurs dociles) se sont alliés - les auteurs de se moquer de la 'résistance' médiatique d'Apple à débloquer les téléphones des terroristes de San Bernardino... - pendant que nous continuons de tweeter, poster nos selfies (même les caméras de rue intelligentes pourront sous peu nous identifier individuellement de dos) et liker frénétiquement puisque rien ne semble plus réel s'il n'est pas numérisé, nos politiques auraient dû le voir et réagir. Au lieu de cela, complètement déconnectés, inconscients du nouvel ordre mondial, silencieux, totalitaire, qui s'est imposé depuis les années 2000, ils observent leur ancien pouvoir se faire deleted.

Ils se débattent tels des canards sans tête dans leur théâtre d'ombres, désormais loin, bien loin, des vraies manettes.

Et, nous, idiots utiles, bienheureux égocentriques, de nourrir toujours plus les monstres virtuels, gourmands et étrangers qui entendent nous remodeler sur notre fauteuil, nous formater, nous asservir. Nous menacer de révélations publiques compromettantes (puisqu'ils ont le matériau, forcément), si nécessaire ?

Il est trop tard ? Se retirer des réseaux sociaux est le meilleur moyen de déclencher la lumière rouge au-dessus de votre nom (vous devenez suspect, 'anormal') ? Pour sortir de la caverne platonicienne, un livre à la main, il ne l'est jamais.

Un livre qui fait passer le '1984´ de George Orwell pour un tendre conte pour enfants. Un ouvrage à lire. Absolument indispensable.  

-'L'Homme Nu - la dictature invisible du numérique', par Marc Dugain et Christophe Labbé (Plon-Robert Laffont).      

 

Equifax, un piratage qui donne des sueurs froides

Les Echos du 30 novembre 2017

Bertrand Venard / Professeur à Audencia Business School (France)

 

Presque la moitié de la population américaine a vu ses données personnelles piratées en 2017. Comment expliquer une catastrophe d’une telle ampleur ?

Les risques cyber sont d’autant plus importants que les organisations et les individus sont de plus en plus dépendants des systèmes d’information et de l’économie digitale. Agence américaine de crédit, Equifax en est un exemple flagrant car sa vocation première est de produire et gérer des données personnelles de consommateurs sollicitant un crédit. Victime d’un piratage pendant 2 mois et demi, Equifax a laissé partir dans la nature des données hautement confidentielles comme les noms, numéros de sécurité sociale, dates de naissance, numéros de permis de conduire de ses clients. Bilan : 145,5 millions d’individus ont été touchés !

Au-delà de ce contexte de dépendance à l’information et aux systèmes techniques, les raisons qui expliquent le piratage à grande échelle d’Equifax illustrent la vulnérabilité grandissante aux cyber risques.

Une vulnérabilité technique

Ainsi, une raison de ce fiasco est d’ordre technique. En effet, le 6 mars 2017, une faille importante était révélée au grand public par une agence américaine de sécurité, le CERT (Computer Emergency Readiness Team). La faille affectait le « framework » Apache Struts (et son plugin de communication REST) et permettait l’exécution de code distant sur les serveurs d’application. Ainsi, un hacker pouvait exécuter une commande malveillante sur un serveur en utilisant une application construite sous Struts.

Une autre explication est la facilité opératoire, un pirate pouvant opérer sans utiliser un outil particulier, mais simplement par une requête HTTP. De plus, en alertant le public sur la faille, les autorités américaines ont aussi informé des hackers potentiels, pouvant alors exploiter cette vulnérabilité. Dès mars 2017, on trouvait très facilement sur internet les explications permettant d’utiliser la faille de Struts.

Une raison supplémentaire est liée à la diffusion étendue de l’outil vulnérable. En effet, l’ampleur des dommages provenait de la large utilisation d’Apache Struts, notamment dans des grandes entreprises, en particulier de secteurs stratégiques comme Lockheed Martin ou Citigroup. La diffusion de ce « framework » est d’autant plus importante qu’il est ancien (première version disponible en 2000), aisément partagé par une communauté d’utilisateurs favorisant des logiciels libres, très utile pour concevoir des applications Web et par suite impliquant une large exposition au risque sur internet.

Une quatrième explication provient de la gamme d’actions disponibles pour le pirate cherchant à exploiter la faille. Un attaquant d’un système vulnérable pouvait prendre le contrôle d’un serveur et désactiver les protections mises en place. Les dommages pouvaient alors être la destruction d’information, le vol d’information, voir même la prise de contrôle total du système.

