mardi 21 octobre 2008
Je serai demain après-midi à Chartres pour parler de "Technologies et Vie Privée"
vendredi 26 septembre 2008
Interviewé par Canal Plus sur le thème "Google est-il Big Brother ?"
Vous pouvez revoir mon intervention en cliquant sur http://www.canalplus.fr/pid2244.htm, puis en sélectionnant Emission du 25 septembre 2008, puis sur Partie 3.
lundi 22 septembre 2008
Comment j'ai repéré une faille de sécurité chez Empruntis.com
"Nous n'avons pas encore tout développé nous-même", explique Gaël Duval, co-fondateur, avec Renaud Beaupère, de Jechange.fr. "Pour l'instant, nous sous-traitons le mobile à Meilleur Mobile, qui est également partenaire de Kelkoo, et nous sous-traitons l'assurance à Empruntis.com. Ces deux parties devraient être réalisées en interne début 2009."
Seconde déconvenue : après avoir consciencieusement rempli ma demande (une assurance-santé), sélectionné un prestataire et demandé un devis, je me suis retrouvé sur une fiche récapitulative… qui n'était pas la mienne ! Sont apparus les noms et coordonnées d'une personne que je ne connaissais ni d'Eve, ni d'Adam ! Pour vérifier qu'il ne s'agissait pas d'une fiche "virtuelle" (par exemple, pour expliquer quelles informations il fallait donner), j'ai appelé cet inconnu.
Il m'a répondu qu'il avait effectivement demandé à comparer des offres de crédit il y a environ cinq ans, que l'adresse postale qui figurait sur sa fiche n'était plus valable depuis longtemps, mais qu'en revanche, son mail et son numéro de mobile (qu'il ne possédait pas à l'époque - ce qui laissait supposer qu'il y avait eu croisement avec des bases de données plus récentes) étaient exacts.
Interrogé, Gaël Duval s'est tourné vers son prestataire. Empruntis lui a répondu quelques heures plus tard : "suite à une mise à jour récente en assurance santé, une fonction ne réagissait plus comme prévu dans le cas d'une chaîne de caractères avec une apostrophe dans le champ "adresse". En conséquence, le dossier se voyait attribué un numéro de client très inférieur aux numéros de client actuel. Dans des cas extrêmement rares, cela pouvait correspondre à un client qui était encore en base, car 99% des clients plus vieux d'un an sont supprimés de la base. Cela explique que M. Henno soit tombé sur les coordonnées d'un client correspondant à un dossier datant de 2002".
En tout cas, lundi 22 septembre au matin, tout semblait être rentré dans l'ordre : j'ai refait exactement la même procédure et tout s'est normalement déroulé.
(article paru sur Vnunet.fr le 22 septembre 2008)
jeudi 18 septembre 2008
Invité de l'émission A la carte sur France 3
mercredi 17 septembre 2008
Big Sister Edvige
- les personnes ayant sollicité, exercé ou exerçant un mandat politique, syndical ou économique ou qui jouent un rôle institutionnel, économique, social ou religieux significatif ;
- les individus et groupes susceptibles de porter atteinte à l'ordre public
- état civil, profession ;
- adresses, téléphones, emails ;
- n° de carte d'identité, de passeport, etc. ;
- immatriculations des véhicules ;
- informations fiscales et patrimoniales ;
- antécédents judiciaires ;
- opinions politiques, philosophiques ou religieuses ;
- entourage personnel et professionnel ;
La Cnil et Edvige
Le décret paru le 27 juin 2008 annonçant la "création d'un traitement automatisé de données à caractère personnel dénommé Edvige" (voir encadré ci-dessous) par le ministère de l'Intérieur n'en finit pas de faire parler de lui.
Même si la tension semble être un peu retombée depuis l'annonce, par le président de la République, que le ministère de l'Intérieur allait organiser une concertation.
Alex Türk, le président de la Cnil (Commission Nationale de l'Informatique et des Libertés), se dit d'abord surpris par toutes ces manifestations. "Edvige n'est que le nouveau cadrage juridique d'un fichier qui existe depuis très longtemps, celui des RG, constate-t-il. Un premier décret, paru en 1991, avait donné une existence légale à ce fichier constitué depuis de longue date dans une certaine illégalité."
