Journée de la Protection des Données

28 Jan, 2020  - écrit par  dans Sécurité

Ce 28 janvier 2020, c’est la Journée de la Protection des Données, une journée de sensibilisation à l’importance de la protection des informations personnelles en ligne. Nous profitons de l’occasion pour examiner ce qu’est la confidentialité des données, pourquoi elle est importante, comment vos données pourraient être compromises et ce que vous pouvez faire pour vous protéger.

Données privées

Commençons par décomposer ce que signifie « données privées ». Les données sont des informations. À l’ère d’Internet, la quantité d’informations existantes facilement accessibles continue de croître de manière exponentielle.

La vie privée est le droit de ne pas être vu, quelle que soit la définition du terme, pour quelque raison que ce soit. C’est un besoin humain fondamental de ne pas être observé, et il a été scientifiquement prouvé que les humains se comportent différemment selon qu’ils se savent observés ou non.

La vie privée protège également les informations sensibles qui pourraient être utilisées pour usurper votre identité, prendre votre argent, vous humilier ou vous faire chanter.

Les données privées peuvent généralement être classées en trois catégories :

  • les données commerciales privées
  • les données privées sur les clients
  • les données personnelles privées

Les données commerciales privées peuvent être :

  • Des accords de non-divulgation
  • Des courriers électroniques internes de l’entreprise
  • Des contrats avec les vendeurs ou les clients

Les données privées sur les clients peuvent être :

  • Des contrats de vente spéciaux comportant des clauses de sécurité
  • Des informations financières sur les transactions

Les données personnelles privées peuvent être :

  • Des informations d’identification personnelle (votre nom, adresse, numéro de téléphone, courriel, noms d’utilisateur et numéro de Sécurité Sociale)
  • Des informations financières (votre numéro de compte bancaire, votre salaire, vos prêts et des informations fiscales)
  • Des communications (chats, appels téléphoniques, SMS, messages sur les réseaux sociaux, photos privées)
  • Des données médicales (résultats d’examens ou observations)
  • Des comportement en ligne (votre moteur de recherche ou vos recherches dans le commerce électronique, ou votre historique de navigation) et hors ligne (les informations de localisation de votre smartphone).

Pourquoi ces informations sont-elles précieuses ?

Vos données personnelles sont, avant tout, précieuses pour vous.

Certaines données privées sont sensibles et pourraient être utilisées pour vous nuire d’une manière ou d’une autre, vous contraindre ou vous voler.

D’autres données privées ne sont pas nécessairement des informations sensibles, mais restent des informations qui peuvent être attachées à vous en tant qu’individu sans nécessairement être utilisées contre vous.

Il est évident que la frontière entre les deux peut évoluer, mais toute information pouvant être considérée comme sensible peut être utilisée pour vous nuire.

Les données personnelles sont le « pétrole » qui alimente l’économie d’Internet. C’est vrai aussi bien pour l’économie en surface que pour l’économie souterraine.

L’économie d’internet « en surface » utilise principalement vos données personnelles pour vous proposer directement de la publicité. Vos données personnelles ont une valeur marchande pour les annonceurs.

Le suivi en ligne permet aux annonceurs de remettre sous vos yeux la paire de chaussures que vous avez cherchée sur un site d’e-commerce via une publicité sur un nouveau site que vous visitez.

Les annonces peuvent également vous être adressées en fonction des informations démographiques que vous fournissez aux réseaux sociaux ou en fonction de vos habitudes de navigation antérieures. Plus les spécialistes du marketing disposent d’informations sur vous, plus ils peuvent cibler précisément leurs annonces pour vous convaincre.

Vos données privées peuvent être précieuses pour l’économie souterraine du web. Si vos données personnelles sont volées, les voleurs pourraient les utiliser, ou les vendre soit à des sociétés de marketing, soit à des voleurs d’identité, des spammeurs, des opérateurs de botnet, voire des réseaux de criminalité organisée.

Ils pourraient utiliser votre numéro de carte de crédit pour effectuer des achats en votre nom avec votre argent, ou votre numéro de sécurité sociale pour commettre une fraude fiscale, ou obtenir une carte de crédit à votre nom.

Les spammeurs gagnent de l’argent en achetant des listes d’adresses électroniques auxquelles ils envoient des publicités. Ils sont payés par clic ou par impression d’annonce.

