Qu'est-ce que les données personnelles - Swiss Tangu
Titre : Qu'est-ce que les données personnelles ?
Intervenant : Cédric Jeanneret alias Swiss Tangu
Lieu : Rencontres Hivernales du libre - Saint-Cergue - Suisse
Date : janvier 2017
Durée : 39 min 19
Visualiser la conférence
Licence de la transcription : Verbatim
Illustration : copies d'écran de la vidéo
NB : transcription réalisée par nos soins. Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas forcément celles de l'April.
Transcription
EthACK
On est vachement en retard donc je m’en vais essayer de rattraper ce retard. Il va falloir s’accrocher ! Déjà, je fais partie de l’association ethACK1, je suis le président fondateur et tout ce que vous voulez là autour, juste pas le caissier parce que ça ne marche pas sinon. ethACK c’est un jeu de mots que j’ai créé à l’époque des révélations Snowden quand la Suisse a dit :« Ouais, c’est bon ! On n’en a rien à faire. Tout va très bien, licornes roses et Bisounours », comme d’habitude. C’est un jeu de mots, on retrouve le mot éthique, le mot État, le mot acknowledge pour la reconnaissance, un petit peu de hacking aussi, éthique toujours. Bref, ce genre de petites choses.
Le pourquoi ? Comme j’ai dit, le gouvernement, les petits violons, tout va très bien, aucun problème. Pendant ce temps-là, les sociétés nous fichent qu’elles soient en interne en Suisse, ou externes, États-Unis, France et autres, et on ne sait pas forcément ce que font nos données ailleurs. Donc le but, c’est justement de pouvoir vous informer un petit peu de vos droits, etc.
Les données personnelles
Pourquoi les données personnelles ? Il faut peut-être d’abord savoir ce que sont ces données personnelles. Tout le monde parle : données sensibles, données machins, données bidules. Oui, mais c’est quoi ? Il y a une différence ? Qu’en est-il ? Donc le but, là, c’est de faire un petit peu de légal. Promis ça va être extrêmement court parce que le droit, en général c’est un petit peu barbant quand même, on ne va pas se cacher ! Il y aura quelques exemples aussi pour qu’on puisse situer un peu les choses dans la vie de tous les jours et puis deux-trois petits trucs, l’hygiène, on se lave les mains, etc. Et puis, si on a le temps, on verra aussi pour tout ce qu’est le E-Health, le super truc trop trend où on envoie toutes nos données dans le cloud, aux États-Unis. Données de santé, oui, parce que sinon ce n’est pas drôle !
On va commencer le légal. Je ne vais pas relire ce qui est écrit-là. En fait en Suisse, ce qui est bien, c’est qu’il y a des lois pour tout et n’importe quoi, il n’y en a juste pas pour péter, mais c’en n'est pas loin ! Les données personnelles sont extrêmement bien décrites au niveau de la loi. Déjà, une donnée personnelle c’est ce qui permet de définir une personne, en gros ; on va dire ça comme ça de manière très rapide.
Ensuite on entend par la personne concernée, eh bien voilà, une entité soit morale, soit physique, forcément. Donc les entreprises et les personnes sont toutes comprises dedans ; elles ont toutes des données qui leur sont propres à elles, ce qui est assez logique.
Et ensuite, on a la petite distinction facile entre données sensibles et données standards, donc personnelles normales. Les données sensibles c’est un subset de tout ce qui est données personnelles, donc c’est entre autres les opinions, les activités religieuses, les appartenances à des syndicats, ce genre de choses ; tout ce qui est santé ; la sphère intime ; l’appartenance à une race. Donc si on est un étranger ou ce genre de choses, eh bien c’est une donnée qui est dite sensible. Les mesures d’aide sociale : si tout d’un coup vous bénéficiez d’une aide sociale quelconque parce que vous ne pouvez pas payer votre assurance maladie, c’est une donnée sensible aussi, ainsi que les raisons pour lesquelles vous bénéficiez de ça. Tout ce qui est poursuites, sanctions pénales, casier judiciaire, tout ça ce sont aussi des données dites sensibles. Notez bien ça pour la suite.
Public : Surtout les poursuites.
Cédric : Ouais ! Jusque-là ça va ? C’est bon ? Parfait.
La loi compète, c’est un lien cliquable ; le PDF sera sur le site ethACK.org, d’ici ce soir, je pense si tout va bien. Le peer code pour ceux qui ont un Android. Maintenant tac ! c’est vite fait ! Le droit c’est fini. On se réveille !
Les exemples. Forcément données personnelles on a vu donc on a le nom, on a les dettes, les adresses de mail, le téléphone, bref, plein de choses. Maintenant là-dedans, je me suis amusé quand même, j’ai planqué des données dites sensibles [Affichage à l'écran d'une liste de données, NdT], est-ce que quelqu’un peut au moins en donner une dans la liste ? On a les dettes, exactement, mais encore ?
Public : Le numéro AVS [Assurance-vieillesse et survivants].
Cédric : Non, pas le numéro AVS.
Public : Casier judiciaire.
Cédric : Casier judiciaire, voilà exactement.
Public : Les poursuites également. Trop facile !
Cédric : Exactement ! Les poursuites aussi. Voilà. Trop facile, je sais. Mais en même temps, ce qui est vachement cool avec toutes ces données, OK, elles nous définissent en tant qu’individu, etc., sauf qu’on nous demande beaucoup de ces données et beaucoup de décisions prises à notre encontre sont basées sur ces données, qui sont traitées par des entités qu’on ne connaît pas ; récoltées par des entités qu’on ne connaît pas non plus et on ne sait pas comment ils les récoltent, en plus. C’est vachement cool !
