Nous sommes plus nombreux à nous interroger sur nos choix de consommation mais sommes-nous aussi vigilants avec nos données ? Lors de notre inscription sur un site internet nous pensons à l’utilisation de nos données mais lorsque nous achetons une voiture nous regardons les performances ou les émissions de CO2, et pourtant… Pourtant une voiture moderne est un objet connecté qui partage de nombreuses informations. Comment avoir des garanties sur la sécurisation des données échangées ?

 

Lorsque l’on parle d’objets connectés on pense instinctivement aux montres de fitness ou aux téléphones. En cherchant encore un peu on peut rajouter notre compteur d’électricité ou de gaz ainsi que nos enceintes « intelligentes » qui nous obéissent en reconnaissant la voix de leur maître. Mais les objets communicants vont au-delà, ils peuvent aller du frigo intelligent jusqu’à la brosse à dent ou le pèse personne.

De plus en plus d’objets de ce genre s’insinuent dans notre quotidien, il n’est plus possible d’acheter une télé qui ne dispose pas d’un « ami » qui est à votre écoute pour vous simplifier la vie.

Parfois le simple fait de porter une montre connectée peut trahir certains comportements que l’on ne souhaite pas forcément partager. On peut citer l’exemple de Jane Slater qui a publié son expérience sur Twitter qui a été fort surprise de voir une activité soutenue de son « boyfriend » à 4h du matin alors qu’il n’était pas avec elle… Les tourtereaux avaient choisi de partager les données de leurs montres pour se motiver ensemble pour faire du sport.

Dans cet exemple les données sont partagées volontairement mais ce n’est pas toujours le cas, les données peuvent êtres volées, utilisées, revendues… Et si chaque donnée prise séparément semble bien anodine, s’il devient possible de les combiner et de les analyser, ces objets révèleront tout de vos habitudes ou celle de votre entreprise.

Dans cet article nous présenterons des pistes qui doivent nous guider dans l’utilisation de ces objets tout en protégeant notre intimité mais aussi se questionner sur comment les futurs objets et services doivent être construits.

Vie privée et objet connecté : de la simple donnée au comportement

La principale difficulté qui s’offre en termes de sécurisation de la donnée, c’est, nous l’avons vu, que la donnée en elle-même est souvent anodine, comme le rythme cardiaque. Sa divulgation parait toujours à priori sans conséquence grave (à part une mise au point un peu musclée le lendemain si on reprend l’exemple de notre couple de sportifs). Au pire la montre trahira-t-elle quelques anomalies cardiaques ou un accident, mais en soi que faire d’une telle information ?

En dehors de la considération philosophique de l’existence d’une vie privée à protéger, en soi, ce n’est pas très important « qu’on » sache ça de moi.

Ce n’est que lorsque cette information est croisée avec d’autres que les choses se compliquent, et que savoir que je vais tous les mois chez le cardiologue, que je ne consomme pas d’alcool et ne vais que dans des restaurants bien choisis, que dans mon frigo il y a ceci ou cela, que mon IA me rappelle à heure fixe que je dois prendre tel médicament, ou qu’il faut en racheter… et que… et que… et voilà un diagnostic rondement mené sur le mal qui me ronge et m’oblige à une certaine routine, fréquenter certains lieux.

L’intrusion dans la vie privée devient plus violente dès que l’on peut croiser toutes ces données anodines. Et me voilà devenu une proie, on peut faire pression sur moi, se faire passer pour moi, profiter de mes habitudes pour subtiliser mes biens, du simple vol au domicile à la copie du badge qui ouvre les locaux de mon entreprise. La liste est longue.

 

Sécuriser toute la chaine

Il faut donc sécuriser la donnée dés qu’elle est créée. Il faut aller au-delà de l’idée que la donnée en elle-même est anodine, il n’y a pas de donnée anodine ! Mais considérer chaque donnée comme vitale et la protéger en rapport avec cette exigence, c’est un vrai tour de force pour un esprit non averti… Même pour un esprit averti d’ailleurs.

En fait on rejoint ici la priorité de ce que l’on appelle security and privacy by design. La sécurité et la protection de la vie privée doivent être intégrées dès la conception des objets connectés en les rendant les plus robustes possibles.

Mais ces objets font eux même parti de tout un écosystème, et la donnée transite de l’objet via internet et une multitude de réseaux pour arriver dans des centres de données très officiellement exploités, en particulier par les GAFAM dont on peut toujours interroger la bienveillance à l’égard des données. La fuite massive ces dernières semaines des utilisateurs de Whatsapp vers Signal pour protéger leurs données privées semble symptomatique de cette nouvelle méfiance.

Vie privée et objet connecté : comment se défendre ?

Comme l’écosystème des objets connectés exige ce que les experts appellent une « defense in depth », c’est-à-dire une défense de toutes les couches de l’écosystème lui-même (objets,   réseaux, cloud etc…) il faudrait penser une « privacy in depth » dans laquelle l’utilisateur à une grande part à jouer s’il ne veut pas être victime de paparazzis de la donnée !

Les auteurs sont : Walter Peretti, Responsable de la majeure Informatique et Objets connectés et Sécurité (IOS) et Gaël Chareyron, Responsable du département informatique, Responsable de la majeure Data et Intelligence Artificielle (DIA)

 

« Un système d’information est une éponge à données. » Thierry Jardin, responsable de l’activité sécurité et gestion des risques CGI Business Consulting (Club de la presse B2B, table-ronde sur la fraude numérique, février 2015)

 

212 milliards d’objets connectés en 2020
Selon l’Institut fédéral suisse de la Technologie (ETH de Zurich), 150 milliards d’objets seront connectés en 2025. Un chiffre revu à la hausse par IDC avec 212 milliards d’objets d’ici à 2020. Le nombre de données générées, quant à lui, devrait doubler toutes les 12 heures en 2020, alors qu’il ne doublait que tous les 12 mois en 2015.

Les fabricants ont une obligation de sécuriser les informations collectées.
L’article 121 de la loi informatique et libertés prévoit que le fabricant « est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès« .

 

« La prochaine vague de cyberattaques ne consistera pas à détruire des données mais à les modifier. » James Clapper, directeur de la National Intelligence américaine