C'est sous le front Populaire qu'a été créée en 1937 la Direction des services de renseignements généraux et de la police administrative, mais ce n'est qu'au lendemain de la Seconde Guerre Mondiale, en particulier pendant la guerre froide, que les RG avaient pris leur envol.
Le président Sarkozy ayant décidé, dans un but de rationalisation, de fusionner à partir du 1er juillet 2008 les RG et la DST (Direction de la surveillance du territoire) au sein de la Direction centrale du renseignement intérieur (DCRI), un nouveau cadrage juridique était nécessaire.
Normalement, la DCRI doit désormais plus s'occuper de la lutte contre le terrorisme, des risques d'espionnage économique, de la sécurité informatique ou de la surveillance des quartiers à problème.
Alex Türk se félicite que le gouvernement ait finalement décidé de publier le décret annonçant la naissance d'Edvige. "Nous avions beaucoup insisté pour que ce décret soit rendu publique, affirme-t-il. Jusqu'au dernier moment, le gouvernement a hésité. Ce n'est que la veille au soir qu'ils nous ont averti que le décret serait public. Mais nous avions aussi prévenu les autorités concernées qu'en publiant le décret sous cette forme, elles allaient au-devant d'ennuis : nous sommes heureux d'être enfin entendus sur ce point."
A noter que le décret annonçant la création d'un autre fichier du nom de Cristina qui sera également utilisé par la DCRI, n'a fait l'objet d'aucune publication. Sur les quelque 2,5 millions de fiches que comporteraient les ordinateurs des RG, environ 2 millions de fiches devraient êtres repris par Edvige et 500 000 par Cristina.
"Cristina comporte uniquement des fiches sur des personnes susceptibles de porter atteinte à la sécurité de l'Etat : il est donc absolument normal qu'aucune information ne soit communiquée au public sur ce fichier", estime Alex Türk. De même, Cristina ne sera pas contrôlé par la Cnil, au contraire d'Edvige. "Edvige devrait être contrôlé environ tous les cinq ans, calcule Alex Türk.Le contrôle, par sondage, d'un gros fichier comme cela nous prend six à sept mois."
Le président de la Cnil - et sénateur du Nord (Nord-Pas-de-Calais) - en profite pour rappeler que sous son mandat, commencé en février 2004, les effectifs de la Cnil devraient doubler : ils devraient être de 147 personnes fin 2009. "Mais nous sommes toujours les derniers du peloton européen", reconnaît-il. Par exemple, les équivalents allemands et anglais de la Cnil comptent respectivement 400 et 250 personnes.
Edvige, comme son prédécesseur, le fichier des RG, pourra faire l'objet d'une procédure d'accès indirect. N'importe qui pourra demander à la Cnil d'aller vérifier que sa fiche au sein d'Edvige ne comporte aucune information illégale.
Concrètement, un commissaire de la Cnil- un magistrat ou ancien magistrat -, effectue les investigations utiles et fait procéder aux modifications nécessaires, par exemple l’effacement de données inexactes. La CNIL avertit ensuite le demandeur que la vérification a été faite.
"Tous les jours, sept voitures partent de la Cnil, avec un Commissaire à bord, pour aller accéder à des fichiers", énumère Alex Türk. Seul bémol : les demandes sont si nombreuses qu'il faut souvent patienter un an avant que la Cnil n'accède à la fiche demandée.
Enfin, Alex Türk rappelle qu’en l'état actuel du décret, Edvige ne pourra pas faire l'objet d'une procédure de croisement automatisé. "Mais cela n'empêche pas les policiers ayant accès à Edvige, d'aller, au cas par cas, consulter les fiches des personnes intéressées dans d'autres fichiers de police comme le Stic."
