Afterwork du 18 juin 2015 Groupe Informatique et télécom

Centraliens de Nantes

« Positive Privacy : comment protéger efficacement ses données et reprendre en main sa vie privée »

positive privacy & trust

#PositivePrivacy 10Privacy.com

Sommaire

1. Introduction

2. Rien à cacher ?

3. Les 3 types de surveillance

4. Outils et services pour mieux maitriser sa vie privée

5. Quelques règles d’hygiène de vie numérique

6. Conclusion

Introduction

Faisons connaissance !

• Jérôme Roussin, 36 ans

• CEO de 10Privacy, startup dédiée à la protection de l’information

• 15 ans d’expérience dans la communication et vente dans les entreprises technologiques (Apple, PhotoBox, agences)

• Egalement professeur en Sciences de l’Information à la Sorbonne et dans les écoles de commerce parisiennes

• Auparavant créateur d’Elephant Agency, agence conseil en stratégie de l’information

La surveillance, une prise de conscience

• 2 ans après les révélations Snowden, les mentalités comment à évoluer

• Les éditeurs et créateurs de stratups intègrent parfois la protection de la vie privée dès la création de leurs produits (privacy by design)

• La prise de conscience côté utilisateur reste encore marginale à cause de la complexité des solutions proposées aujourd’hui.

Pourquoi parler de « Positive Privacy » ?

• Quand on parle de protection de la vie privée, la première chose à laquelle on pense… est la contrainte !

• Nous partons donc du postulat inverse : chacun peut anticiper et se créer de nouveaux réflexes, avec un comportement qui crée de la valeur. C’est ce que nous avons nommé « positive privacy ».

• Demain, avec une protection de la vie privée plus intégrée, le travail se fera en amont, et l’utilisateur final n’aura plus à se soucier des détails.

• On parle de « privacy by design » pour la conception de services sécurisés en amont. On peut donc aussi parler de «  positive privacy  » à l’échelle de l’utilisateur, afin de changer ses réflexes positivement, pour son bien-être futur.

Laissez moi vous raconter une histoire…

Réalité ou fiction ?

• Demain, un banquier vous refuse un prêt. Grâce à votre bracelet connecté, il voit que vous n’avez pas assez d’activité physique et que vous risquez donc d’avoir une maladie grave bien plus tôt que le reste de ses clients.

• De même, votre assureur auto refuse d’assurer votre prochaine véhicule (une sportive) que vous comptiez vous offrir pour vos 40 ans, car selon le boitier placé dans votre véhicule actuel, vous avez une conduite à risques et vous dépassez allègrement les vitesses autorisées.

• Egalement, votre femme s’est aperçue que vous aviez une liaison extra-conjugale car Facebook a detecté plusieurs fois que vous vous étiez loggué depuis une résidence inconnue, plusieurs fois par semaine, à des heures tardives. Facebook a donc envoyé un message sur le compte email backup de la famille, exposant à votre insu votre seconde vie.

Rien à cacher, vraiment ?

« Je n’ai rien à cacher, moi. »

• Nous avons tous des choses à cacher, sans pour autant qu’elles soient illégales ou répréhensibles.

• Penser ne rien avoir à cacher équivaut à laisser sa maison ouverte en « open bar  » la journée et la nuit, et laisser y rentrer n’importe qui.

Si vous n’avez rien à cacher…

• Donnez moi votre mot de passe Google et aussi celui de Facebook…

• Montrez moi toutes les photos de votre smartphone.

• Dites moi quel est votre salaire ?

• Laissez le facteur ouvrir tous vos courriers, photocopier ceux qui lui plaisent le plus, et les garder à vie.

• Accepteriez vous une caméra au dessus de votre lit, bien que vous ne fassiez rien d’illégal dedans ?

Bilan : Il faut identifier son

« modèle de menaces »

Modèle de menaces : 5 questions à se poser

1. Que souhaitez-vous protéger ?

2. Contre qui souhaitez-vous le protéger ?

3. Pourquoi est-il probable que vous ayez besoin de le protéger ?

4. Quelles seraient les conséquences si vous échouez ?

5. Quels problèmes êtes-vous disposé à affronter afin de les prévenir ?

Les 3 types de surveillance

- A - La surveillance

interpersonnelle

Amis, conquêtes, patrons, recruteurs… tout le monde

s’y est mis

Nous sommes à la fois surveillants et surveillés

Cas du Graph Search

Parfois, ça donne des FAILS

Parfois, ça donne des FAKES

• Une femme originaire de Brighton, vivant désormais à Dubaï avec son mari, se fait usurper son identité

• 900 photos Instagram dérobées et un faux profil crée avec des milliers de followers

• En France, 120 000 personnes sont victimes d’usurpation online chaque année

- B - La surveillance commerciale

Les GAFA, même combat ?

