La confiance numérique

Date de publication: 26/03/2019

Bonjour à toutes et à tous,

Au cours de mes études, je suis amené à étudier des cas de conscience assez importants dans notre société numérique. La confiance est un maillon très important sur lequel le triangle CIA (Confidentialité, Intégrité, Accès) repose. Je vous propose aujourd’hui une introduction à cette notion qui me permettra par la suite de vous initier à un moyen de protection insolite: le self-backdooring.

Introduction

En sécurité, lorsque l’ont veut garantir une sûreté de l’information, beaucoup de notions arrivent sur scène. Pour des personnes dans le cadre personnel, la variable “confiance” est primordiale, car c’est elle qui va permettre de mettre en place une délimitation virtuelle permettant de rester partiellement à l’abri. Je m’explique.

Lorsqu’un particulier (comme vous et moi) veut se protéger, il est important que ce dernier se décide sur la limite entre ses deux sphères numériques: privées et publiques. Ainsi, un plan est établi afin de savoir quelles données peuvent être divulguées, utilisées, vendues, et quelles données ne doivent pas l’être. Prenons un exemple concret :

John Doe est un boulanger d’exception ! Il gère passionnément sa petite boulangerie de quartier et chouchoute sa clientèle. John est quelqu’un d’ordinaire, il n’a rien d’exceptionnel et ne fait sûrement pas l’objet d’attaques numériques à son égard. Cependant, John a toujours eu un certain sens de la vie privée ! Il a donc eu la bonne idée de définir ses deux sphères : La publique :

Privée:

Grâce à cette base, il est à même de gérer sa vie numérique de manière plus agile, sans aucune restriction !

Attention, je ne dis pas qu’il suffit de se faire un schéma pour être, comme par magie, protégé ! Cette étape est importante, mais seule elle ne sert à rien. Des moyens techniques sont chargés de faire tourner la machine de la sécurité. En effet, pour empêcher les informations de fuiter, John va sûrement utiliser des applications open-source, chiffrer ses communications, se méfier des inconnus, et brider les services qu’il sait gourmands en données.

Où vais-je en venir ?

Ce petit paragraphe ne paie pas de mine mais introduit une notion très complexe mais d’autant plus fascinante : La confiance.

Lorsque nous utilisons n’importe quel service, il est essentiel de donner sa confiance à ce dernier. Pour ma part, et cela depuis peu de temps, je lis les conditions générales d’utilisations des services que je m’apprête à utiliser. Suis-je fou ? Probablement.

Un peu de lecture

Blague à part, lire les CGU vous permet d’apprendre énormément de choses sur l’entreprise (ou le particulier) que vous avez en face de vous. La façon dont ce contrat est rédigé montre très clairement les objectifs du service. Mais que sont les CGU sans la close de confidentialité et de vie privée du service ?

Légalement, chaque site, logiciel ou service est tenu d’avoir un endroit où sont répertoriées plusieurs informations cruciales pour les paranos de mon genre (Merci la RGPD !). En outre, des paragraphes assez concis et clairs sont mis à votre disposition afin que vous puissiez être informés sur plusieurs points :

(Ces points sont bien évidements flous dans certains cas et ne sont pas toujours honnêtes, notamment pour les données “identifiables” ou non.)

La plupart du temps le commun des mortels est capable de comprendre l’intégralité de ces paragraphes, contrairement aux CGU, ce qui est une bonne chose ! Ainsi, vous pouvez vous faire une autre idée de l’entreprise (ou du particulier) en face de vous. Pour ma part il m’est arrivé de renoncer à utiliser des produits à cause d’utilisations trop lourdes des données que je trouvais trop personnelles. Il ne faut pas avoir peur de dire non. Sachez que dans la majorité des cas, des alternatives sont possibles (et souvent opensource, ce qui peut rajouter un peu de confiance dans le service utilisé).

