Vie privée et sécurité en ligne - Résumé d'atelier
Lock by Maxim Kulikov from the Noun Project, sous license CC-BY 3.0. L'icône a été recadrée.
CSA Research, Les Français et la protection de leurs données personnelles, https://www.csa.eu/fr/survey/les-fran%C3%A7ais-et-la-protection-de-leurs-donnees-personnelles
En 2017 et selon une enquête de l’institut CSA, 90% des Français interrogés sont préoccupés par la protection des données personnelles sur Internet.
Qu’est-ce qu’une donnée personnelle ? La Cnil (Commission nationale informatique et liberté) applique la définition suivante :
« Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. »
Cette définition est large : nom et prénom, adresse physique, numéro de téléphone et adresse mail, image, numéro de sécurité sociale, coordonnées bancaires, statut marital, historique de consultation web, historique des achats… Toutes ces données permettent d’identifier une personne, soit directement, soit en les croisant.
Je déclare des données personnelles lorsque je m’inscris à un site web, je fais un achat sur un site d’e-commerce ou je remplis des démarches administratives en ligne. Je produis également des données lorsque je navigue sur des sites ou même avec le GPS de mon smartphone.
Sécurité
Selon l’enquête de l’institut CSA citée précédemment, à la question « Parmi les sujets suivants, lesquels vous paraissent les plus importants ? En premier ? Et ensuite ? », les personnes interrogées répondent en priorité :
1. Les risques de piratage sur internet de vos données bancaires (47% et 80%)
2. L'utilisation sans votre accord préalable d'informations ou documents vous concernant et le risque de piratage (11% et 55%)
3. La protection des enfants contre les risques de l’internet (18% et 49%)
4. La confidentialité d'informations vous concernant et le risque de piratage (8% et 42%)
5. L'impossibilité de supprimer sur internet des informations vous concernant (9% et 35%)
Il existe un cadre légal à l’utilisation des données personnelles. La collecte doit servir un objectif précis et délimité, et que celle-ci doit être soumise au consentement informé de son sujet. Il en va de même pour le commerce en ligne, qui est réglementé comme tout autre commerce.
La menace vient donc des usages illégaux, regroupés sous le terme « piratage ». Qu’entend-on par piratage ? L'usage du terme fait penser à une menace diffuse et omnipotente, qui peut frapper à tout moment. Or, il s’agit surtout de tentatives défaites facilement avec un minimum de compétence en sécurité informatique. On peut lister trois grands outils des pirates informatiques : les logiciels malveillants, le hameçonnage et les fuite de données.
Cybermalveillance.gouv.fr, « Les virus informatiques », https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/virus-informatiques
Les logiciels malveillants
Les logiciels malveillants ont pour but de nuire à un système informatique, et s’installent sans le consentement de l'utilisateur : logiciels espions, rançongiciels, virus informatiques, chevaux de Troie… Ils peuvent prendre le contrôle d’un système informatique pour en faire un usage frauduleux, espionner l’utilisateur, dérober des données personnelles et/ou confidentielles, attaquer d’autres appareils, chiffrer les fichiers et demander une rançon, etc.
Ces logiciels exploitent des failles de sécurité, qu’elles soient humaines, comme ouvrir la pièce jointe d’un e-mail suspect ou installer un logiciel contrefait (piraté ou téléchargé sur un site non officiel), ou logicielles, comme se rendre sur un site frauduleux avec un navigateur web obsolète et sans antivirus.
En cas d'infection, l'appareil peut ralentir, certaines fonctions sont désactivées voire inaccessibles, des messages inopportuns s’affichent... Des logiciels comme MalwareBytes peuvent dresser un diagnostic rapide de l'ordinateur.
Les logiciels malveillants sont facilement défaits avec une bonne hygiène numérique. L’installation d’un logiciel antivirus, le suivi des mises à jour de son ordinateur, de son navigateur web, de son antivirus et une bonne dose de circonspection face aux communications reçues permettent de protéger son matériel et ses données personnelles.
Cybermalveillance.gouv.fr, « L’hameçonnage (phishing) », https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/hameconnage-phishing
Le hameçonnage
Le hameçonnage est une technique visant à soutirer des informations personnelles : informations de contact, mot de passe, coordonnées bancaires… Un site ou un e-mail tentant de se faire passer pour un interlocuteur de confiance (entreprise, magasin, organisme public) vous avertit d’une urgence (promotion choc, problème de sécurité grave, irrégularité à corriger) et vous renvoie vers un formulaire à compléter. Les données personnelles ainsi recueillies serviront à faire des achats non autorisés ou autres actes illicites.
