vendredi 26 septembre 2008

Interviewé par Canal Plus sur le thème "Google est-il Big Brother ?"

L'édition spéciale, diffusée sur Canal +, m'a interviewé hier sur le thème Google est-il le nouveau Big Brother ?

Vous pouvez revoir mon intervention en cliquant sur http://www.canalplus.fr/pid2244.htm, puis en sélectionnant Emission du 25 septembre 2008, puis sur Partie 3.

lundi 22 septembre 2008

Comment j'ai repéré une faille de sécurité chez Empruntis.com

Pour un premier contact, ce fut un peu raté. Soucieux de tester, pour Vnunet.fr, le site Jechange.fr (comparateur généraliste dans le secteur des services), j'ai demandé, vendredi 19 septembre, des devis pour une assurance-santé. Première surprise : dès que l'on clique sur l'onglet "assurance" de Jechange.fr, le contenu est fourni par un prestataire, Empruntis.com, "spécialiste en crédit immobilier, crédit conso, assurances, placements et rachat de crédit".

"Nous n'avons pas encore tout développé nous-même", explique Gaël Duval, co-fondateur, avec Renaud Beaupère, de Jechange.fr. "Pour l'instant, nous sous-traitons le mobile à Meilleur Mobile, qui est également partenaire de Kelkoo, et nous sous-traitons l'assurance à Empruntis.com. Ces deux parties devraient être réalisées en interne début 2009."

Seconde déconvenue : après avoir consciencieusement rempli ma demande (une assurance-santé), sélectionné un prestataire et demandé un devis, je me suis retrouvé sur une fiche récapitulative… qui n'était pas la mienne ! Sont apparus les noms et coordonnées d'une personne que je ne connaissais ni d'Eve, ni d'Adam ! Pour vérifier qu'il ne s'agissait pas d'une fiche "virtuelle" (par exemple, pour expliquer quelles informations il fallait donner), j'ai appelé cet inconnu.

Il m'a répondu qu'il avait effectivement demandé à comparer des offres de crédit il y a environ cinq ans, que l'adresse postale qui figurait sur sa fiche n'était plus valable depuis longtemps, mais qu'en revanche, son mail et son numéro de mobile (qu'il ne possédait pas à l'époque - ce qui laissait supposer qu'il y avait eu croisement avec des bases de données plus récentes) étaient exacts.

Interrogé, Gaël Duval s'est tourné vers son prestataire. Empruntis lui a répondu quelques heures plus tard : "suite à une mise à jour récente en assurance santé, une fonction ne réagissait plus comme prévu dans le cas d'une chaîne de caractères avec une apostrophe dans le champ "adresse". En conséquence, le dossier se voyait attribué un numéro de client très inférieur aux numéros de client actuel. Dans des cas extrêmement rares, cela pouvait correspondre à un client qui était encore en base, car 99% des clients plus vieux d'un an sont supprimés de la base. Cela explique que M. Henno soit tombé sur les coordonnées d'un client correspondant à un dossier datant de 2002".

En tout cas, lundi 22 septembre au matin, tout semblait être rentré dans l'ordre : j'ai refait exactement la même procédure et tout s'est normalement déroulé.

(article paru sur Vnunet.fr le 22 septembre 2008)

jeudi 18 septembre 2008

Invité de l'émission A la carte sur France 3

Aux côtés de Nathalie Biltz, avocate au barreau de Paris, spécialisée dans les nouvelles technologies, Marie-Claude Bonneville, porte-parole de l’association "Souriez vous êtes filmés" et Sophie Nerbonne, directrice adjointe du service juridique de la Cnil (Commission Nationale de l’Informatique et des Libertés), j'ai été l'invité hier de l'émission A la carte, présentée sur France 3 par Valérie Durier. Le thème de l'émission était "Fichés, encartés, pistés… comment s’en défaire ?" Vous pouvez revoir cette émission en cliquant ici : http://programmes.france3.fr/a-la-carte/index-fr.php?page=integrales&emission=17