Plus les cybercriminels peuvent recueillir d’informations sur vous auprès de diverses sources, plus ils peuvent causer de dommages. Ils peuvent obtenir votre nom via une source, votre numéro de carte de crédit via une autre et votre code PIN via une troisième source.

Qui détient vos données privées et comment les ont-ils obtenues ?

Lorsque vous vous inscrivez sur un réseau social ou que vous commencez à utiliser un moteur de recherche, vous acceptez souvent des conditions d’utilisation en cochant une case. Renoncer à vos données privées peut être l’une de ces conditions pour avoir accès au service.

Bien que des réglementations telles que la CCPA et le RGPD contribuent à la transparence, un site peut, par exemple, exiger que vous acceptiez des cookies de suivi qui enregistrent votre historique de navigation.

Chaque fois que vous créez un compte ou effectuez une transaction en ligne, vos données privées sont également enregistrées, au moins par la société avec laquelle vous traitez, si ce n’est par un tiers. De même, lorsque vous utilisez des services de localisation sur votre smartphone ou que vous utilisez des applications de santé ou de fitness, les données sont enregistrées.

Parfois, il peut s’agir d’informations que vous partagez sciemment, mais souvent les utilisateurs ne sont pas conscients des informations qu’ils donnent. 

En plus des entreprises privées qui obtiennent vos informations privées, les gouvernements nationaux ou étrangers peuvent également avoir accès ou obtenir l’accès à vos données privées.

Le lanceur d’alerte Edward Snowden a révélé en 2013 des programmes de surveillance mondiale massifs entrepris clandestinement par le gouvernement des États-Unis, qui comprenaient le paiement de sociétés technologiques pour l’accès à des comptes de messagerie électronique, le suivi massif du comportement en ligne et l’écoute téléphonique basée sur la seule adresse électronique. Outre les opérations clandestines, toute donnée que vous donnez à un site web privé pourrait potentiellement être réquisitionnée lors d’une citation à comparaître d’un juge.

Et, au-delà des formes « volontaires » et légales d’acquisition de données, il existe également des moyens illicites d’acquérir des données privées.

Piratage

L’accès illicite aux systèmes et aux informations est appelé « piratage ». Les différents outils de piratage constituent les principaux leviers dont disposent les cybercriminels pour acquérir vos données privées.

Les pirates informatiques ont toute une série de motivations, et pas seulement l’argent. Les pirates à la recherche d’un défi peuvent cibler les entreprises de sécurité informatique. S’ils veulent être célèbres, ils peuvent s’attaquer à des cibles très en vue. Ils peuvent aussi se contenter de s’entraîner ou d’expérimenter, d’orchestrer un coup de publicité ou de chercher à s’exprimer politiquement.

Certaines attaques sont ciblées, tandis que d’autres sont des robots lancés pour rechercher et exploiter les vulnérabilités. Les pirates informatiques peuvent utiliser les archives publiques et les recherches sur les moteurs de recherche pour obtenir une image complète de leurs cibles et de leurs faiblesses.

Les pirates peuvent voler vos données personnelles privées par le biais du phishing et des logiciels malveillants. Voici comment : 

Phishing

Le phishing est le fait de se faire passer pour une entité de confiance, comme une banque, le gouvernement ou un fournisseur de services, afin d’obtenir vos données personnelles.

  • Le phishing traditionnel

Traditionnellement, il s’agit d’un faux courriel d’apparence légitime vous demandant de réinitialiser votre mot de passe, de vérifier les informations de votre compte ou de vous connecter à une fausse version d’un site web légitime, par lequel les pirates informatiques obtiennent vos informations personnelles.

  • Le harponnage

Le harponnage est un type de phishing qui vise des personnes spécifiques.

  • Phishing par SMS

Il s’agit d’un type de phishing qui se produit par le biais de messages textes.

  • Le phishing vocal

Il s’agit de phishing mais par téléphone, comme les appels prétendant provenir du fisc ou de votre banque. 

Malware

Les logiciels malveillants sont des logiciels qui volent vos données privées.

  • Virus

Les virus détournent les ressources essentielles d’un système informatique.

  • Ver

Un ver est un type de virus qui filtre les informations pour les rendre accessibles aux pirates informatiques.

  • Cheval de Troie

Un cheval de Troie est un logiciel malveillant emballé dans un dossier inoffensif.

  • Keyloggers

Les keyloggers suivent tout ce que vous tapez et où vous le tapez.