Pas tout à fait…

1 - Tracking publicitaire

Exemple de Target

2 - Réseaux Sociaux

Le détail sur lequel on ne s’attarde jamais ?

Les conditions générales !

Ce que vous acceptez chez Google

« En soumettant des contenus à nos Services, par importation ou par tout autre moyen, vous accordez à Google (et à toute personne travaillant avec Google) une licence, dans le monde entier, d’utilisation, d’hébergement, de stockage, de reproduction, de modification, de création d’œuvres dérivées [...], de communication, de publication, de représentation publique, d’affichage ou de distribution public des dits contenus. »

Ce que vous acceptez chez Facebook

« Pour le contenu protégé par les droits de propriété intellectuelle, comme les photos ou vidéos, [...] vous nous accordez une licence non-exclusive, transférable, sous-licenciable, sans redevance et mondiale pour l’utilisation des contenus de propriété intellectuelle que vous publiez sur Facebook ou en relation à Facebook »

Et pour longtemps ?

« Cette autorisation demeure pour toute la durée légale de protection de votre contenu, même si vous cessez d’utiliser nos Services. »

Et pour longtemps ?

« Cette licence de propriété intellectuelle se termine lorsque vous supprimez vos contenus de propriété intellectuelle ou votre compte, sauf si votre compte est partagé avec d’autres personnes qui ne l’ont pas supprimé. » « Lorsque vous supprimez votre contenu [...], vous comprenez que les contenus supprimés peuvent persister dans des copies de sauvegarde pendant un certain temps. »

La philosophie Google

« Si vous souhaitez que personne ne soit au courant de certaines des choses que vous faites, peut-être ne devriez-vous tout simplement pas les faire. »

(Eric Schmidt, Google)

Le principal business model du web

« Si c’est gratuit… vous êtes le produit ! »

Et si l’on payait Facebook ?

• Un utilisateur Facebook rapporte environ 20 cents par mois au réseau social, pour 20h passées dessus.

• Si seulement le quart des 1,5 milliard utilisateurs de FB payaient $1/mois, cela rapporterait plus de 4 milliards de dollars par an.

Les réseaux sociaux : un miroir déformant

de la réalité

3 - Le Mobile

• Le mobile est le plus intrusif des moyens de communication

• Il représente aujourd’hui plus de 50% des vistes sur les sites web

• La géolocalisation est activée en permanence chez la majorité des utilisateurs

• Peu d’utilisateurs font attention aux autorisations données aux applications

Exemple : l’application du CIC

Quelques chiffres sur le mobile

• 280 000 abonnés au mobile en France en 1994

• 78,4 millions de lignes en 2014

• 193 milliards de sms envoyés en 2013 (+6% vs 2012)

• 54 millions d’échanges de données en France en 2014

• 4 points relais GSM suffisent à identifier un individu à 95%

• Les agences de renseignement scannent l’entourage des individus avec 3 niveaux de séparation

• 40 contacts dans son téléphone = 2,5 millions de personnes en relation

4 - Big Data et futur du tracking

Rapport de l’EFF du 17 juin 2015

• Utilisation des meilleures pratiques de l’industrie combinant trois critères

• Communication auprès des utilisateurs des requêtes du gouvernement

• Communication auprès des utilisateurs de la politique de rétention des données

• Communication du nombre de fois qu’un gouvernement cherche à retirer le contenu d’un utilisateur, et du nombre de fois où l’entreprise obtempère

• Opposition aux demandes de création de portes dérobées.

Conclusion du rapport : !

Si plusieurs entreprises ont progressé, d’autres méritent vraiment un bonnet

d’âne (WhatsApp détient la palme de la pire politique des données personnelles)

Quelques pistes de réflexion

1. Plusieurs sociétés disposent d’informations sur vous, il semblerait évident que vous puissiez en disposer aussi. Trouvez vous normal que rien ne vous revienne ?