Justement, le Stic (Système de Traitement des Infractions Constatées - un fichier centralisant les auteurs d'infractions interpellés par la police) comporte de nombreuses erreurs : 25% des fiches vérifiées par la Cnil sont erronées. Edvige ne court-il pas le même risque. "Je crois que non, répond Alex Türk. Le Stic est un fichier très lourd à gérer et donc à mettre à jour. Edvige sera plus simple et donc moins propice aux erreurs."
Au final, l'actuel président de la Cnil voudrait relativiser l'affaire Edvige. "Cela met le doigt sur quelque chose de grave, mais ce n'est pas le plus important, insiste-t-il. Edvige est loin d'être mon souci majeur. Je suis beaucoup plus préoccupé par la biométrie, la géolocalisation, la vidéo surveillance ou le traçage des gens sur Internet."
Mais Alex Türk ne se montre pas pour autant totalement rassurant. "Tout cela et les fichiers dessinent un avenir assez inquiétant…", admet-il. De quoi donner raison aux associations de défense des libertés individuelles (voir, par exemple, http://nonaedvige.ras.eu.org), qui restent très vigilantes sur le sujet des fichiers en général et d'Edvige en particulier…
(article paru sur Vnunet.fr le 17 septembre 2008)
vendredi 5 septembre 2008
Interviewé par le quotidien Sud-Ouest sur le fichier Edvige
vendredi 29 août 2008
Interviewé par TF1 sur l'utilisation des nouvelles technologies pour nous espionner
vendredi 11 juillet 2008
Bientôt, plus rien n'empêchera la réquisition des fichiers européens par les autorités américaines
Dans son édition du 28 juin, le New York Times a révélé que les Etats-Unis et l'Union Européenne négociaient un accord global sur l'utilisation des données personnelles pour la lutte contre le terrorisme. Ces discussions, commencées en février 2007, font suite à plusieurs scandales : le chantage que l'administration Bush avait opéré, au lendemain des attentats du 11 septembre, sur les compagnies aériennes européennes pour qu'elles lui communiquent les données de leurs passagers (http://livretousfiches.xwiki.com/xwiki/bin/view/Main.NouveauCoupDeForceAmericainSurLeTransfertDesDonneesDesPassagers/); et la réquisition, par les mêmes autorités américaines, des données sur les transferts d'argent transitant par le réseau bancaire Swift (http://livretousfiches.xwiki.com/xwiki/bin/view/Main/WashingtonEspionneLesTransactionsFinancieres). L'accord en cours de négociation donnerait un cadre légal aux transferts des données détenues par des entreprises, de part et d'autre de l'Atlantique, aux administrations américaine ou européenne, pour les aider à lutter contre le terrorisme. Ces données pourront être de tous ordres : relevés de cartes bancaires, historiques de voyages, sites internet visités… Les Etats-Unis, qui sont beaucoup plus en avance que l'Union Européenne pour l'utilisation des fichiers informatiques dans le cadre de l'anti-terrorisme, vont ainsi gagner du temps et de l'argent : ils pourront faire référence à ce cadre légal lorsqu'ils demanderont à une entreprise de lui transférer ses fichiers. Laquelle ne pourra donc plus s'opposer à cette réquisition : quelques sociétés européennes hésitaient encore avant de remettre leurs bases de données aux autorités américaines, car le droit européen interdit de tels transferts (normalement, en Europe, un fichier conçu pour une application commerciale bien précise, ne peut être utilisé à d'autres fins, en particuliers sécuritaires). Un des derniers points en suspens est la possibilité qu'auront - ou n'auront pas - les Européens à porter plainte contre le gouvernement de Washington si une erreur de profilage commise par une agence américaine qui aurait utilisé ces données, entraînait un préjudice : par exemple, ne pas pouvoir monter dans un avion en partance pour les Etats-Unis, ou être refoulé à leur arrivée sur le sol américain. En Europe, pour ce genre de problème, il est possible de porter plainte auprès des organismes en charge de la protection de la vie privée (comme, par exemple, la Cnil, en France). Ce type d'organisation n'existe pas aux Etats-Unis.
Source : Charlie Savage, U.S. and Europe Near Agreement on Private Data, New York Times, June 28, 2008 (http://www.nytimes.com/2008/06/28/washington/28privacy.html)
mardi 8 juillet 2008
La Cnil aurait-elle 4 ans de retard ?