  • Applications mobiles malveillantes

Certaines applications pour smartphones peuvent demander des autorisations que les pirates peuvent ensuite utiliser pour obtenir des données vous concernant, comme vos messages, vos contacts ou vos photos et vidéos personnelles.
Il s’agit de quelques outils courants, mais les pirates informatiques disposent de nombreux outils.

Comment protéger vos données privées ?

Il est clair que vos données privées sont précieuses. Les entreprises vous les demandent (ou ne vous les demandent pas) pour les avoir, les gouvernements les prennent et les criminels les volent. Mais comment pouvez-vous vous assurer que vos données privées restent privées ?
Cela dépend de qui vous êtes exactement.

En tant qu’entreprise

Avant tout, sachez ce qui rend votre entreprise vulnérable. Si votre entreprise existe depuis un certain temps, il se peut que vous utilisiez des logiciels plus anciens qui ont été développés avant même que l’on ait pensé à la plupart des menaces auxquelles les entreprises sont confrontées aujourd’hui.

La mise à jour régulière des logiciels est l’une des choses les plus importantes qu’une entreprise puisse faire pour protéger ses données privées.

Il se peut également que votre entreprise ne mette pas l’accent sur la sécurité. Il faut souvent une attaque pour que les entreprises commencent à réagir à des failles de sécurité vitales.

Une autre mesure importante consiste à s’assurer que votre direction prend les questions de sécurité au sérieux. Cela peut se traduire par des formations à la sécurité pour les employés et par des approches axées sur la sécurité pour le développement de nouveaux produits et services.

Comme les pirates informatiques peuvent souvent rassembler des informations provenant de sources publiques, une façon d’anticiper ce qu’ils pourraient savoir est de rechercher ce qui est déjà disponible publiquement en ligne.

Si vous voulez aller plus loin, engagez quelqu’un pour essayer de pirater les systèmes de votre entreprise et trouver vos vulnérabilités.
Veillez également à chiffrer les communications et les données aussi souvent que possible.

En tant que client

En tant que client, ou simplement utilisateur, vous avez le droit de savoir ce que les différentes entités en ligne font de vos données. Celles qui font des affaires dans l’Union européenne sont couvertes par le RGPD, et vos droits sont plus clairement définis. Si vous résidez en Californie, la CCPA propose une version limitée des droits à la vie privée du RGPD.
Il est essentiel de savoir qui a recueilli quelles données auprès de vous et ce qu’il en fait pour protéger vos données privées. Associez-vous à des entreprises qui ne collectent que ce dont elles ont besoin, sont transparentes sur ce qu’elles en font, ont de bonnes pratiques de sécurité et s’appuient sur des mécanismes d’authentification forte. 

En tant qu’individu

Il y a beaucoup à faire en tant qu’individu pour protéger vos données contre les pirates informatiques. En voici quelques-unes :

  • Évitez le Wi-Fi public
  • Ne fournissez des données que sur les sites web sécurisés par TLS
  • Chiffrez vos disques et faites verrouiller automatiquement votre ordinateur portable
  • Utilisez des communications et des données chiffrées
  • Utilisez une authentification à deux facteurs
  • N’utilisez pas de mots de passe faciles à deviner
  • Ne laissez pas les comptes ouverts (sur vos ordinateurs non verrouillés)
  • Maintenez les logiciels à jour
  • Ne cliquez pas sur les liens suspects
  • Vérifiez de manière indépendante les courriels demandant des informations personnelles
  • Faites attention aux informations que vous partagez sur les réseaux sociaux
  • Utilisez un VPN pour sécuriser les données

Sur votre smartphone, soyez à l’affût des applications qui demandent des autorisations :

  • Contacts
  • Messagerie par SMS
  • Microphone
  • Autorisations administratives

En tant que citoyen

Enfin, vous pouvez protéger vos données privées en tant que citoyen. La « vie privée » est parfois un droit fluide qui évolue au fil du temps. Avec les progrès technologiques, la capacité d' »écoute » devient de plus en plus facile, et les lois et les services répressifs doivent évoluer pour rattraper les abus de cette technologie, qu’ils soient le fait d’entreprises privées, d’entités publiques ou de criminels.

Les cadres réglementaires tels que la CCPA et le RGPD donnent aux utilisateurs davantage de droits pour savoir ce que les entreprises collectent et ce qu’elles en font.

Gandi soutient des initiatives telles que le EFF et Fight for the Future, qui défendent le droit des internautes à garder privées leurs données privées.