La gérance de votre appartement vous demande votre état des poursuites et fera une recherche sur vos dettes. C’est du sensible ça et pourtant on les donne comme ça parce qu’on est obligé de les donner si on veut avoir un toit et quatre murs.
Votre employeur peut être aussi intéressé par toute votre activité sur les réseaux sociaux, forcément, mais aussi par votre dossier médical, d’une manière ou d’une autre, ainsi que votre casier judiciaire si vous allez dans la sécurité. Encore du sensible ! Un employeur ! Bon OK, il va vous nourrir ! Enfin ! Vous aider à survivre dans ce monde actuel en ayant un petit salaire.
Et votre assureur forcément, donc maladie, ne sera extrêmement pas du tout intéressé par votre dossier médical ! Aucun problème là-dessus ! Normal et logique.
Forcément des décisions sont prises sur ces données-là. Ouais OK, on en donne certaines, d’autres sont récoltées. C’est le bordel ces données quand même ! C’est comme les flocons de neige, il y en a partout ! C’est beau !
La collecte se fait forcément par l’État. Quand vous déménagez vous devez vous annoncer partant à la commune de départ et arrivant, dans les quatorze jours, à la commune d’arrivée. Et faire toutes les démarches dans les quatorze jours pour le changement de plaques, le changement d’adresse, gnagnagna. Toutes ces données-là sont forcément collectées par l’État et la poste garde dix ans d’historique de changement d’adresse. Si jamais ! Et les sociétés privées, forcément, la poste entre autres, est numéro un pour les données du genre adresse.
Votre assureur sait tout sur votre parcours médical, que ce soit au niveau de l’assurance de base ou de l’assurance complémentaire. Ils ne sont pas censés communiquer, mais bizarrement ils le font quand même. Mon Dieu oui, ils font ça !
Forcément la collecte se fait tant dans le pays d’habitat que depuis l’extérieur parce que Internet c’est vachement cool, c’est global, donc les Américains, les Chinois, les Français, les Allemands, les Italiens, tout le monde participe à la grand-messe de la donnée personnelle. C’est pas beau la globalisation ?
Forcément il y a des profiteurs de ces données-là, donc l’État pour savoir qui vous êtes, si vous êtes un dangereux terroriste, attention ! Quoi que ça c’est plutôt le SRC, le Service de renseignement de la Confédération qui s’en occupe, bizarrement ils se font voler des données aussi.
Les entreprises privées, forcément, elles en bénéficient pas trop mal, parce que c’est un marché.
Il y a le tout dernier exemple, maintenant, du super magasin Amazon qui est une espèce d’épicerie. Vous rentrez, vous vous servez, vous ressortez, sans débourser un centime, enfin sans sortir la carte plutôt. Eux là-dedans, ils font toute une étude. Ils ont des caméras, des capteurs partout qui vous surveillent complètement. Ils voient que vous prenez tel produit, vous le reposez, donc ce produit-là ne va pas, pourquoi ? Ils se posent des questions et ils regardent quelles sont les tendances de leurs clients, qu’ils associent forcément à leur compte Amazon pour savoir ce que vous avez déjà acheté sur amazon.com ou .fr, .com plutôt pour les États-Unis. Et tout ça vous le faites gratuitement pour Amazon et vous gagnez dix minutes de caisse, d’après eux.
Public : Et si tu ne le fais pas chez Swisscom, tu n'as pas de téléphone ! Si tu n'acceptes pas leurs conditions, c’est marqué dedans.
Cédric : Les conditions générales, donc le gros texte que personne ne lit et clique à la fin « j’accepte », parce que c’est trop long.
Public : Si tu n’acceptes pas, tu n’as pas de téléphone !
Cédric : Ça c’est clair. Si on n’accepte pas les conditions générales, on n’est pas sur Twitter, pas sur Internet au final, on n’a pas de télévision connectée. On n’a pas de boîtier UPC Cablecom pour la télévision, pour rappel ; on n’a pas d’écran Samsung, hein, parce que eux aussi sont très drôles. Enfin voilà !
Public : Avec la caméra.
Cédric : Oui avec la caméra, oui en plus. L’écran Samsung avec tout ce qu’il faut dedans. En tout cas, une chose qui est claire et ressort ici maintenant, ce n’est pas vous qui bénéficiez directement de ces collectes, à moins que vous appréciiez la publicité ciblée dans le meilleur des cas.
Donc les données personnelles c’est un marché. Marché noir même, parce que le propriétaire, vous ne savez pas qui achète et qui fait quoi de vos données. En fait, on est un petit peu dans le rôle de l’artiste qui se fait pirater sa musique. Digression ! Ce n’est pas grave !
Donc voilà. Il faut juste être conscient qu’il y a ce marché-là, que ça représente plusieurs milliards, ah non, je ne l’ai pas noté, bref c’est un marché qui représente plusieurs milliards de dollars à l’année juste d’échange des données. Ça permet de tirer un profil de votre personnalité. Ça permet de tirer plein d’informations qui permettront ensuite de faire plus de profit sur votre dos. C’est génial !
Donc forcément pourquoi se protéger de tout ça ? Vos données sont à vous, à la base, quand même. Vous ne savez pas qui possède des données. Je pense que si je vous dis Deltavista, pas de réaction ? Deltavista.
