Compte rendu du premier «Privacy Camp Paris» - 30 mars 2012 Compte-rendu des ateliers

Transcription

1 Compte rendu du premier «Privacy Camp Paris» - 30 mars 2012 Compte-rendu des ateliers

2 Thèmes des ateliers 1. Anonymes ou pas? Les réseaux sociaux distribués ou décentralisés Questions autour des téléphones mobiles et de la vie privée ToutCaCaSertARien.com : toutes vos données à poil sur internet. Pourquoi il est impossible de contrôler ses données lorsqu elles sont sur internet (démonstration proposée et animée par Kitetoa (reflets.info) Modèles économiques gratuits vs. Vie privée Les outils de représentation des traces : cookies de navigation, lecteurs de cartes à puces (démonstration proposée et animée par Alain Pannetrat, ingénieur expert à la CNIL) Le concept de «web id» La e-notoriété et la e-réputation : comment gérer sa réputation en ligne? Les outils d anonymat (démo) Comment gérer plusieurs identités? Hacker la CNIL? Que faire ensuite ensemble?... 12

3 1. Anonymes ou pas? - L'anonymat pose la question de la confiance : il y a une différence entre publier soi-même et voir d autres publier sur soi. - Le «grand public» ne pense pas nécessairement que l'anonymat soit nécessaire («Si je n'ai rien à cacher je n'ai pas besoin d'être anonyme»). Or le droit à l'anonymat, c est le droit à avoir un jardin secret. - Il faut faire une distinction entre le simple pseudonymat, plutôt lié à la e-réputation ou à une protection simple de la vie privée et de la vie professionnelle et le véritable anonymat lié par exemple à la protection des sources et à la notion de secret (ne pas laisser de traces, ne pas être identifiable). - Finalement le pseudonymat est utilisé en premier lieu pour éviter de donner ses données personnelles à n'importe qui et pour contrer les formulaires de saisie trop intrusifs. - La liberté d expression peut être très fortement liée à la question du pseudonymat ou de l anonymat, même dans un pays démocratique : cela peut être un problème pour les agents de l'etat de communiquer et s exprimer sous leur vraie identité, ou pour un employé d avoir un avis critique sur son entreprise. - Mais l anonymat peut parfois être contre-productif : certains refusent d'être ou de dialoguer avec quelqu'un qui est anonyme. Le droit de prendre une autre identité est-il une liberté? A l image du concept de droit à l'oubli, ne devrait-il y avoir un droit au mensonge? - Derrière ce sujet, il y a la question des outils d anonymisation : Tor, I2P, VPN. Mais même si ceux-ci sont de plus en plus accessibles, ils ne sont pas encore facilement utilisés par le grand public. - Dans quelle mesure peut-on avoir confiance dans ces outils? Par exemple Thor aurait été cassé par des chercheurs il y a quelques mois. C'est une leçon, car chaque fois qu'on invente un outil pour protéger quelque chose, on trouve ensuite une voie pour «déprotéger», «désanonymiser». - L'outil le plus couramment utilisé reste le basique «mode de navigation privé» des navigateurs (par exemple de firefox) qui supprime tous les cookies et l'historique de navigation. Or ceci est loin d'être suffisant pour être réellement anonyme en ligne car nous laissons malgré tout de nombreuses traces sur les serveurs des sites que nous visitons. - Des exemples d outils et guides pour être anonyme en ligne : ou - Suites dans l atelier 9. «les outils d anonymat»

