A quand un Data Consumer Patriot Act ?

Quelles solutions pour sécuriser nos données et nos mails ?

Nous sommes tous traqués. Et au courant ! Merci les médias. Cookies, pistages, fishing, hacking. Tous pistés, tracés, harcelés, spammés. Par les moteurs de recherche, les sites internet, les bases de données, les réseaux sociaux. En 3 clics, 108 Cookies sont placés dans votre ordinateur [1]. Ces cookies permettront de mieux connaitre vos gouts, idées, besoins, prévisions d’achat ou de comportements. L’excellent article d’Alexandre Lechene et Martin Untersinger dans Le Monde de juin 2014 retrace le parcours de la journée d’une personne lambda qui se déplace d’un point à un autre en étant fiché à chaque étape de sa journée. Effrayant de vérité et de paradoxe.
De paradoxe pour deux raisons :
  • La première est que la CNIL est censée protéger nos données personnelles et que nous sommes en droit de réclamer le droit à l’oubli,
  • La deuxième venant contredire la première est que les autorités financières pour des questions de blanchiment d’argent ou fiscales, les autorités judiciaires et policières, pour rechercher tout individu hors la loi et dangereux, forcent toute entreprise gestionnaire de données à communiquer[2].
Où est la limite ? Où est le bon sens ?  Va-t-on revenir aux vieilles méthodes pour se cacher de nos pistages ? Le fax va-t-il revenir en force ? Quelles sont les outils pour vivre cacher ?

Plusieurs solutions s’offrent à vous. Plus ou moins pratiques.

Brouiller les pistes en jouant avec l’instant

L’adhésion aux applications jetables : envoyer un mail, une photo, une vidéo pour un temps donné.
 Le temps de l’ouverture, de la lecture, du partage et supprimer ensuite définitivement ce message.
Les applications pour le mail comme Yopmail, FakeInbox, Airmail (…) proposent de créer un compte pour une heure, 10 minutes, d’envoyer le mail pour une heure, 10 min et de faire disparaître le message … A vous de choisir suivant vos besoins ou bien la personne qui sera potentiellement en lecture. Pour les vidéos ou les photos vous pouvez optez pour Snapchat (qui n’ai pas sans faille de sécurité [3]), Slingshot (lancé en Juin 2014 par Facebook) [4].
Le principe est le même. Vous envoyez une photo, elle est lue et détruite en un temps déterminé.
Cela évite à certains de récupérer des photos dans des positions sérieuses et de les partager avec la terre entière. Ce qui peut provoquer des drames tels que le suicide de certains réseautés. On reconnaîtra ici le fait divers de Jade au Canada parmi tant d’autres.
Un vent de révolte se fait entendre et des entreprises ont bien compris le tournant de l’histoire. Cela commence par un Manifesto. Le réseau respectnetwork met en place une charte allant dans le sens du droit au respect de la vie privée. Un sujet traité aussi par la société Tor qui a récolté près de 2M$ (auprès de certains fonds gouvernementaux …) en 2012, pour qui l’anonymat est un gage de sécurité et de respect des droits par la mise en place d’un protocole de compositions multiples de routeurs (appelés couches -d’oignons) empilant les données et cryptant les données. Polémique possible et conflits d’intérêts grandissant entre le besoin de tracer les pédophiles ou les films téléchargés illégalement et le besoin d’’avoir sa liberté personnelle, qui se dit personnelle…

Des solutions plus professionnelles et plus pérennes

Les solutions sont bien sûr encore nombreuses : implémenter un système de mail hautement sécurisé, placer ses données sur un cloud privé d’entreprises hébergé avec une forte charte de respect des droits entre les deux entreprises privées (le client et l’hébergeur), accueillir ses données dans ses propres locaux (attention aux notions géographiques des habitats des serveurs) ou bien solution ultime passer en mode peer to peer sur toutes les données afin que ces dernières soient hébergées en local sur l’ordinateur de l’individu.
Quelques détails sur ces solutions :