Public : Déjà entendu.
Cédric : Déjà entendu une fois. Adjugé. Deltavista2 est une société basée en Suisse, qui a été rachetée par un groupe européen qui s’appelle, sauf erreur, CRIF et leur but c’est de faire de la notation de dettes et de solvabilité des citoyens et entreprises. Principalement citoyens. Donc il y a de fortes chances que votre gérance se base sur les résultats de Deltavita, que vous ne connaissez pas, pour savoir si vous si oui ou non elle vous octroiera l’appartement de vos rêves !
Public : Il paraît qu’il y a douze sociétés qui font ça en Suisse.
Cédric : Je n’ai pas le nombre exact. J’avais cherché ça un certain temps. J’ai peut-être ça dans mes slides, je ne sais plus, ça fait un moment que je les avais faites. Bref, il y en a un certain nombre. On peut les obtenir, ça je le montre après. Donc bref, et vous ne savez pas forcément ce qu’ils font de ces data. Vous ne savez pas qui, quoi, comment ! Génial !
Ah ! Göring ! Je pense que vous connaissiez tous la référence plus ou moins, un petit peu noire [« Vous n’avez rien à craindre si vous n’avez rien à cacher »]. Ouais je me suis octroyé un point [point Godwin], je suis gentil. Donc voilà ! On revient un petit peu sur le sujet.
Vous ne savez pas si les données sont à jour. Vous pouvez avoir une poursuite une fois, ça arrive à tout le monde. Franchement qui n’a pas eu de poursuite au moins une fois dans sa vie ? OK ! Mauvaise pioche ! Plus sérieusement ça arrive de toutes façons ; voilà, il y a une facture qu’on oublie, on ne voit pas les rappels et puis zut ! Poursuite ! Et le problème c’est qu’une poursuite, après vous l’effacez du dossier. Déjà c’est à vous de demander de l’effacer, en général, parce que la personne qui poursuit ne le fait pas d’office. C’est vingt balles l’extrait des poursuites, si jamais !
Donc des décisions capitales, en général, sont prises sur des trucs qui ne sont pas forcément à jour, de nouveau. C’est sympa ! L’appartement pfft ! Envolé !
Je pense que tout est assez bien dit ici. Donc le crédit peut vous être refusé parce que vous aviez eu une poursuite qui n’a pas été effacée de chez Deltavista par exemple, au hasard ; ou le logement peut être refusé comme ça et pauvre Kitty, vous serez tout seul, abandonné de tous avec les yeux tout ronds. Dommage ! Jusque-là ça va ? Ouais, ça va.
Public : C’était déjà comme ça.
Cédric : Tout à fait. C’était déjà comme ça, maintenant c’est juste un truc qui est un peu global en fait. C’est un peu ça le problème au final.
Public : Systématique aussi.
Cédric : Systématique aussi, mais le problème c’est qu’on est Suisse donc on est soumis, nous, à un droit suisse, mais les entreprises qui collectent les données ne sont pas forcément soumises au droit suisse. Là ça devient tordu ! Ah ben voilà ! J’avais quand même quelques chiffres, c’est bien ce qui me semblait.
Donc ça, c’est basé vite fait sur le registre des fichiers, le lien est cliquable aussi sur le PDF qui sera en ligne d’ici ce soir. Si jamais, il faut savoir une chose : quand vous faites un fichier de données personnelles, il faut que vous vous déclariez auprès du Préposé fédéral à la protection des données et à la transparence. Le petit dernier « et à la transparence » est intéressant, c’est justement ça qui permet d’avoir ça.
Ensuite vous avez un super moteur de recherche qui est totalement pourri à interroger, qu’on ne peut pas automatiquement interroger en plus, parce que c’est tout en JavaScipt c’est génial, merci.
Public : Tu as une solution à ce sujet-là ?
Cédric : J’en avais réfléchi à une aussi. C’est chiant, mais c’est jouable !
Public : J’en ai une qui marche.
Cédric : Ah ça m’intéresse. Bref ! Comme ça j’ai tiré, grosso merdo, rapidement, des statistiques qui datent un petit peu, ça date de l’année passée donc je pense que ça a un peu augmenté, ça s’est un peu rééquilibré, mais bref ! Donc il y a une centaine d’entités en Suisse qui ont des infos sur vos poursuites. On a vu Deltavista. Il y en a encore 99 autres à découvrir.
250 entités, privées toujours, qui ont des infos sur vos revenus. Je connaissais les impôts et mon employeur, les 250 autres, Deltavista, forcément. Dettes, poursuites, c’est toujours un peu lié. Alors ça fait encore 249 autres à trouver, enfin 248, mon employeur étant moi.
Forcément on a aussi la situation financière globale, donc des sociétés qui sont aptes à vous noter, genre Deltavista justement, et dont le jugement fait foi au cas où vous faites une demande de crédit, logement, leasing ou autre.
Public : On n’a plus d’Internet.
Cédric : Ah ça ce n’est pas pour moi ! Désolé. L’Internet qui coupe ça ne pardonne pas. Donc voilà, si jamais, vous pouvez affiner les recherches. Typiquement vous pouvez savoir quel type de données vous voulez chercher avec le nom de l’entreprise, ce genre de choses.
Forcément il y a quelques assureurs, on a des assureurs plus quelques autres sociétés pour vos données de santé.