Une faille humaine

Enfin, la catastrophe Equifax a été augmentée par une faille humaine. Suite à l’alerte du CERT le 6 mars 2017, une note interne d’Equifax du 9 mars avait demandé la mise à jour du framework. Mais, avec une mauvaise circulation de l’information, de la négligence et de l’incompétence humaine, la faille ne fut pas réparée. Cette erreur humaine est d’autant plus impardonnable qu’Equifax avait été déjà touchée en 2016 et début 2017. Bien informés, les hackers purent de manière furtive « se balader » dans le système d’Equifax et tranquillement siphonner les bases de données d’Equifax entre le 13 mai et le 30 juillet 2017, date de la découverte du piratage.

Depuis, ces révélations, des mesures en cascade ont été prises, la démission du Président d’Equifax, des licenciements sur fond d’enquêtes et des plaintes sans que les responsabilités soient clairement établies. Mais comme toujours dans ce type d’affaire, on ne saura jamais totalement l’ampleur des dégâts dans le monde, de quoi faire monter d’un cran nos angoisses face aux cyber risques !

En savoir plus sur https://www.lesechos.fr/idees-debats/cercle/cercle-176646-equifax-un-piratage-qui-donne-des-sueurs-froides-2134558.php#f7pj9hc0vKSrmM1P.99

 

La croissance du jouet connecté à l'épreuve des polémiques sur la sécurité

Les Echos du 4 décembre 2017

Florian Dèbes

 

La Cnil met en demeure le fabricant des poupées Cayla pour « atteinte grave à la vie privée ». En plein boom, le secteur est surveillé dans plusieurs pays.

Cayla se présente comme une poupée à qui les enfants peuvent parler comme à une amie. Sauf qu'elle ne leur dit pas tout et peut même les mettre en danger, à en croire la Commission nationale informatique et liberté (Cnil). Le gendarme qui protège la vie privée des internautes français a rendu public, lundi, la mise en demeure qu'elle adresse à Genesis Industries Limited. Cette société fabrique ce jouet connecté à une application mobile et conçu pour répondre à toutes les questions des enfants.

La Cnil reproche à l'entreprise basée à Hong-Kong une « atteinte grave à la vie privée en raison d'un défaut de sécurité » sur la poupée Cayla et sur le robot I-Que. Ses enquêteurs ont constaté qu'une personne située à neuf mètres d'un de ces jouets pouvait entrer en conversation avec l'enfant rien qu'en se connectant au Bluetooth de l'appareil - y compris si elle se trouve à l'extérieur du bâtiment où se trouve l'enfant. La Cnil reproche aussi à la société de ne pas avoir informé les parents des traitements de données personnelles mis en oeuvre.

Le fabricant de ces jouets connectés a maintenant deux mois pour se conformer à la loi Informatique et Liberté, sous peine d'être sanctionné par une amende. Egalement saisie de l'affaire, la DGCCRF n'a pas encore rendu ses conclusions.

Interdiction en Allemagne

Au même titre que les droïdes issus de l'univers Star Wars ou les peluches Furby Connect, les jouets Cayla et I-Que étaient pressentis pour faire partie de la hotte du Père Noël à la fin du mois. Très dynamique , le secteur du jouet connecté pourrait voir ses revenus tripler en 5 ans, à 15,5 milliards de dollars en 2022. Il doit pourtant faire face à d'autres polémiques.

 

En Allemagne, le régulateur des réseaux télécoms a interdit la vente de montres connectées pour enfants. Equipés d'une carte SIM, d'un micro, voire d'une caméra, les modèles mis en cause sont perçus outre-Rhin comme des « dispositifs d'écoute non-autorisés » au service des parents certes, mais potentiellement détournables par des individus moins bien attentionnés. Aux Etats-Unis, Mattel a abandonné son projet d'enceinte connectée pour enfants, sous la pression de l'opinion publique.

Contrôler l'activité connectée des enfants

Pour autant, d'autres fabricants cherchent à rassurer. « Les enfants sont plus vulnérables, leurs parents ont besoin de contrôler leurs activités connectées car ils ne veulent pas qu'ils soient exposés aux discours du marketing ciblé », comprend Jeanne Chaumais, la cofondatrice de C-Way. A la tête de sa start-up, elle lance en France un assistant personnel pour enfants. Contrairement aux modèles adultes de Google ou Amazon, le Memoo garde son micro fermé tant que l'enfant ne l'a pas activé et n'enregistre rien.