Le hameçonnage par e-mail se produit car l’adresse e-mail est « compromise ». Des pirates informatiques ont pu l’obtenir dans une fuite de données, ou car elle est visible en ligne : écrite de but en blanc sur un site web, sur un forum… L’adresse est alors ajoutée à des listes d’envois massives, qui diffusent des e-mails de hameçonnage de manière automatisée dans l’espoir qu’une petite partie des destinataires tombera dans le piège.
Un minimum de circonspection permet de défaire les tentatives de hameçonnage, dont l’outil principal est le sentiment d’urgence. Avant toute action, prenez votre temps et vérifiez si l’adresse de l’expéditeur correspond bien. Vérifiez si le contenu du mail s’adresse clairement et explicitement à vous, et s’il ne comporte pas de fautes de grammaires ou d’orthographe pouvant indiquer un faux. Finalement, ne cliquez pas sur le lien proposé, et rendez-vous sur le site concerné en passant par un moteur de recherche de confiance. Pour plus d'informations vous pouvez vous référer à notre atelier Repérer les mails frauduleux.
Si vous continuez à craindre de vous faire hameçonner, les banques proposent aujourd’hui la double authentification. En plus de la saisie de vos informations de carte bancaires, vous devrez valider toute transaction en ligne par le biais d’une application mobile ou avec un code reçu par SMS.
Florian Reynaud, Le Monde, « Cinq questions sur la fuite de données concernant plus de 533 millions de comptes Facebook », https://www.lemonde.fr/pixels/article/2021/04/05/cinq-questions-sur-la-fuite-de-donnees-concernant-plus-de-533-millions-de-comptes-facebook_6075616_4408996.html
Les fuites de données
Une fuite de données arrive lorsqu’un pirate informatique accède aux systèmes informatiques d’un site web ou d’une entreprise, et copie et diffuse les données personnelles stockées par ce dernier. Un exemple récent est la fuite de données de Facebook début avril 2021.
Dans la plupart des cas, les informations de paiement passent par des services tiers sécurisés, et ne figurent pas dans les données fuitées. Les données fuitées, comme le numéro de téléphone, l’adresse e-mail et les informations renseignées sur le site peuvent alors être utilisées pour mettre en place des campagnes de hameçonnage.
Il est difficile de prévenir une fuite de données, où le tort repose sur site web ou l’entreprise ayant collecté les données. On peut néanmoins réduire leur impact en réduisant des inscriptions, en partageant le strict minimum de données requises, ou en utilisant une identité jetable pour des sites à usages uniques ou peu fiables (cf. notre atelier Créer une boîte mail). Evitez également d'activer l'option "Se souvenir de mes informations de paiement" sur les sites de commerce en ligne.
Vie privée : Qui m’épie ?
Comment vivent les sites qui ne proposent pas d’achats, comme Facebook, Marmiton ou YouTube ? Comme la télévision gratuite (TF1, M6, BFM…), une partie de leurs revenus provient de la vente d’espaces publicitaires. Même certains sites commerciaux, comme les quotidiens d’actualité nationale (Le Monde, Le Figaro, Libération), proposent des publicités pour étoffer leur revenus.
L’innovation du web est que l’information circule dans les deux sens, et que le contenu proposé est dynamique. Contrairement à une télévision recevant passivement le signal d’une antenne, votre ordinateur et le site web sont en dialogue. Des données personnelles sont alors collectées pour adapter le contenu qui vous sera envoyé.
CNIL, Commission nationale de l'informatique et des libertés, « Comment j'ai attrapé un cookie ? » (3:30) sur Deilymotion
Qu'est-ce qu'un cookie ?
Quand vous accédez à un site, celui-ci peut déposer un cookie sur votre ordinateur. Un cookie est un petit fichier informatique contenant un identifiant unique. Celui-ci sera renvoyé à chaque connexion, ce qui permettra au site de vous reconnaître de visite en visite.
Un cookie peut être bénéfique : il permet de se souvenir de votre panier d’achats, de votre identification ou de votre langue. Un cookie permet également de relier les pages consultées à votre appareil. Cela permet d’identifier vos centres d’intérêts, en analysant les pages et contenus qui ont retenu votre attention ou généré des clics. Ces informations sont ensuite utilisées pour adapter certains contenus, notamment publicitaires, selon vos préférences.
Un graphique produit par l'extension Lightbeam pour Chrome. En accédant à quatre sites web (marmiton.org, leparisien.fr, fnac.fr, buzzfeed.com), le navigateur se connecte à une centaine de domaines tiers. A l’intersection de trois sites, on retrouve notamment Facebook et les régies publicitaires de Google, qui peuvent suivre votre navigation de site web en site web.