On a l’origine qui est une donnée sensible, aussi, et puis votre religion qui est toujours une donnée sensible aussi. OK, il y a les scientologues qui ont ces informations-là, d’ailleurs je les ai trouvés dessus. Ils ont un fichier de données personnelles, donc ils sont forcément enregistrés auprès du Préposé, parce que sinon ça serait illégal. Ils ont déjà assez de problèmes comme ça sans en rajouter, je crois !
Après vous pouvez vraiment savoir qui a des données sur les religions, etc., et vous pouvez vous-même faire des demandes auprès de ces entités pour savoir s’ils ont des données. Je vous conseille de prendre des actions à la poste avant de le faire. Le mieux c’est par lettre recommandée. À six balles la lettre !
Le pourquoi ? Parce qu’on a vu le comment, on a vu à peu près le qui et ce genre de choses, mais pourquoi ?
Forcément vous allez chez Fust acheter un lave-linge, vous avez le service après vente : nom, prénom, numéro de téléphone, adresse, date d’achat. Ah oui, si vous l’achetez à crédit, enfin sur facture en paiement multiple, vous avez aussi l’état des dettes qui est pris en compte chez Fust.
Après bon, le coup classique, ciblage publicitaire, savoir que vous aimez bien les voitures rouges fera que vous allez recevoir de la pub pour voitures rouges ; ou les appels téléphoniques ciblés pour une assurance, de voitures rouges !
Après le profilage, ça, par contre, c’est un peu plus embêtant parce que c’est illégal de profiler les gens, enfin plus ou moins ! Mais savoir et pouvoir prédire à l'avance que vous allez agir de telle manière face à telle pub, c’est vachement intéressant. Ça permet comme ça de maximiser le clic ; la « putaclic » ce n’est pas juste un terme !
Et puis forcément, comme on l’a vu, les prises de décision diverses et avariées que ce soit crédit, logement, leasing ou simplement votre vie. Oui ?
Public : Si c’est interdit en Suisse, d’accord, je veux bien, mais qu’on mette le serveur ailleurs.
Cédric : Il y a quand même, d’ailleurs c’est sorti fin de la semaine passée, le Privacy Shield, donc le bouclier vie privée qui est passé ; c’est un accord entre la Suisse et les États-Unis pour que les sociétés américaines se plient au droit suisse pour la protection des données. Ce qui fait que maintenant vous pourriez théoriquement faire une demande directe à Facebook pour vos données. Je dis bien théoriquement. C’est compliqué, c’est long et c’est coûteux.
Public : Si elles sont parquées ailleurs ?
Cédric : Ah ben là, vous passez par le Préposé fédéral et puis vous croisez les doigts. Vous croisez les doigts ! Remarquez, le Préposé fédéral a quand même réussi à faire très fort. Je ne sais pas si vous avez vu la décision pour Windows 10. Ça fait à peu près une année qu’il y avait une enquête du Préposé fédéral par rapport aux données collectées par Windows 10, la dernière mouture de Microsoft qui a été forcée de passer au forceps partout. Maintenant ils ont obtenu que Microsoft fasse deux mises à jour, je ne sais plus exactement en quoi elles consistent, mais « grosso merdo » ça va simplifier l’acceptation ou le refus de l’envoi des données. Ce qui est déjà pas mal. Nous, petit pays crotte de mouche sur la carte, en plus économiquement proche du néant pour Microsoft, j’entends, on a réussi à faire ça.
Public : Microsoft c’est partout ! On a beaucoup d’ordinateurs.
Cédric : Ouais ! Oui, mais bon la Suisse c’est un client. C’est vrai que la Confédération et le BIT [Bundesamt für Informatik und Telekom alias OFIT - Office Fédéral de l'Informatique et de la Télécommunication] sont très friands de Windows, XP. Ils en avaient encore il y a deux ans, si jamais ! [Rires]
Public : Il n’y a pas des décisions qui ont été prises ?
Cédric : Si, si, il y a une décision qui a été prise. Donc Microsoft, ils vont faire ces mises à jour-là, ce qui fait que ça correspond aux attentes, en fait, du Préposé fédéral à la protection des données et du Proposé cantonal valaisan, Sébastien Fanti, qui avait lancé le mouvement.
Public : À l’installation de Windows 10, on est obligé de passer en revue tous les paramètres.
Cédric : Oui, effectivement ça ce sont des mises à jour, donc passage du paramètre. Donc la lecture et la configuration de tous les paramètres c’est une chose et je crois que la deuxième c’est pour un lien direct vers les parties ciblées des conditions générales d’utilisation, ce qui évite de lire les dizaines d’écran de textes juridiques lourds et barbants.
Revenons à nos moutons, le temps tourne. L’autre raison, ça c’est ma préférée, c’est pour votre protection et la protection de la population, forcément tous les vilains pédos terroristes tueurs de chatons sont tous fichée, ou pas. Et les autres ne sont pas fichés, ou pas. Tout ce qui est terrorisme hooligans, donc les hooligans, il y a une base de données qui existe pour ficher tous les hooligans en Suisse. Donc si vous faite si un peu le bronx dans un stade de foot vous avez moyen de finir là-dedans et d’être interdit de stade. Il faut du niveau pour le faire, quand même, mais ça existe. Il faut du niveau !
Le cloud. Ça tombe bien, il y en a plein partout dehors [des nuages] ! Donc le cloud, en fait, je vais me concentrer sur la version média utilisateur final de la définition du cloud, autrement dit ce sont des services en ligne. Pas les machins comptes bidules Amazon et autres. Qu’on soit bien clair. Donc c’est Dropbox, Google bidule et tout ça.