4 2. Les réseaux sociaux distribués ou décentralisés - Demandez-vous à quoi ressemblera Facebook dans 20 ans? 25 ans de vos données seront stockées dans Facebook! Est-ce que cela sera encore supportable? - Facebook pose le problème de la révocation des données: comment récupérer les data qui ont été envoyé par l'utilisateur? - Il est possible de revenir à une logique de pair à pair pour les services de réseaux sociaux. Diverses solutions sont explorées et avancées : diaspora, XMPP, FoA, Freedom Box, bootstrapper, Objectif : permettre aux personnes d'avoir le contrôle de leurs données publiées. - Cela demande de concevoir une excellente architecture : comment concevoir un service de réseau social décentralisé utile? o Veut-on un réseau social distribué où il est possible de joindre n'importe qui (= des personnes qu'on ne connait pas)? o Veut-on un réseau social distribué qui ne fonctionne que de proche en proche (théoriquement plus sûr du point de vue de la vie privée)? - Des efforts importants sont demandés aux utilisateurs, puisqu il faudrait par exemple que chaque utilisateur gère son propre serveur (préconfiguré par les FAI par exemple, d où leur importance dans de tels projets) - Comment résout-on le triangle de Zooko sur la question des noms 1? Selon cette conjecture, les noms / identités peuvent soit être lisibles (comme les noms de domaines) mais centralisés (DNS), soit décentralisés mais non lisible (des hashs) - Comment faire exister un réseau où il est possible d'avoir plusieurs identités (contextuelles)? Si possible avec les protections nécessaires pour qu'il ne soit pas possible de relier ces identités entre elles? - Liens avec la question du chiffrement (par exemple, CGA - Cryptographically Generated Addresses) 2 - Suites dans l atelier 7. sur «Web ID»

5 3. Questions autour des téléphones mobiles et de la vie privée - Le monde du mobile n est-il pas devenu un «far west» des données? Toutes les problématiques Web se reportent en pire sur les mobiles. - Il y a de plus en plus d outils permettant de «disséquer» les mobiles de manière plus ou moins brutale, avec d importantes différences selon les systèmes d exploitation et les configurations). Tout ce qui était dans la carte mère est récupérable sur un ordinateur, donc tout est lisible même si c'est un système fermé. Au final, un smartphone est juste un disque de stockage. De plus en plus d'outils permettent de le surveiller. Si le wifi et le bluetooth ne sont pas désactivés, c est encore plus simple. - Les données stockées sur le téléphone sont souvent très peu sécurisées (pas de code PIN, identifiants bancaires notés en clair dans un bloc-notes...). Or les failles techniques sont exploitables à distance et l'approche des développeurs reste une approche «pansement» : des correctifs partiels sont appliqués en réaction à l émergence publique d un problème. Leur crainte, c est la mauvaise publicité : en cas de risque d image, ils réagissent. - Aujourd'hui on peut envoyer des SMS «blancs» qui permettent de récupérer des informations sur l'utilisateur (géolocalisation notamment). Lorsqu'on envoie un mail, on peut diffuser l'identifiant unique de l appareil, l'opérateur téléphonique... - Les configurations par défaut sont très importantes car la majorité des utilisateurs ne changent jamais les réglages. Or, sur Android, les paramétrages initiaux ne sont pas sûrs - L'utilisateur a l'habitude des applications Web, qui n'accèdent pas à beaucoup de données. Mentalement, l'utilisateur ne se rend pas compte que les applications mobiles accèdent à beaucoup plus de données. - Le type de données transmises est-elle différent en fonction du type de connexion (3G et Wifi)? Par exemple pour la géolocalisation, l'iphone attend d'être connecté en Wifi, pour économiser la bande passante. - Nous sommes devenus des «homo radiens», qui irradient en permanence des informations. Le GSM est beaucoup plus verbeux que le wifi : avec l'opérateur, mais pas uniquement. Les trames radio sont envoyées en permanence, et si il n'y a pas d'attaques de masse aujourd hui, c'est parce que le matériel coûtait cher. Ce n'est plus le cas : du matériel basique qui valait 1500 euros il y a deux ans en coûte 30 aujourd'hui. Principale limite : il faut être à proximité de la personne (hors connexion à l'opérateur), ce qui limite les attaques en masse. - La forme d attaque la moins chère reste l'ingénierie sociale. - Des risques importants pourraient émerger avec l'arrivée des paiements sur smartphone.

