Protection des données et Vie privée

Protection des données et Vie privée Esma Aïmeur Université de Montréal Département d informatique d et de recherche opérationnelle Montréal, Canada Email : aimeur@iro.umontreal.ca http://www.iro.umontreal.ca/~aimeur Plan Vie privée, données personnelles Collecte des données (moteur de recherche, etc.) Identité numérique (e-réputation) Menaces de violation de vie privée (Réseaux sociaux, Commerce électronique, santé Environnements mobiles, Gouvernance électronique) Législation Hygiène numérique (bonnes pratiques) Conclusion 1

Sensibilisation à la sécurité de l information L aspect humain : maillon faible Conséquences néfastes : Le non-respect et l ignorance des consignes de sécurité peuvent engendrer des conséquences sérieuses (impact aux volets éthique, juridique et financier). Pour assurer la sécurité des actifs informationnels : Un comportement adéquat des utilisateurs s avère indispensable. D où l importance de la sensibilisation à la sécurité de l information! Vie privée Le droit d une personne de contrôler l accès à sa personne et aux renseignement qui la concerne. Le droit à la vie privée signifie que la personne décide des renseignements qui sont divulgués et à qui et à quelles fins. 2

Acteurs dans le domaine Black Hat Criminels Électrons libres (indonésien a créé un virus pour le plaisir) Script kiddies (des enfants utilisent des applications/outils pour faire des dommages) Gray Hat (organisme mandaté)/white Hat (employé) Consultants en sécurité Auditeurs (Penetration-Testers) Universités Entreprises Gouvernements 5 Les génies du piratage informatique On les appelle les hackers. Ces génies du piratage informatique sont des programmeurs astucieux et bidouilleurs passionnés. Certains mettent leurs talents au profit de l'amélioration des logiciels. D'autres s'en servent à des fins d'escroquerie. Les plus célèbres ont réussi àdéjouer les systèmesde protection du Pentagone. 3

Finalité des Hackers Plaisir, curiosité ou gloire Appât du gain Sentiment d impunité «derrière son PC» Usurpation d identité Création d identité synthétique Vengeance (chantage, diffamation, jalousie etc.) Atteinte à la réputation d un individu ou d un organisme Vol de secrets industriels Le paradis de l internet Absence de législation Absence de comportement sécuritaire Méconnaissance des méandres d Internet Forte fréquentation des sites (forums, réseaux sociaux et de clavardage), principaux vecteurs de transmissions de virus et de chevaux de Troies. 4

Renseignements personnels Les «renseignements personnels» sont des «renseignements sur une personne identifiable» ou des «renseignements relatifs à une personne physique et qui permettent l'identification de cette personne». Définition de renseignement personnel Québec: Art. 2 LPRPSP «Tout renseignement qui concerne une personne physique et permet de l'identifier.» Canada: Art. 2 LPRPDE «Tout renseignement concernant un individu identifiable, à l exclusion du nom et du titre d un employé d une organisation et des adresse et numéro de téléphone de son lieu de travail.» Europe: Article 2 (a) de la Directive 95/46/CE «Toute information concernant une personne physique identifiée ou identifiable (personne concernée) ( ).» 5

Données personnelles Informations d identification (nom, prénom, âge, taille, sexe, adresse, numéro de téléphone, nom de jeune fille de la mère, numéro d assurance sociale (NAS), numéro d identification personnel (NIP), revenu, emploi, situation familiale, lieux de résidence, code utilisateur, pseudonyme, etc.),informations biométriques (groupe sanguin, code génétique, empreintes digitales) Habitudes de consommation (magasins fréquentés, type d alimentation, relevés de compte, actifs, obligations, etc.) Habitudes de navigation (sites web visités, fréquences des visites, nom des forums, amis sur le net, etc.) Habitudes de vie (loisirs, relations, moyens de déplacement, périodes de congés, etc.) Données sensibles concernant la carrière, l employeur, le dossier médical, ou encore le casier judiciaire! Nouvelles données Adresse IP Données collectées par des logiciels (cookies, etc.) Données de géolocalisation Puce RFID (Radio Frequency Identification) 6

Utilisation de vos renseignements personnels par le hacker Faire une demande de carte de crédit à votre nom ou tout simplement faire rediriger votre compte existant à son adresse Utiliser votre nom pour ouvrir un compte de téléphone fixe ou mobile ou d'autres commodités Faire une demande de prêt en votre nom ou ouvrir un nouveau compte bancaire et obtenir des chèques Obtenir un document officiel du gouvernement avec votre nom mais avec sa photo Vendre vos informations personnelles à un concurrent Utilisation de vos renseignements personnels par le hacker (suite) Utiliser votre nom et NAS (Numéro d Assurance Sociale) pour obtenir des avantages sociaux du gouvernement Remplir un rapport d'impôt frauduleux avec vos renseignements Obtenir un emploi ou louer un appartement Falsifier vos données (scolaires, médicales, judiciaires ) Ternir votre réputation par des propos diffamatoires Donner vos renseignements en cas de délit afin que ce soit vous qui soyez poursuivi lorsqu'il ne se présentera pas en cour 7

Type d information personnelle véhiculées sur internet 15 Dons à Haïti : attention aux fraudes Les arnaques aux dons sur Internet se multiplient après le séisme en Haïti. Lors du tsunami de 2004, déjà, de nombreuses personnes s'étaient fait piéger par de fausses ONG qui prétendaient venir en aide aux populations touchées. Le principe de la fraude : envoyer des centaines d'emails appelant aux dons sur des adresses électroniques volées. 8