1/ Systèmes de mail hautement surveillés et calibrés

Avec les traditionnels services de sécurité de lecture et d’envoi (captcha par exemple), certaines fonctionnalités peuvent être ajoutées aux boites mails pour permettre de palier le parcours de vos messages lus. Des exemples : la précision des adresses écrites et donc des destinataires; lors de l’écriture de l’adresse et avant envoi une relecture des adresses mails vous sera redemandé par pop-up pour éviter d’envoyer à un mauvais destinataire. D’ailleurs à qui cela n’est –il pas arrivé ? Envoyer à Dupont avec un T, votre manager au lieu de Dupond avec un D votre collègue un mail malheureux. Autre exemple pour manier rapidement vos échanges de mails et être sure de sa lecture sécurisée, vous pouvez opter pour l’obligation du destinataire de répondre dans un temps réparti (48 h par exemple) que vous pouvez paramétrer dans votre boite mail ou à chaque envoi de mail. Certaines sociétés, tels que MLstate avec sa solution PEPS, proposent des solutions identiques et travaillent avec les clients pour gérer un référentiel précis de gestion de mail.
Ce référentiel peut être établi suivant une liste de destinataires ou d’expéditeurs, de mots clés, de projets clés, de lecture de fichiers de pièces jointes (..). Ainsi, un stagiaire nommé précisément dans le référentiel ne sera pas autorisé à envoyer des informations ni à l’extérieur de l’entreprise ni à certains collègues, ou bien encore ne sera pas autorisé à  envoyer des fichiers nommés clairement confidentiels. Vous pouvez aussi au lieu d’envoyer un document joint, envoyer un lien sur lequel le document est hébergé en mode Cloud (système identique à Dropbox).
Il suffit de s’authentifier pour valider l’autorisation de la lecture. Les lectures sont tracées et même si le mal est fait vous pouvez repérer l’erreur. Certes c’est bien plus sécurisé pour l’entreprise mais encore plus pisté pour le salarié. Encore un casse-tête juridique…Dans tous les cas vous pouvez suivre les conseils de la jurisprudence : marquer tous vos mails Personnel en Personnel/Privé dans l’objet de vos messages.

2/ Systèmes d’hébergements localisés

Avec le Patriot Act voté en 2006 mais instauré par Georges Bush en 2001 suite aux attentats, la gestion des données personnelles est devenue affaire d’état. Aujourd’hui renforcée, toutes sociétés dont les serveurs sont hébergés aux Etats-Unis tombent sous la loi américaine. Toutes sociétés américaines dont l’hébergement de données peut se faire ailleurs doit se plier également à la réglementation américaine. Difficile d’échapper aux traçages de données sans être dans l’illégalité.

Et en Europe, y a-t-il un European Act ?

Pas encore. Le G29 chargé entre autres de nos données personnelles réfléchit…en attendant pour contrer les données stockées par les entreprises, on sanctionne… faiblement. Au terme de deux ans de procédure, la Cnil a infligé le 8 janvier à Google l'amende maximale de 150 000 euros pour sa politique de confidentialité des données jugée non conforme à la loi Informatique et Libertés [5]. Amende ridicule comparée aux revenus générés par Google.
Certaines solutions seraient donc : soit de faire héberger les données dans un pays neutre voire féroce en matière de gestion de données personnelles (La Russie ? suite à l’affaire Snowden), soit d’héberger vous-même vos données en local. Et le peer-to-peer : la solution d'avenir ? En soit la solution pour le futur serait peut-être le streaming. Rien sur le cloud tout en local. Pas de traces de document lus sur le réseau Internet.

-------
[1] Le Monde - Article – Avril 2014
[2] Le Point- Article- Mai 2014
[3] Forbes-Février 2014
[4] Le Monde-Article- Juin 2014
[5] Le Point Article mai 2014