6 4. ToutCaCaSertARien.com : toutes vos données à poil sur internet. Pourquoi il est impossible de contrôler ses données lorsqu elles sont sur internet (démonstration proposée et animée par Kitetoa (reflets.info) - Le réseau n'a pas été initialement conçu pour être un lieu sécurisé, en particulier pour les données personnelles, ni pour être un lieu sur lequel on fait du commerce. Il a fallu penser des «améliorations» sur un modèle qui n avait pas été conçu dans ce but : démonstration de failles de sécurité sur des sites permettant d accéder par un simple Dump SQL à des données confidentielles. - Il y a peu d'incitation pour les entreprises à sécuriser leurs services Web. Depuis longtemps, une entreprise qui venait déclarer une intrusion dans son système d informations avec un vol de données personnelles était passible d'une infraction pénale (pour le vol des données personnelles). - Depuis, est arrivée l'ordonnance du 24/8/2011 (transposition du droit européen) qui oblige les «services de communication au public» à déclarer à la CNIL une intrusion qui aurait pu donner lieu à un vol de données personnelles et crée une obligation d information aux personnes si le vol de données personnelles est avéré, sauf si les données sont «protégées» (c est-à-dire chiffrées, mais sans pour autant définir le niveau de chiffrement, qui peut être très faible). - Le souci est cette notion de «service de communication au public», dont l'interprétation varie suivant les acteurs. D'après la CNIL, ce sont les opérateurs de réseau / FAI, mais certains juristes considèrent que cela comprend aussi les opérateurs de sites Web publics. La jurisprudence devra trancher. - Lorsqu on dénonce une faille de sécurité d un service ou d un site, au mieux il n y a jamais de retour sur ce qui a été fait par les autorités, au pire on risque soi même une mise en cause. - Le premier problème, c'est surtout le défaut d'information : nécessité de démonstrations concrètes, par exemple pour «montrer ce qu'un téléphone «dit» sur nous». Pour faire prendre conscience du traçage on a besoin d'outils - mais au delà de la prise de conscience, il ne faut pas sensibiliser seulement aux risques mais dire comment on peut se protéger (éviter les messages anxiogènes et proposer des solutions). La CNIL montre comment on est pisté mais ne montre pas comment se protéger.

7 5. Modèles économiques gratuits vs. Vie privée - Le modèle économique dominant est la gratuité. Nécessairement, cela renvoi au ciblage publicitaire et à la monétisation des données - Pour les startups, le modèle économique du gratuit permet de lever des fonds plus facilement, car il implique un nombre énorme d'utilisateurs, qu'il sera possible de monétiser. - Autre modèle : le freemium c est-à-dire une partie gratuite et une partie payante (sans publicité ou plus complète avec d autres fonctions, capacité de stockage, etc.). Ex : Deezer, Spotify, - 75% des internautes se déclarent inquiets pour la vie privée sur Internet. Est-ce que pour autant 75% des gens accepteraient de payer pour les services internet? Probablement pas, pourtant par exemple pour une rentabilité équivalente Facebook ne couterait que 3 dollars par inscrit et par an. - Que se passe-t-il quand l entreprise disparait? - Tous les entrepreneurs ne sont pas égaux en terme de taille, de budget Pourquoi ne pas «adapter» la loi à la taille et aux moyens? - Question des moyens mis en œuvre pour protéger des données, et de la responsabilité associée : quel équilibre entre ce qui pèse sur l entreprise et sur les internautes lambda (par exemple la protection du wifi dans le cadre de la loi HADOPI)

8 6. Les outils de représentation des traces : cookies de navigation, lecteurs de cartes à puces (démonstration proposée et animée par Alain Pannetrat, ingénieur expert à la CNIL) - Question centrale : «comment représenter les traces?». Démonstration d un outil créé par le laboratoire de la CNIL pour visualiser les données récupérées par les cookies des sites web Seconde démonstration de lecture d une puce de carte bancaire. - Enjeu des outils : comment préserver l agrément de navigation de l utilisateur tout en s assurant que si un utilisateur fait une bêtise (par exemple bloquer un site qui ne le trace pas en réalité) il puisse revenir en arrière simplement? - Des outils apparaissent : collusion (Mozilla) 3, cardpeek 4, privoxy,. - Le problème qui se pose c'est de distinguer termes de visualisation et de blocage les trackers utiles de ceux qui sont inutiles. - Pour faire prendre conscience du traçage on a besoin d'outils de prise de conscience - Cependant, la visualisation c'est bien mais quand on y connait rien, que fait-on ensuite? - en matière d'évangélisation il ne faut pas sensibiliser aux risques mais à comment se protéger car l enjeu est de créer de la confiance. - Pour l'instant, ce sont des particuliers qui font les outils : la CNIL doit apprendre à travailler de manière collaborative avec des équipes pluridisciplinaires (designers, ergonomes, juristes, développeurs) sur des solutions et des outils