Pour expliquer le manque de réaction des populations, il utilise volontiers la métaphore de la grenouille ébouillantée* : pour l'instant, tout va bien, nous ne nous inquiétons pas de l'augmentation considérable des bases de données qui collectent des informations sur nous. Un peu comme une grenouille plongée dans une eau dont on élèverait progressivement la température, jusqu'à ce qu'elle finisse ébouillantée !
On peut cependant se demander si le président de la Cnil ne réagit pas avec quatre ans de retard. Voilà en effet plusieurs années que les Britanniques ont tiré le signal d'alarme. En août 2004, l'équivalent anglais d'Alex Türk, Richard Thomas s'inquiétait déjà du fichage ambiant.
Voici ce que j'ai écris à ce sujet dans Tous Fichés :
« Le danger existe » de voir la Grande-Bretagne devenir « une société sous surveillance » s’émeut Richard Thomas, Information Commissionner, l’équivalent du président de la Cnil française. « Je ne veux pas tomber dans la paranoïa, mais certains de mes homologues en Espagne ou en Europe de l'Est ont vu lors du siècle précédent ce qui peut arriver quand un gouvernement devient trop puissant et possède trop d'informations sur ses citoyens**», rappelle-t-il, faisant allusion au régime de Franco en Espagne et à la Stasi de l'ex-Allemagne de l'Est.
- voir :
•un billet de Luc Bronner dans le Monde daté d'hier : http://abonnes.lemonde.fr/archives/article/2008/07/07/les-fichiers-policiers-et-la-grenouille-ebouillantee-par-luc-bronner_1067157_0.html
- "Le danger existe" de voir la Grande-Bretagne devenir "une société sous surveillance", Le Monde, avec AFP, 21.08.04
vendredi 4 juillet 2008
L'Europe tentée par Big Brother : le cas suédois
Les grandes oreilles suédoises seront dotées de logiciels de filtrage qui réagiront à des mots-clés. Normalement, ce dispositif ne concerne que les échanges avec l'étranger. Ses opposants craignent qu'il ne puisse également être utilisé contre les Suédois.
Tragique coïncidence : le gouvernement suédois vient d'annoncer qu'il va payer 3 millions de couronnes suédoises (319 444 euros) de dommages et intérêts à un ressortissant égyptien arrêté en Suède en 2001. Soupçonné de préparer des attentats terroristes, Mohammed Alzery avait été remis à des agents de la CIA américaine, expulsé et transféré en Egypte où il aurait été torturé. Il avait été relâché en 2003 par le gouvernement égyptien, qui n'avait trouvé aucune charge à retenir contre lui. Comme quoi un gouvernement démocratique peut facilement accuser par erreur une personne de terrorisme. (sources : Le Monde du 19 juin 2008 http://abonnes.lemonde.fr/cgi-bin/ACHATS/ARCHIVES/archives.cgi?ID=1b50f518997c8da62ecdbcccfaf14fab1c3c76b7761843d7 et le New York Times du 3 juillet 2008 http://www.nytimes.com/aponline/world/AP-Sweden-Exonerated-Suspect.html )
mercredi 27 février 2008
Surveillance Totale sur Internet
lundi 28 janvier 2008
Une conférence à écouter en ligne : 'Services & libertés. Demain, tous fichés ?'
Participaient à cette table-ronde, que j'animais* :
- Barbara Cassin (Centre Léon Robin, CNRS - Université Paris 4, auteur de Google-moi)
- Sébastien Canevet (spécialiste droit de l'Internet et des nouveaux médias)
- Alex Türk (sénateur du Nord et président de la CNIL - Commission Nationale de l'Informatique et des Libertés)
Vous pouvez écouter cette conférence et en lire la retranscription écrite sur :
http://www.inria.fr/40ans/forum/video.fr.php#v5
- en échange de mon aide dans la préparation de cette table-ronde et de son animation, l'Inria s'est engagé à faire un don à la Fondation de France.