mercredi 17 septembre 2008

Big Sister Edvige

Le fichier Edvige (Exploitation documentaire et valorisation de l'information générale) doit centraliser et analyser des informations sur :
  • les personnes ayant sollicité, exercé ou exerçant un mandat politique, syndical ou économique ou qui jouent un rôle institutionnel, économique, social ou religieux significatif ;
  • les individus et groupes susceptibles de porter atteinte à l'ordre public
Edvige a été créé en vue d'informer le gouvernement et les représentants de l'Etat dans les départements et les collectivités. Entre autres, pour permettre aux services de police de savoir si "le comportement des personnes physiques ou morales intéressées est compatible avec l'exercice des fonctions ou des missions envisagées". Pour cela, Edvige peut collecter les informations suivantes sur les personnes physiques âgées de 13 ans et plus :
  • état civil, profession ;
  • adresses, téléphones, emails ;
  • n° de carte d'identité, de passeport, etc. ;
  • immatriculations des véhicules ;
  • informations fiscales et patrimoniales ;
  • antécédents judiciaires ;
  • opinions politiques, philosophiques ou religieuses ;
  • entourage personnel et professionnel ;
De "manière exceptionnelle", les orientations sexuelles et les données sur la santé de la personne peuvent également être enregistrées dans Edvige.

La Cnil et Edvige

Lors d'un entretien qu'il m' a accordé pour Vnunet.fr, Alex Türk, président de la Cnil (Commission Nationale de l'Informatique et des Libertés), revient sur la levée de boucliers liée à la création du fichier Edvige. __

Le décret paru le 27 juin 2008 annonçant la "création d'un traitement automatisé de données à caractère personnel dénommé Edvige" (voir encadré ci-dessous) par le ministère de l'Intérieur n'en finit pas de faire parler de lui.

Même si la tension semble être un peu retombée depuis l'annonce, par le président de la République, que le ministère de l'Intérieur allait organiser une concertation.

Alex Türk, le président de la Cnil (Commission Nationale de l'Informatique et des Libertés), se dit d'abord surpris par toutes ces manifestations. "Edvige n'est que le nouveau cadrage juridique d'un fichier qui existe depuis très longtemps, celui des RG, constate-t-il. Un premier décret, paru en 1991, avait donné une existence légale à ce fichier constitué depuis de longue date dans une certaine illégalité."

C'est sous le front Populaire qu'a été créée en 1937 la Direction des services de renseignements généraux et de la police administrative, mais ce n'est qu'au lendemain de la Seconde Guerre Mondiale, en particulier pendant la guerre froide, que les RG avaient pris leur envol.

Le président Sarkozy ayant décidé, dans un but de rationalisation, de fusionner à partir du 1er juillet 2008 les RG et la DST (Direction de la surveillance du territoire) au sein de la Direction centrale du renseignement intérieur (DCRI), un nouveau cadrage juridique était nécessaire.

Normalement, la DCRI doit désormais plus s'occuper de la lutte contre le terrorisme, des risques d'espionnage économique, de la sécurité informatique ou de la surveillance des quartiers à problème.

Alex Türk se félicite que le gouvernement ait finalement décidé de publier le décret annonçant la naissance d'Edvige. "Nous avions beaucoup insisté pour que ce décret soit rendu publique, affirme-t-il. Jusqu'au dernier moment, le gouvernement a hésité. Ce n'est que la veille au soir qu'ils nous ont averti que le décret serait public. Mais nous avions aussi prévenu les autorités concernées qu'en publiant le décret sous cette forme, elles allaient au-devant d'ennuis : nous sommes heureux d'être enfin entendus sur ce point."

A noter que le décret annonçant la création d'un autre fichier du nom de Cristina qui sera également utilisé par la DCRI, n'a fait l'objet d'aucune publication. Sur les quelque 2,5 millions de fiches que comporteraient les ordinateurs des RG, environ 2 millions de fiches devraient êtres repris par Edvige et 500 000 par Cristina.