9 7. Le concept de «web id» - Web ID est un projet du W3C de création d un carnet d adresses distribué. - Problème des réseaux sociaux : ce sont des silos de données étanche ou presque. Mais c'est une question d'architecture (voir atelier 2.) - Facebook a des éléments qui sont intéressants et d'autres moins : système panoptique et centralisé, certes, mais la question de la confiance y est «crowdsourcée». - Le téléphone, l' dispose d'un identifiant unique global. Pareil avec les URLs et le web en général, ce dernier par un système complètement distribué. - On peut imaginer un réseau de serveurs distribués contenant des données personnelles. Sur chaque serveur on va mettre une page pour décrire, par exemple un réseau de relations (données type Friend-of-a-friend, standard du W3C). Mais comment protéger ce qu'on publie pour que les données ne soient pas accessibles à quiconque? C'est le problème que veut résoudre WebID. - Les serveurs qui utilisent WebID (par exemple MyProfile) utilisent de l'authentification par certificat côté client. Quand on veut se connecter, il demande quel certificat utiliser. Ces certificats côté clients ne sont pas signés par une autorité mais par le serveur associé à l'utilisateur. On utilise le protocole HTTPS pour authentifier les serveurs entre eux. La clé publique du certificat du serveur de Bob est extraite du certificat envoyé par Bob. Quand le serveur d'alice se connecte au serveur de Bob, ce dernier peut donc vérifier qu'il s'est connecté au bon serveur. Une fois l'authentification effectuée par le serveur d'alice, l'autorisation se fait, par exemple, en utilisant un système de confiance distribué. Typiquement : est-ce que ce certificat correspond à celui d'un(e) ami(e)? - Cependant, l'éclatement des données sur de multiples serveurs fait qu'en observant les connexions, il est possible d'extraire beaucoup plus d'informations qu'avec les systèmes centralisés.

10 8. La e-notoriété et la e-réputation : comment gérer sa réputation en ligne? - La réputation, c'est ce que les autres pensent de nous. - Favoriser l'usage des réseaux sociaux décentralisés permet de garder la main sur les informations que nous souhaitons partager. - Les outils de diffusion de notre réputation (réseaux sociaux, moteurs de recherches) fonctionnent sur la base d'algorithme. Comprendre d'une manière globale leur fonctionnement permet d'anticiper l'évolution de notre réputation et de faciliter sa gestion. - Il faut se poser davantage de questions sur comment votre image sur le web est vue par les autres internautes. 9. Les outils d anonymat (démo) - La question des outils d anonymat est primordiale (voir atelier 1.) - Démonstration de l'utilisation de TOR. Cela entraine un trafic très particulier et peut nous faire remarquer : c'est la masse critique d'utilisateurs connectés simultanément qui permet l'anonymisation. - Quand on utilise TOR, il faut aussi utiliser HTTPS (SSL/ TLS). Explication par l'eff sur - Démonstration de TAILS 5 : live OS avec TOR intégré qui empêche l accès au disque dur sauf autorisation expresse. Evite de faire fuiter des données sans s'en rendre compte. - Démonstration d outils permettant d'anonymiser les métadonnées : Metadata Anonymisation Toolkit 6. - Il y a un compromis à trouver, différent pour chacun, entre confort de l expérience utilisateur et vie privée : TOR est lent mais indispensable pour un dissident d'un pays autoritaire qui joue avec sa vie. Il est par contre inutilisable au quotidien pour qui veut se connecter sur Facebook sans être vu par son patron