2. Si un site monétise l’ensemble des données dont il dispose, engrange des revenus avec les données qu’il revend de vous, trouvez vous normal encore que rien ne vous revienne ?

3. Question sociétale : veut-on une société aidée ou pilotée par les données ?

- C - La surveillance

étatique

« Si on n’a rien à cacher, il n’y a pas de problème à être écouté. »

Benoît Hamon PS, ministre 2012-2014

« Si vous n'avez rien à vous reprocher, vous n'avez pas à avoir peur d'être filmés ! »

!Brice Hortefeux, ancien ministre de l’Intérieur

Citations

En France, avec la loi sur le renseignement

• Surveillance de masse de toute la population française

• Boites noires et algorithmes « secret defense » sans aucun contre-pouvoir réel

• Aspiration des métadonnées (bien plus intrusives que les données brutes)

• Risques de création de faux positifs (pour rappel, le fichier STIC de la police en 2008 contenait 1 million de personnes blanchies mais toujours considérées comme suspectes)

• Le risque numéro 1 : une nébuleuse de faux positifs. Pour pouvoir déceler des comportements suspects, il faut donc surveiller… tout le monde

Naissance d’un mouvement

Les entrepreneurs français s’inquiètent des conséquences de la surveillance pour l’économie des nouvelles technologies

Du côté des USA…

• 2 ans après les premières révélations Snowden, on note un changement de ton dans l’approche « full intrusive »

• Les USA font un pas en arrière avec le Freedom Act

• L’administration Obama a publiquement reconnu qu’aucun programme de renseignement n’avait pu permettre ni d’anticiper des attentas, ni d’arrêter des terroristes

• La France ne tient pas compte du recul des Etats Unis sur l’écoute de masse et s’engage dans une voie dangereuse, qui pourrait coûter cher aux citoyens.

Focus sur les métadonnées• Les données : contenu d’un email, d’une photo, d’un appel

• Les métadonnées : environnement et contexte complets

Exemple de récolte des métadonnées

• Le propriétaire d’une ligne de portable appelle un centre de dépistage du sida pendant 5 minutes, puis le numéro d’un médecin généraliste pendant 20 minutes. Il appelle ensuite 3 numéros de portables avec lesquels il a échangé beaucoup de SMS et d’appels ces derniers mois.

• A votre avis, que pouvez-vous en déduire ?

Warhol parlait du fameux quart d’heure de célébrité… aura t-on bientôt droit à son quart d’heure d’anonymat ?

Les outils et services pour mieux protéger sa vie privée

Vérifiez régulièrement votre Identité Numérique

mention.net reputationvip.com

Moteurs de recherche

Qwant (français !) et DuckDuckGo (américain) plutôt que Google

Gestionnaires DNS

Chiffrer ses emails

Dans son logiciel de mails : GPG Tools En Saas : ProtonMail

Faire un chat sécurisé

• Pidgin (pour Windows ou Linux)

• Adium (pour OS X)

• ChatSecure (pour iPhone et Android

• Jitsi (OS X et Windows)

Vous pouvez associer le protocole sécurisé OTR (Off The Record) aux logiciels de chat suivants :

Echanger des fichiers

Téléphoner de manière sécurisée

• Signal (iPhone)

• RedPhone (Android)

• TextSecure (Android)

Naviguer - presque - anonymement sur internet

TOR : navigateur internet anonyme *

TAILS : système d’exploitation anonyme

* mais pas le système hôte

Extensions pour la protection de la vie privée

dans Firefox

AdBlock Edge : bloqueur de pub open source (contrairement à AdBlock)

Disconnect / Ghostery : bloqueurs de trackers de réseaux sociaux

Disconnect Search : search Google anonymisé

HTTPS Everywhere : force le protocole SSL si disponible

Self Destructing Cookies : efface les cookies après fermeture de l’onglet

DoNotTrackMe : Bloque le tracking publicitaire

Request Policy : gère les requêtes http plus finement

NoScript Security Suite : bloque le Javascript sur les pages choisies

Extensions Firefox

Cas de LightBeam

LightBeam (uniquement sur Firefox) vous aide à visualiser les sites tiers qui demandent des informations vous concernant.

Quelques règles d’hygiène de vie numérique

Hygiène de vie numérique (1/2)

• Dans 90% des cas, la faille se trouve entre la chaise et le clavier… c’est vous !