Pourquoi l’employer ? Simple, c’est vachement pratique, ça permet d’avoir des sauvegardes, ça permet de pouvoir synchroniser entre différents appareils, c’est génial. On y a accès depuis partout, de manière plus ou moins sécurisée ou pas. Bref ! C’est pratique.
Mais après on peut se dire pourquoi ne pas l’employer ?
Hébergement sur des sols étrangers, donc problèmes de lois pour l’accès et la protection des données et l’utilisation des données.
Sécurité. Je ne sais pas, c’était il y a combien de temps un iCloud et le petit problème de sécurité des données de certaines stars ? Trois ans ? Après il y a eu d’autres trucs entre deux, Madison. Mais ce n’est pas du cloud, pardon !
Forcément la complexité pour trier ce qu’on a envie de mettre sur le cloud ou pas parce qu’après tout je ne vais peut-être pas forcément mettre des photos de ma maîtresse que je n’ai pas sur le cloud. Ça pourrait faire tache si jamais il y avait un hic !
Et puis bon, certains clouds sont gratuits, mais après tout, on sait la grande phrase c’est « ce qui est gratuit, c’est vous qu’on vend, etc. », mais ce qui est payant c’est aussi vous qu’on vend quand même, mais on ne vous le dit pas !
Après tout on est des grands enfants, on veut toujours les derniers petits jouets, on veut toujours tout employer, on veut employer le cloud. Il y a une question ?
Public : On dit que ce qui est gardé ce n’est jamais effacé, peut-être.
Cédric : Ouais !
Public : Mais ils ne garantissent pas non plus qu’ils ne vont pas les perdre.
Cédric : Non, effectivement. La garantie ce n’est jamais facile ; on ne l’a pas, mais ce n’est pas non plus garanti qu’on ne va jamais pouvoir perdre ses données, ça c’est clair. Mais au final, c’est dans les conditions générales d’utilisation qui font en général 10-15 pages, qui sont très longues, qui sont très barbantes à lire et on dit, de toutes façons, « j’accepte ». Le plus grand mensonge d’Internet c’est « j’ai lu et j’accepte les conditions générales d’utilisation ». C’est le plus grand mensonge sur Internet ! Personne ne les lit. À part quelques allumés !
Public : Inaudible.
Cédric : Oui, ce n’est pas le seul. Heureusement ce n’est pas le seul.
Maintenant si vous voulez vraiment utiliser les services cloud parce que vous avez trois Android et ce genre de trucs et que vous voulez synchroniser ça, OK, je ne vais pas vous en empêcher. Ce sont vos données ! Par contre, juste garder en tête deux-trois petites notions typiquement « c’est en ligne ». Donc OK, il y a un login/password, mais si votre mot de passe c’est « toto du 69 », ce n’est pas un bon mot de passe.
Public : Moi je mettrais toto du 68 ?
Cédric : Toto du 68 ça doit être un bon mot de passe, oui effectivement. On se comprend !
Public : Vous êtes de…
Cédric : Neufchâtel. Ah mince j’ai donné mon origine, mince ! Donnée sensible ! Ça va tellement vite ! Oh ! Pas bien ! Mais sinon gardez en tête que c’est en ligne donc potentiellement que c’est accessible de toutes façons. Gardez en tête que les données ne sont jamais effacées. Même s’ils vous disent : « Oui, nous avons effacé », en fait non ! Facebook, les photos ne sont pas effacées ; elles sont juste déréférencées de votre page, etc., mais si quelqu’un les a utilisées sur sa propre page, eh bien elles seront toujours affichées. Elles seront aussi affichées dans les publicités d’ailleurs. Génial ! Et vous ne touchiez pas de droit sur l’image. Génial ! Pardon ?
Public : Parce que ça a été accepté.
Cédric : Oui, forcément ! Vous avez accepté ça en créant un compte et en publiant des contenus. Bien sûr.
Forcément ne pas mettre des photos compromettantes. Je crois que tout est dit dans la phrase.
Public : Le problème c’est quand les autres mettent des photos compromettantes. Ça peut arriver.
Cédric : De vous-même ? Oui ça peut arriver. Ça je crois même que je vais en parler juste après. Sensibilisation des contacts des amis, des proches, sa famille, etc.
Forcément ne pas mettre de documents sensibles, genre, je ne sais pas, les radiographies de votre problème de lombaires, ce genre de choses, au hasard. Une assurance aimerait beaucoup ça, faire passer en maladie plutôt qu’accident votre problème de dos. Au hasard.
Un petit peu d’hygiène. C’est bien de se laver les mains de temps en temps, laver les dents, prendre un douche, tout ça. Pour les données c’est pareil. On va juste faire un petit peu d’hygiène. Au final, c’est pareil.
Maître Yoda a dit, je vous laisse lire. Plus sérieusement, forcément avec ce que j’ai dit juste avant, on ne va mettre tout et n’importe quoi sur le cloud, quand même. On va juste trier un petit peu, s’assurer qu’on a un dossier OK, ça c’est un peu sensible, je garde en local, je fais un backup local s’il le faut, sur une clef USB chiffrée ou pas, le reste je peux envoyer sur le cloud. Au pire, si jamais ça fuite, on me verra totalement bourré dans un bar, ça va être génial. Ah non ! Je vais peut-être pas mettre ça sur le Net. Je vais peut-être éviter.