Brève remise en question de l’écosystème numérique

Pourquoi faire confiance à un fournisseur de service ? Pourquoi faire confiance à Marc Zuckerberg lorsqu’il s’agit de vos messages perso ? Pourquoi faire confiance à Google lorsqu’il s’agit de connaître la meilleure recette de tarte aux pommes ? Que de questions légères qui soulèvent de réels problèmes de fond, notamment celle sur la neutralité du Web et des Fake News.

C’est vrai non ? En quoi votre recherche Google est-elle garantie d’être véridique ? En quoi votre post Facebook apparaissant sur votre mur est-il considéré comme une source de nouvelles fiables ? Évidemment, je ne prends que de gros cas, mais cela s’applique à pleins d’autres sites peu scrupuleux.

Je vous garantis que vous-même pouvez trouver encore 1001 questions de ce genre appliquées à tous les services que nous utilisons au quotidien de manière numérique. Remettre en question quelques chose est une preuve de curiosité et d’intérêt.

Faut-il avoir peur ?

Je suis sûr que parmi mes chers lecteurs et lectrices se trouvent de sacrés paranos dans mon genre, et d’autres personnes qui souhaitent juste ouvrir un petit peu plus leurs esprits sur le sujet. La réponse au titre de ce paragraphe est bien évidemment non.

Avoir peur de quelque chose est un acte basé bien souvent sur de la méconnaissance (ou de la trop-bien-connaissance, mais ça reste plus rare). Les gens qui se disent avoir peur d’être surveillés sont soit des gens normaux n’aillant absolument aucune raison d’être espionnés, soit des agents de la NSA- euh pardon, des personnes expérimentées dans leur domaine, qui ont accès à beaucoup d’informations confidentielles et sensibles.

Comprendre pour mieux appréhender

Écrit comme ça, ça paraît peut-être bête, mais on ne peut pas mieux résumer la situation. Comprendre les motivations d’une entreprise c’est aussi comprendre leur mode de fonctionnement. Ainsi, une confiance peut être accordée ou non. Un exemple vaut mieux que de longs paragraphes:

Une startup développe une application mobile de météo. Cette dernière vous demande si vous souhaitez partager vos données d’utilisation afin d’améliorer le service de prévision météo. Premier réflexe : on file sur le site web de la startup y récupérer un maximum d’informations ! Quelles données ? Pourquoi ? Comment ? Quand ? Pendant combien de temps ? Etc. On se rend vite compte que le seul but est d’améliorer le service, que les données ne sont clairement pas identifiables et ne nuisent pas la vie privée.

Mais dans le cas d’une application appartenant à une grosse entreprise, qui vous garantit de “protéger” votre téléphone en y prenant tous les accès, confiance ou pas ?

C’est là tout le problème ! Nous revenons inévitablement au très cher débat du “Je n’ai rien à cacher” que j’aborderai souvent dans mes prochains articles sous forme de brèves interventions.

Pas plus tard qu’aujourd’hui, ce cas de conscience m’a été proposé lorsque je me suis intéressé au self-backdooring (une “assurance” de plus contre le vol d’appareils mobiles). Comment laisser une application avoir entièrement accès à votre téléphone en n’ayant que très peu d’informations sur cette dernière ? Pas facile, je vous le concède.

En réfléchissant de manière plus profonde sur le sujet, nous nous rendons compte que depuis notre Smartphone nous sommes connectés au monde entier en temps réel. N’est-ce pas incroyable ? Des milliards de services/entités/personnes dans notre main ! En définitif nous sommes connectés avec des inconnus, à travers un écran, de notre plein gré. La situation devient alors intéressante lorsqu’on se rend compte que certaines personnes n’osent même pas dire bonjour à leur voisin de palier… Ironique non ? L’Homme a alors plus de facilité à se connecter avec autrui lorsqu’il n’a pas la réalité en face.

Lâcher un like et un commentaire sur une photo de déforestation sur Facebook et ne pas prendre 2H de sa vie pour aller à la marche pour l’environnement.

C’est déjà la fin de cet article qui, je l’espère, vous a permis de construire une base de réflexion sur le sujet. S’il vous a plu, n’hésitez pas à me le dire, ça fait toujours plaisir :)