• Ne révélez jamais d'information personnelle par inadvertance

• Chiffrez vos disques durs intégralement

• Prenez en main la gestion des cookies

• Ayez un identifiant / phrase de passe unique par service

• Créez vos identifiants avec un gestionnaire de mots de passe

Hygiène de vie numérique (2/2)

• Ne vous connectez pas sur les réseaux wifi publics non sécurisés (ou alors, VPN obligatoire)

• Privilégiez les sites en SSL / TLS avec protocole https

• Prenez garde aux sites qui offrent prix et récompenses en échange de votre contact ou de toute autre information

• Protégez votre téléphone par mot de passe alphanumérique

• Ne laissez pas le wifi et le bluetooth allumés sans raison valable

Hygiène de vie numérique : Réseaux Sociaux

• Pensez d’abord, écrivez ensuite

• Protégez vos infos de base (destinées à vos amis seulement)

• Eliminez les apps Facebook, les pages et les likes inutiles

• Désactivez les tags suggérés et la reconnaissance faciale

• Vérifiez la nature des tweets que vous avez publié

• Revoyez vos publications Instagram, rien de trop perso ?

• Contrôlez ce qui est dit, comment et avec qui

Conclusion

Quelques pistes de réflexionSi demain nous nous savons surveillés, il y a un risque d’autocensure,

on tombe donc dans le panoptique de Bentham

Quelques pistes de réflexion• La protection des données est un problème social, économique, politique… Il

nous dépasse donc tous et doit être considéré avec le plus grand sérieux.

• Cela devient, in fine, rien de moins qu’un choix de civilisation. Ce choix ne peut se faire que collectivement.

• La valeur cardinale de la vie numérique de demain : la confiance. Pas d’échanges ni de transactions sans confiance ni sécurité.

• Il est primordial de comprendre que les choix techniques ou politiques de demain peuvent changer, et qu’il faut dès à présent l’anticiper en se protégeant.

• Aujourd’hui, la plupart des solutions de protection de la vie privée restent encore complexes à mettre en oeuvre : il est donc temps de simplifier les étapes.

Quel avenir ?

‣L’ensemble des communications personnelles et professionnelles doivent devenir chiffrées par défaut, sans contrainte pour l’utilisateur.

‣Aujourd’hui en 2015, le chiffrement n’a de sens que s’il est fait de bout en bout (end-to-end)

‣Les algorithmes grand public actuels (RSA et AES notamment) commencent à dater et leur fiabilité n’est plus prouvée.

‣Si un serveur subit des attaques, il est essentiel que son contenu ne puisse être compromis à des fins malveillantes.

Qu’est-ce que 10Privacy ?

‣10Privacy est une startup investissant le marché de la confiance numérique.

‣Son but : fournir une solution open source de sécurisation des données qui permet d’assurer l’authenticité et l’intégrité des données entre les utilisateurs du service.

‣Cette solution agit comme un nouveau tiers de confiance instaurant une sécurisation de bout en bout, créant une chaine de valeur complète restant intégralement chiffrée.

‣10Privacy est une startup de la French Tech, dont les bureaux sont chez Numa à Paris.

positive privacy & trust

#PositivePrivacyhttps://10privacy.com

Les 4S de 10Privacy

Simplifier Sécuriser

Sensibiliser Suivre

les usages en rendant service à l’utilisateur, en s’occupant pour lui des tâches complexes.

son parcours en ayant recours aux technologies de chiffrement les plus fortes afin de garantir l’intégrité des ses données.

l ’évolution des technologies, anticiper les changements et mettre l’utilisateur au centre de la stratégie.

à la protection des données pour tous, à la création de valeur de la positive privacy, et partager les conclusions

Annexes

• eff.org

• café-vie-privée.fr

• prism-break.org

• korben.info

Sites web

Livres

• « La vie privée, un problème de vieux cons ? » Jean Marc Manach

• 2 Guides d’autodéfense numérique de boum.org (360 pages)

• Cryptoparty Handbook (330 pages)

Citation

« Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux. »

Benjamin Franklin (1706-1790)

Merci pour votre attention !Des questions ?

https://10privacy.com hello@10privacy.com

positive privacy & trust

10PRIVACY NUMA DEV’ FLOOR

71 rue du Faubourg Saint Martin 75010 Paris