Début Octobre 2009, c est le directeur du FBI en personne qui a failli communiquer ses coordonnées bancaires à un site d'hameçonnage, avant de s en rendre compte. Il en fait l aveu sur le site officiel du FBI, où il parle des menaces sur Internet concernant le vol d identité et la cybercriminalité. Selon ses propos «Internet n'est pas seulement un canal pour le commerce, mais aussi un canal pour le crime». Coûts des informations volées au marché aux puces 10 à100 $ pour un numéro de carte bancaire Entre 300 et 3000 $ pour un code de sécurité de trois chiffres Les marchés aux puces se trouvent généralement en Asie et en Europe de l Est (Russie, Chine, Roumanie ) 9

Exemple de la Russie Du numéro de sécurité sociale, à la date de naissance, en passant par le prénom de la mère, le numéro de compte bancaire, ou de carte de crédit avec son code Ces données sont stockées sur des sites clandestins fonctionnant comme des self-services d informations volées. Comment y accéder? Il faut montrer patte blanche et prouver sa bonne foi criminelle en apportant un lot de données piratées Responsabilités des institutions Protéger les renseignements personnels des employés ou des citoyens est une priorité. «Si vous ne pouvez pas les protéger ne les recueillez pas!» Commissariat à la protection de la vie privée du canada Avril 2010 10

Les institutions sont mal protégées et ne protègent pas leurs employés Le budget limité de dépenses en matière de sécurité Inexistence de la politique de sécurité dans certaines institutions Logiciels de sécurités incomplets (besoin de chiffrement et d outils d authentification pour protéger les données et le parc mobile : téléphones, assistants numériques, ordinateur portable) Manque de prévention : mise à jour des logiciels (correctifs de sécurité) Manque de culture de sécurité de certains dirigeants qui s en remettent uniquement à leurs responsables informatiques Risques avec Intranet - Vol de données par des employés - Infiltration sur le réseau par des personnes externes - Attaques de déni de service pour paralyser l institution - Espionnage à l'aide de logiciels malicieux Lors de la mise en place : - Mauvaise conception - Mauvaise évaluation de la charge, de l'utilisation, et surcharge éventuelle menant à un écroulement de réseau - Divulgation d informations si trop de services sont exposés sur le Web 11

Quelques types menaces Virus, Vers Spamm Hammeçonnage (Phishing / Vishing) DNS Pharming Vol d identité Porte dérobée (Back door / Trojan Horse / cheval de Troie) Attaque par périphérique 12

Quelques types menaces (suite) Enregistreur de frappe (keylogger, screenlogger) Robots (Botnets) Logiciel espion (Spyware) Publiciel (Adware) Attaques du protocole Bluetooth Déni de service (DOS /DDOS) Défacement (Defacing) Arnaque nigériane Collecte de données 13

A propos de mots de passe Structure mentale des individus permet parfois de deviner les mots de passe Mot de passe non sécuritaires Il faut 14 caractères, mélange de chiffres et lettres (majuscules, minuscules) et des caractères spéciaux 14

Trop de mots de passe à mémoriser Windows, courriel bureau Téléphone mobile (Iphone, Blackberry, Ipad etc.) Compte bancaire, Paypal, etc. Paiement factures (télephone, électricité, gaz, eau) Services gouvernementaux (en ligne) Sites d information Yahoo, Gmail, Hotmail, Skype, Msn, Facebook, LinkedIn Easychair, Bibliothèques en ligne A propos de liste de diffusions Augmentation de Spamm Confidentialité non assurée pour les destinataires 15

Droits d accès privilégiés une élévation des privilèges est un mécanisme permettant à un utilisateur d'obtenir des privilèges supérieurs à ceux qu'il a normalement. Généralement, un utilisateur va vouloir élever ses privilèges pour devenir administrateur du système, afin d'effectuer des tâches qu'il n'a pas le droit de faire en temps normal. Cette technique peut être utilisée de manière frauduleuse par un pirate informatique pour prendre le contrôle total d'un système. Il peut pour cela exploiter une faille de sécurité, en local sur le système (s'il est déjà connecté dessus), ou à distance (si le système est connecté à un réseau). 123people.com 16

Whozat Pipl.com 17

peekyou.com peoplesearch.net 18

Detective en ligne : lifehacker.com spock.com (payant) 19

Spokeo (payant) Courtiers de données (Data Broker) Informations vendues sont non nominatives permet de préserver la vie privée des internautes En cas de résiliation informations supprimées de la base de données Exemple litigieux: Intelius.com Fondé en 2006 Slogan: «se renseigner sur son entourage afin de savoir qui s occupe de nos enfants» 20

Identité numérique Résponsabilité Les données personnelles constituent une identité et chacun à la responsabilité de gérer sa propre identité. Il incombe donc à chacun de décider de ce qu il faut faire de son identité, qui ne peut être déléguée à quelqu un d autre. 21

22

45 23

24

Pertes financières et atteinte à la réputation Mars 2009 : Des hackers chinois ont découvert un algorithme de génération de cartes cadeaux utilisé par Apple C'est à la fois une perte financière pour Apple, et une perte de crédibilité http://www.appleinsider.com/articles/09/03/10/hackers_crack_apples_itunes_gift_card_algorithm.html 49 25

Suicide numérique suicidemachine.org, un site web qui permet d opérer en quelques clics le suicide 2.0 en vous désinscrivant de tous vos réseaux sociaux afin de tuer votre vie numérique. seppukoo.com propose de tuer votre Id sur Facebook en quelques clics. 26