La confiance forcément. On parlait de confiance au niveau des autorités de certification, eh bien c’est pareil pour le cloud. Est-ce qu’on peut réellement avoir confiance sur le fait que Google ne va jamais se faire péter la gueule ? Ou qu’il ne communique jamais des données à d’autres entités, je vous laisse réfléchir à ce petit problème.
Le mot de passe « 2345678 » est un excellent mot de passe, forcément, pour tous vos amis. Eh puis si possible, là on laisse le coup de solutions de chiffrement côté clients, ça c’est un petit peu barbare, peut-être pas forcément ici. Bref chiffrer donc c’est comme pour le TLS [Transport Layer Security], c’est l’action de prendre un truc, de secouer un grand coup pour tout scrambler et puis d’avoir un contenu qui est totalement illisible pour une personne qui n’est pas autorisée à le lire ; et côté clients c’est sur la machine ici, sur votre smartphone, etc. Donc ce n’est pas un chiffrement qui est délégué au stockage. Comme ça le stockage en face ne peut pas lire vos contenus, bêtement. Oui ?
Public : Il faut peut-être préciser qu’il y a deux types de chiffrement. Il y a le chiffrement qu’on appelle end to end donc du client à l’autre client.
Cédric : Oui ça c’est pour les tunnels, c’est pour la communication elle-même.
Public : Et tu as le chiffrement du client au serveur, mais après la donnée sur le serveur !
Cédric : C’est ça. End to end, en fait, ça correspondrait à celui-là sauf que le end ne peut pas déchiffrer parce que c’est un truc de stockage, ce n’est pas comme une messagerie et puis sinon on peut juste aussi avoir le transport, donc le joli tunnel, TLS en l’occurrence, qui permet de pouvoir chiffrer la communication, mais en face ils peuvent lire parce qu’il n’y a rien qui est chiffré, forcément.
Le contraire de chiffrer en français c’est déchiffrer et pas décrypter. Décrypter, en gros, c’est on n’a pas la clef, mais on veut quand même casser le chiffrement. Ça prend du temps quand c’est bien fait.
Donc voilà. Ça c’est l’autre [chiffrement côté client, NdT]. En gros c’est ce que je viens d’expliquer. J’insiste sur le « a priori n’arrive pas à lire côté serveur » parce que sur commande, genre Dropbox, ils ont une master key qui permettrait de déchiffrer sur demande. C’est bien Dropbox ! Et forcément, a priori, ça protège aussi des interceptions. Donc vous avez un contenu qui est chiffré chez vous, quelque part, théoriquement si c’est bien fait on ne peut pas, même si on arrive à casser le transport lui-même, on ne peut pas accéder aux données qui sont elles-mêmes chiffrées. Je dis bien a priori et théoriquement.
Est-ce que j’ai encore juste le temps d’aborder ça ? OK ! Bon !
Donc le nouveau trend du moment, c’est tous les machins Fitbit, IO machin, les trucs qui vous traquent, les montres connectées – vous savez une montre mécanique ça montre bien –, les trucs qui demandent d’être tout le temps rechargés, qui ont vos données, donc le pouls, la pression sanguine, le taux de sucre, gnagnagna, tous ces trucs-là ; qui enregistrent tout ça et qui l’envoient quelque part sur Internet, en général, en France, pour certaines marques, aux États-Unis pour d’autres, ce qui est génial ! Problème : c’est vous ne savez pas ! Enfin si, vous pouvez vous faire une idée de ce qui est envoyé en fonction des capteurs qui sont présents sur votre appareil, genre s’il a votre pression sanguine, il risque de l’envoyer quelque part. S’il a un podomètre, il risque d’envoyer vos nombres de pas quelque part. En parlant de ça d’ailleurs, la CSS, un assureur suisse, a fait un truc vachement cool avec l’EPFZ donc l’École polytechnique fédérale de Zurich, qui permet que vous ayez un de ces machins Fitbit et ça va compter vos pas, ça va les envoyer chez Fitbit et la CCS a un truc qui va se connecter chez Fitbit sur votre compte, récupérer vos pas et vous faire un rabais de quelques centimes sur votre assurance complémentaire. Forcément complémentaire, parce que sinon ça ne serait pas bien de mettre ça sur la partie LAMal, parce que ça ferait je ne sais plus quoi, enfin bref ce n’est pas cool ! Ça permettrait de pouvoir trier les clients et ce n’est plus social. Parce que je rappelle que l’assurance de base est censée être une assurance sociale.
Public : On ne peut pas la mettre en LAMal ?
Cédric : Non on ne peut pas. C’est pour ça d’ailleurs que les fumeurs ne payent pas plus pour l’assurance sociale, etc., ce qui est logique, mais c’est un autre débat.
Public : Ils paient tarification.
Cédric : Non, il prend des coupes de cercueils, il paie l’ABS, c’est très bien.
Public : Ce n’est pas vrai. On peut faire la démonstration qu’ils coûtent plus cher au final.
Cédric : Oui.
Public : Ils sont tout de suite dans la boîte très vite, oui !
Cédric : Ce n’est pas faux effectivement, mais ça c’est un autre débat. On n’a plus le temps désolé !
Vous partagez des données médicales, donc sensibles, avec des entités étrangères, sur sol étranger, que vous ne connaissez pas. Yes ! Et vous ne savez pas ce qu’ils en font. Je pense que le problème est assez bien décrit, on ne va pas revenir dessus, il faut que j’avance. Désolé.