Mise en cause par des consommateurs britanniques, la marque Hasbro répond que ses jouets et applications ne collectent pas le nom de l'utilisateur et n'ont pas besoin d'enregistrer le son pour fonctionner.

Même discours chez Anki, une start-up américaine qui produit Cozmo. Ce robot « intelligent » apprend à jouer avec l'enfant et à le reconnaître grâce à une caméra. « Les données ne sont partagées qu'entre Cozmo et le smartphone des parents », certifie Boris Sofman, le patron. Enfin, d'autres entrepreneurs, à l'image de Bescent et ses réveille-matin olfactifs Sensorwake aux couleurs des héros de Disney, préfèrent se concentrer sur des jouets high-tech mais... non connectés.

Florian Dèbes

 

En savoir plus sur https://www.lesechos.fr/tech-medias/hightech/030977668823-la-croissance-du-jouet-connecte-a-lepreuve-des-polemiques-sur-la-securite-2135544.php#dQE13FU6XTuQ3ttt.99

 

Le RGPD, l'autre règlement européen de protection des données personnelles

Les Echos du 6 décembre 2017

Florian Debes

 

Isabelle Falque-Pierrotin, présidente de la Cnil./ AFP PHOTO/ERIC PIERMONT - AFP

Les demandes de révisions au « Privacy Shield » sont réclamées par les Cnil européennes avant le jour d'entrée en application du RGPD, le règlement européen sur la protection des données.

Contrairement à la commission européenne, le G29 a ouvert son calendrier. Ce groupe des Cnil européennes a fixé au 25 mai 2018 la date limite avant laquelle il attend que les autorités américaines règlent certains des problèmes soulevés par sa première revue annuelle de l'accord « Privacy Shield » sur le transfert des données personnelles des Européens vers les Etats-Unis.

La date n'est évidemment pas choisie au hasard. Elle correspond également à l'entrée en application du règlement européen sur la protection des données personnelles (RGPD). Ce texte accroît entre autres le pouvoir de sanction des Cnil européennes : elles pourront porter devant les tribunaux un litige avec une entreprise. Dans certains cas, l'amende infligée à un contrevenant pourrait être égale à 4 % de son chiffre d'affaires.

« Droit à l'oubli », étude d'impact... de multiples contraintes

Adopté par le Parlement européen en avril 2016 après des années de discussion à Bruxelles, le RGDP s'imposera à toutes les entreprises qui collectent, classent ou analysent des données relatives à un consommateur ou un salarié européen. Il en appelle à la responsabilité des organisations quant au respect du droit à la vie privée. Mais pour mieux s'assurer de leur bonne volonté, les nouvelles règles posent de multiples contraintes.

Avant de traiter des données à risque, les entreprises devront accompagner leur déclaration auprès de la Cnil d'une étude d'impact en matière de protection de la vie privée. Pour garantir le nouveau « droit à l'oubli », elles doivent reconfigurer leurs systèmes informatiques afin de pouvoir effacer des données sans créer de bugs. Un donneur d'ordre devra s'assurer que son sous-traitant a les moyens de respecter le règlement sous peine d'être responsable de ses fautes. Liste non-exhaustive...

Une articulation entre RGPD et « Privacy Shield »

Evidemment, tout cela a un coût. Les études de Sia Partners ou Wavestone s'accordent sur une fourchette moyenne comprise entre 30 et 50 millions d'euros pour une entreprise du CAC 40. Mais dans certains secteurs riches en données, comme la banque et l'assurance, les frais s'envolent. A moins de six mois de l'échéance, un sondage mené par la société Varonis auprès de 500 informaticiens indique que seule la moitié des entreprises a dépassé la mi-parcours sur le chemin vers la conformité.

Même quand les données sont transférées hors Union Européenne, elles sont couvertes par le RGPD. Tout comme la précédente et moins contraignante directive européenne sur le sujet, le règlement prévoit de s'appuyer sur des accords bilatéraux, comme le « Privacy Shield », afin de garantir une protection « adéquate » de ces données exportées.

Les critiques des Cnil européennes ne remettent pas en cause la légalité du dispositif. La Cnil française rappelle d'ailleurs que « les transferts de données effectuées dans le cadre du bouclier de confidentialité (Privacy Shield) restent valides. » L'an prochain, l'évaluation du dispositif mis en place avec les Etats-Unis se fera à l'aune du RGDP.

En savoir plus sur https://www.lesechos.fr/tech-medias/hightech/030990448556-le-rgpd-lautre-reglement-europeen-de-protection-des-donnees-personnelles-2136300.php#LlYxpmhcBx3r0FhT.99