Aujourd’hui, accéder à un site implique le plus souvent d’accéder à des domaines tiers : hébergement d’images, intégration de réseaux sociaux, régies publicitaires… Ces domaines peuvent déposer leurs propres cookies sur votre ordinateur, des cookies tiers qui leur seront transmis depuis encore d’autres sites web, permettant ainsi de suivre les internautes sur plusieurs sites.
Les réseaux sociaux, comme Facebook et Twitter, sont des outils de collecte de données personnelles, qui poussent à fournir soi-même des informations permettant un ciblage publicitaire plus précis. Le moteur de recherche Google, qui possède aussi YouTube et le logiciel d’exploitation pour appareils mobiles Android, dispose d’un outil de collecte de données massifs, qui alimente ensuite la régie publicitaire Google Ads.
Le pistage et la collecte de données personnelles ne permettent pas seulement de présenter des publicités plus pertinentes. Aux États-Unis, des assurances offrent des réductions en échange de données de santé collectées à l'aide de montres et de bracelets connectés. Au cours des élections présidentielles américaines de 2016, l'entreprise Cambridge Analytica utilise des données récupérées illicitement sur Facebook pour produire des publicités personnalisées invitant à voter pour Donald Trump.
Martin Untersinger, Le Monde, « RGPD : ce qui change pour les particuliers », https://www.lemonde.fr/pixels/article/2018/05/08/rgpd-ce-qui-change-pour-les-particuliers_5295808_4408996.html
Quelles protections contre le pistage ?
Le sigle RGPD signifie « Règlement Général sur la Protection des Données ». Ce règlement européen, entré en vigueur en 2018, s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès qu’elle est établie sur le territoire de l'Union européénne, ou que son activité cible directement des résidents européens.
Le RGPD oblige notamment à :
• informer les utilisateurs de manière concise et transparente de la collecte de leur données personnelles, des organismes à qui les données seront transmises, et de la finalité de la collecte,
• permettre aux usagers de consulter leurs données personnelles, les exporter et en demander la suppression sous 30 jours,
• des normes de sécurité sur les données collectées et une obligation de prévenir les usagers en cas de fuite,
• des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel.
L’arrivée du RGPD en 2018 s’est notamment traduite par l’apparition de bandeaux relatifs aux données personnelles sur la quasi-totalité des sites web, qui permettent d’en paramétrer la collecte. Le RGPD stipule que l’accès au contenu ne doit pas être subordonné à l’acceptation de cette collecte.
Cnil, « CHAPITRE III - Droits de la personne concernée », https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17
La législation européenne reconnaît la suppression des données des personnes concernées. En 2004, la Cour de justice de l’Union Européenne reconnaît ainsi un droit au déréférencement, qui permet d’effacer un résultat de recherche apparaissant lorsqu’une personne cherche son nom et prénom (C-131/12). L’article 17 du RGPD reconnaît le droit à l’effacement des données d’une personne, dès lors que le traitement de celles-ci ne répond pas à un motif d’intérêt légal ou une obligation légale.
En France, la Commission nationale informatique et liberté (Cnil) est chargée de faire appliquer les lois relatives aux données personnelles, qu’il s’agisse du RGPD ou autres. La Cnil propose des modèles de lettres pour exercer ses droits, et peut être saisie si une organisation ne satisfait pas à la demande d’exercice de vos droits sous les délais légaux.
Votre navigateur web peut réduire de lui-même les traces qu’il laisse. La plupart des navigateurs web modernes proposent des options contre le pistage, comme le blocage des cookies tiers et des outils de détection de l’empreinte numérique. Il est ainsi important de tenir son navigateur web à jour pour se protéger des dernières technologies de pistage. Des modules complémentaires permettent de renforcer votre discrétion : Ghostery, Privacy Badger, uBlock Origin...
Options de protection de la vie privée surle navigateur web Firefox
Pour aller plus loin
• Cybermalveillance.gouv.fr, « Les 10 mesures essentielles pour assurer votre sécurité numérique », https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/10-mesures-essentielles-assurer-securite-numerique
• Perrine Sigornet, Le Monde, « Facebook : comment paramétrer son compte pour protéger au mieux ses données », https://www.lemonde.fr/pixels/article/2018/03/26/facebook-comment-parametrer-son-compte-pour-proteger-au-mieux-ses-donnees_5276736_4408996.html
• Brett Gaylor, Do Not Track, https://donottrack-doc.com/fr/intro/
• CNIL, Commission nationale de l'informatique et des libertés, « Faites régulièrement le ménage dans l'historique de navigation », https://www.cnil.fr/fr/faites-regulierement-le-menage-dans-lhistorique-de-navigation
• Une sélection de documents "Vie privée et sécurité en ligne" disponibles à la Médiathèque