Aux États-Unis, il faut aussi savoir qu’il y a eu un groupe d’assureurs qui a fait un accord avec Apple pour avoir justement ces données de connexion avec leurs smartwatches, bidules, chouettes choses, et faire des primes plus basses pour leurs assurés. Je crois qu’il a été accepté et je sais qu’en Suisse il y a eu des discussions dans ce sens aussi.
Public : CSS fait de la pub ?
Cédric : CSS, eux font de la pub pour leur machin de podomètre, mais ça ce n’est que pour la complémentaire, encore une fois.
Public : Heureusement !
Cédric : Ils sont gentils ! Donc bref ! De manière générale vos données sont sur un cloud, enfin public oui, mais protégé par mot de passe, enfin voilà ! Sécurité, vos données, toujours !
Donc forcément avec tout ça, vu que ce sont des sociétés à l’étranger vous perdez de vue qu’est-ce qu’elles ont, qui fait quoi avec vos données. Ça tourne un peu en boucle, en fait, je crois.
Public : On s’en fiche « je n’ai rien à cacher » !
Cédric : Oui c’est juste. Ouais ça c’est juste bon ! Ça c’était pour le Safe harbor. Le Safe harbor était l’accord européen qui a été dénoncé par l’Union européenne il y a un ou deux ans en arrière, parce qu’il y avait eu des petits problèmes avec Facebook entre autres, ce qui fait que l’Union européenne a fait le Privacy Shield qui est une monstrueuse saleté, pour rester poli. Et la Suisse a fait son propre Shield à elle qui est un petit peu mieux. Pardon ?
Public : En quoi c’est une saleté ?
Cédric : Le niveau européen, en fait, ça baisse le niveau de protection. Le niveau suisse est à peu près équivalent avec deux-trois petits trucs en plus. Ils ont réussi à faire quelque chose de pas trop mal en Suisse ; pour une fois !
En résumé donc vos données sont quelque chose qui est précieux, qui vaut beaucoup d’argent et qui vous appartient mais que vous ne savez pas que c’est exploité à l’extérieur. Et en fait voilà. C’est à peu près ça la conclusion.
Si jamais il y a deux-trois ressources comme Privacy Tools, qui permet d’avoir des outils et logiciels qui sont un peu plus coopératifs au niveau de vos données avec vous-même. Il y a aussi un tout petit truc, il y a la LPD, donc la loi sur la protection des données, qui est en cours de révision. Le projet est sorti fin de l’année passée et on peut faire des propositions et autres jusqu’en avril de cette année, je crois. Question. Oui.
Public : Si jamais tu peux peut-être montrer ça, c’est un petit livre que j’ai trouvé il n’y a pas longtemps, qui est très sympa, qui s'appelle « Les aventuriers d'internet »3, qui est édité par une petite association française qui s’appelle Le CECIL4. 12 fiches sur Internet.
Cédric : D’accord ! C’est pour les enfants ou pour ?
Public : C’est pour tout le monde, avec quand même un niveau d’exigence vers la fin. On parle de chiffrement, qui est assez compliqué.
Cédric : D’accord. Je vois ça.
Public : Mais globalement c’est assez pédagogique, parce qu’on apprend ce que c’est que uBlock Origin, un petit peu de technique, etc.
Cédric : D’accord, c’est peut-être pas mal ça donc !
Public : Ils l’éditent je crois à 6 euros, je crois. On peut le commander en France.
Cédric : Maintenant en 2017, on commence quand même à avoir de plus en plus d’outils et de moyens pour s’informer de tout ça, heureusement, c’est le moment.
Public : Typiquement si par exemple, je ne fais pas confiance au cloud, en fait, puisque j’aimerais avoir ma propre solution.
Cédric : C’est ce que j’ai.
Public : Sur Internet, il y a des gens qui s’auto-hébergent et maintenant ça devient de moins en moins possible.
Cédric : C’est-à-dire ?
Public : C’est-à-dire qu’en fait il y a les fournisseurs d’accès maintenant, vous n’avez plus une adresse IP publique et vous ne pouvez plus voir votre machine chez vous.
Cédric : Ouais effectivement. C’est vrai que l’auto-hébergement commence à être compliqué, entre autres, parce qu’on a tellement attendu pour passer à l’IPv6, on n’a plus l’IPv4, donc c’est le bordel. Par contre, on peut très bien avoir un ami qui a une machine quelque part. Les cercles d’amis ça marche assez bien. Il y a aussi tout ce qui est hackerspaces qui permettent d’avoir des accès, qui permettent aussi de mettre en contact les personnes. En Suisse on a des hébergeurs simplement genre Infomaniak qui sont basés en Suisse, qui permettent de faire tourner des logiciels du genre Baïkal, qui permettent de synchroniser ses contacts et ses calendriers.
Il y a aussi un truc qu’on peut faire, c’est mettre une machine chez soi et faire un service caché Tor et accéder via Tor à ses données. C’est ce que j’ai fait pendant très longtemps, en fait. Donc il y a des possibilités. Après le problème, effectivement, c’est que ce n’est plus quelque chose qui est très facile pour monsieur et madame Tout-le-monde. Il faut réfléchir un peu, il faut deux trois contacts, il faut peut-être creuser un peu.
Public : Les CHATONS.
Cédric : Oui, il y a les CHATONS en France et qu’on pourrait faire en Suisse aussi d’ailleurs.
Public : C’est quoi les CHATONS ?
Cédric : Les CHATONS c’est une association, je crois.