"Cristina comporte uniquement des fiches sur des personnes susceptibles de porter atteinte à la sécurité de l'Etat : il est donc absolument normal qu'aucune information ne soit communiquée au public sur ce fichier", estime Alex Türk. De même, Cristina ne sera pas contrôlé par la Cnil, au contraire d'Edvige. "Edvige devrait être contrôlé environ tous les cinq ans, calcule Alex Türk.Le contrôle, par sondage, d'un gros fichier comme cela nous prend six à sept mois."

Le président de la Cnil - et sénateur du Nord (Nord-Pas-de-Calais) - en profite pour rappeler que sous son mandat, commencé en février 2004, les effectifs de la Cnil devraient doubler : ils devraient être de 147 personnes fin 2009. "Mais nous sommes toujours les derniers du peloton européen", reconnaît-il. Par exemple, les équivalents allemands et anglais de la Cnil comptent respectivement 400 et 250 personnes.

Edvige, comme son prédécesseur, le fichier des RG, pourra faire l'objet d'une procédure d'accès indirect. N'importe qui pourra demander à la Cnil d'aller vérifier que sa fiche au sein d'Edvige ne comporte aucune information illégale.

Concrètement, un commissaire de la Cnil- un magistrat ou ancien magistrat -, effectue les investigations utiles et fait procéder aux modifications nécessaires, par exemple l’effacement de données inexactes. La CNIL avertit ensuite le demandeur que la vérification a été faite.

"Tous les jours, sept voitures partent de la Cnil, avec un Commissaire à bord, pour aller accéder à des fichiers", énumère Alex Türk. Seul bémol : les demandes sont si nombreuses qu'il faut souvent patienter un an avant que la Cnil n'accède à la fiche demandée.

Enfin, Alex Türk rappelle qu’en l'état actuel du décret, Edvige ne pourra pas faire l'objet d'une procédure de croisement automatisé. "Mais cela n'empêche pas les policiers ayant accès à Edvige, d'aller, au cas par cas, consulter les fiches des personnes intéressées dans d'autres fichiers de police comme le Stic."

Justement, le Stic (Système de Traitement des Infractions Constatées - un fichier centralisant les auteurs d'infractions interpellés par la police) comporte de nombreuses erreurs : 25% des fiches vérifiées par la Cnil sont erronées. Edvige ne court-il pas le même risque. "Je crois que non, répond Alex Türk. Le Stic est un fichier très lourd à gérer et donc à mettre à jour. Edvige sera plus simple et donc moins propice aux erreurs."

Au final, l'actuel président de la Cnil voudrait relativiser l'affaire Edvige. "Cela met le doigt sur quelque chose de grave, mais ce n'est pas le plus important, insiste-t-il. Edvige est loin d'être mon souci majeur. Je suis beaucoup plus préoccupé par la biométrie, la géolocalisation, la vidéo surveillance ou le traçage des gens sur Internet."

Mais Alex Türk ne se montre pas pour autant totalement rassurant. "Tout cela et les fichiers dessinent un avenir assez inquiétant…", admet-il. De quoi donner raison aux associations de défense des libertés individuelles (voir, par exemple, http://nonaedvige.ras.eu.org), qui restent très vigilantes sur le sujet des fichiers en général et d'Edvige en particulier…

(article paru sur Vnunet.fr le 17 septembre 2008)

vendredi 5 septembre 2008

Interviewé par le quotidien Sud-Ouest sur le fichier Edvige

Le quotidien Sud-Ouest consacre sa "une" d'aujourd'hui au nouveau fichier de police, Edvige, créé par décret en juin dernier et contesté par de nombreuses personnalités et associations de défense des droits de l'homme. J'ai été interviewé, en tant qu'auteur du livre "Tous fichés", par Priska Ducœurjoly, la journaliste de Sud-Ouest qui a réalisé cette enquête sur les conséquences du fichage. Vous pouvez lire son article en cliquant ici : http://www.sudouest.com/050908/france.asp?Article=050908aP3076067.xml