11 10. Comment gérer plusieurs identités? - Pourquoi créer plusieurs identités? La création de plusieurs identités en ligne différentes peut répondre à des objectifs de : o Protection personnelle : éviter ou réduire l'impact de la surveillance, se prémunir de dangers physiques hors ligne ; o Protection d'informations : conserver des secrets, préserver son intimité ; o Contrôle de son image : réputation, personal branding. - Pour qui utilise-t-on différentes identités? Pas pour cacher à sa machine qu'on est une seule personne, mais pour agir et interagir différemment avec des personnes différentes, dans des contextes variés : la segmentation de l'identité répond à une volonté de s'adapter aux différents contextes. Il s'agit d'une pratique qui n'est pas spécifique aux usages en ligne : dans nos comportements courants, on s'adapte et on montre différents visages. La différence est que sur le réseau, cela laisse des traces. - On peut opérer par segmentation de son identité «réelle» en plusieurs identités «virtuelles», chacune correspondant à un aspect de sa vie en ou hors ligne. Différentes identités permettent une expression plus libre, dans la mesure où ce que font les différentes identités n'est pas rattaché à un individu unique. Il n'y a pas à assumer toutes les facettes de sa personne en même temps (et face à tout le monde à la fois). - Si la création de plusieurs identités répond à une volonté de protection, elle doit s'accompagner d'une multiplication des canaux de contact de l'identité : deux pseudos ne doivent pas conduire à une même adresse mail, et chaque couple pseudo / adresse mail devrait correspondre à un mot de passe unique. - Gérer une pluralité d'identité conduit à multiplier les outils techniques permettant cette gestion (client de messagerie, gestion de base de données de mots de passe). - La gestion de différentes identités conduit à complexifier la gestion des données en ligne pour la personne. Cela peut conduire à un paradoxe : plus on segmente son identité, plus sa gestion devient complexe ; plus la gestion est complexe, plus le risque de faille augmente, et moins la multiplication des identités devient efficace. - Au départ, la segmentation des identités semble un moyen peu technique d'assurer la vie privée et de la liberté. À l'arrivée, la diversité des identités semble inefficace si l'on ne l'appuie pas aussi sur des moyens techniques. Mais si on a les moyens techniques de se protéger, peut-être n'a-t-on plus besoin de passer par la segmentation... - In fine, utiliser différentes identités apparaît comme un moyen très faible de protéger sa vie privée efficacement : o o D'une part, il existe des limites techniques à ce type de protection. Multiplier les identités virtuelles ne sert pas beaucoup si l'on ne sait pas masquer qu'elles proviennent d'une même machine, ou d'une même connexion. Bref, sauf à être techniquement compétent, la machine physique trahit très facilement la supercherie. D'autre part, la probabilité d'une erreur humaine rend ce moyen peu sûr. On peut aisément trahir le fait qu'on soit une même personne derrière différents pseudos : par inadvertance, par une façon d'écrire similaire et identifiable, par des contacts communs aux deux identités, etc. - Plus problématique, les personnes qui connaissent notre «double» identité peuvent révéler elles aussi qui nous sommes. Même en étant bien intentionné, on peut lier deux identités numériques à une seule personne, et annihiler son travail de segmentation.

12 11. Hacker la CNIL? Que faire ensuite ensemble? - Faible connaissance des actions de la CNIL suite à des plaintes ou des signalements, peu de connaissance des sanctions ou des actions menées pour faire cesser des problèmes - Vraie attente d une plus grande ouverture et de plus de moments d échanges et d interfaces : la CNIL doit apprendre à travailler de manière collaborative - la CNIL montre comment on est pisté mais ne montre jamais comment se protéger - Il faut trouver comment donner envie aux individus de faire attention à leurs données personnelles sans tomber dans des explications techniques et complexes.. - Créer une chaîne de confiance, et non pas seulement un site ou un outil de confiance : en fournissant des assistants, des briques d outils «packagés» qui protègent la vie privée par défaut, des modes différents de navigation,... - Quels outils pourrions-nous imaginer? o Guide sur les outils, par exemple sur les add-ons Firefox existants o Un site, pas seulement animé ou alimenté par la CNIL, mais qui recense les best practices et liste les outils par exemple en mode «bac à sable», pour permettre des tests et des évaluations o Créer une version téléchargeable d un navigateur sécurisé, par exemple en mode portable app (cf Tor Bundle?). Mais pourquoi se limiter au navigateur? C est tout un CNIL OS qu il faudrait! - Réaliser des vidéos ou des data visualisation, par exemple à destination des enfants à l'école. - Eviter les messages anxiogènes. - Partir des témoignages utilisateurs. - Mettre en avant des initiatives collectives, la CNIL n étant qu un des partenaires parmi d'autres...