Public : Framasoft5.
Cédric : Ouais, c’est Framasoft voilà !
Public : Avec « Dégooglisons Internet »6. Et il y a CHATONS7 c’est une abréviation française, je ne sas plus que c'est : Collectif des Hébergeurs Alternatifs, Transparents, Ouverts, Neutres et Solidaires. Absolument génial !
Cédric : C’est vrai qu’on pourrait avoir. Typiquement les hackerspaces pourraient être des premiers CHATONS on va dire, en Suisse, et commencer à semer des graines comme ça. Pour tout dire, ethACK, je réfléchis depuis un moment pour commencer à mettre à disposition des services. Après il faut du temps, il faut un peu de moyens et du temps, en fait, bêtement ! Voilà !
Public : Pour les gens qui veulent un peu plus assurer leur propre cloud quel est le meilleur endroit pour stocker dans le cloud ?
Cédric : En Suisse ?
Public : Ça doit être simple.
Cédric : Ça dépend le niveau de la personne. Si la personne a un niveau qui lui permet d’assurer l’hébergement et la maintenance de son propre serveur, à ce moment-là il y a Exoscale8 qui est un service de cloud computing d’instances à la demande, qui est basé en Suisse, qui est fait par une équipe anciennement du CERN, je crois. C’est un truc comme Amazon WS donc Amazon Web Services, mais en Suisse, avec le coût suisse, mais ils ont bien baissé. C’est un truc qui est assez intéressant. Après il faut aussi prendre en compte que ce sont des instances qui ne sont pas éternelles donc qui peuvent être coupées parce que problème ou autre, donc gestion de backup tout ça.
Après, si vous voulez un truc un peu plus accessible, il y a des hébergeurs, mais ça dépend de la solution de cloud que vous voulez. Si vous voulez juste par exemple un OwnCloud qui permet de faire des calendriers, des contacts, partage de fichiers et ce genre de choses, il y a Infomaniak9 ; je crois même qu’ils offrent, enfin qu’ils fournissent directement un OwnCloud personnel pour vous, donc pré-configuré, etc.
Public : Deux cents francs par an.
Cédric : Deux cents francs par an je pense que c’est raisonnable.
Public : Tu peux choisir en fonction de ta situation géographique.
Cédric : Ah géographique.
Public : Suivant l’adresse de situation de géolocalisation, on peut avoir un bon de réduction de cinq francs, un truc comme ça.
Cédric : Mais il ne faut pas se baser sur l’argent. Malheureusement l’argent est un attrape-nigaud, est un attrape-couillon, c’est fait pour attirer le péquin, en gros. Maintenant la Suisse on reste quand même, malgré la loi sur le renseignement, un pays qui est assez respectueux des données personnelles et, à mon avis, ça reste un bon endroit géographique pour mettre ses données. Après la loi sur le renseignement va forcer certainement les entreprises suisses à déménager du genre Threema et peut-être Wire, qui sont des messageries sécurisées, donc chiffrant de bout en bout. Ça devient un peu le gros bronx, en fait. Certains se basent en Europe de l’Est, ce qui n’est pas forcément mieux. L’Angleterre il faut fuir, les États-Unis il faut fuir, enfin les Five Eyes donc les cinq yeux que sont le Canada, les États-Unis, l’Angleterre, Nouvelle-Zélande et puis Australie, ça il faut les fuir, c’est sûr ; l'Australie, surtout qu’ils sont assez trash maintenant. Malheureusement là il faudrait qu’il y ait un juriste international pour vous répondre là-dessus.
Public : Est-ce que tu recommandes rooter le rootfs du serveur ? C’est une solution ?
Cédric : C’est une solution oui et non. Le problème c’est que le serveur qui est démarré, son système de fichiers est déchiffré. Donc si quelqu’un arrive à accéder par brute force, SSH ou n’importe quoi aux données eh bien voilà !
Après si tout d’un coup une personne arrête le serveur et veut commencer à faire des investigations dessus, là oui, c’est protégé. Donc c’est une des mesures, obligatoire je dirais, mais ce n’est pas suffisant. Après il y a toutes les sécurités au niveau logiciel et les contrôle des accès. Dans l’idéal, il faudrait avoir une machine qui tourne sur un système RHEL [Red Hat Enterprise Linux], que ce soit CentOS ou Red Hat ou Fedora. CentOs c’est bien, c’est gratuit au moins, avec du SELinux, donc vraiment de la gestion au niveau du système de fichiers pour les accès eux-mêmes qui permettront à des applications d’éviter d’accéder à des choses auxquelles elles n’ont pas le droit d’accéder. Sur Debian on peut passer par ACL [Access Control List], mais c’est plus compliqué. Sinon il y a AppArmor aussi qui existe aussi sur Ubuntu. Après c’est vraiment un gros setup et là ça prend du temps pour le faire bien. Si on a le temps ! Banzaï ! Autre question ? C’était si clair que ça, malgré le fait que j’ai été aussi vite ? Cool.
- 1. Association ethACK
- 2. Deltavista
- 3. « Les aventuriers d'Internet »
- 4. Le CECIL - Le Centre d'Études sur la Citoyenneté, l'Informatisation et les Libertés
- 5. Framasoft
- 6. Dégooglisons Internet
- 7. CHATONS - Collectif des Hébergeurs Alternatifs,Transparents, Ouverts, Neutres et Solidaires
- 8. Exoscale - European Cloud Hosting
- 9. Infomaniak