EthACK The Swiss Privacy Basecamp

Que faire pour notre vie privée quand les gouvernements démissionnent ?
Renseignez-vous sur vos droits en tant que Citoyen Numérique, et comment les protéger.

Nos prochaines conférences

News

  • LRens : et après ?

    Par SwissTengu — 25.09.2016
    Le peuple a voté : 65.5% des votants a accepté la nouvelle Loi sur le renseignement. Adieu, sphère privée, donc. On va pouvoir remercier les Médias suisses (publics, privés) pour ne pas avoir abordé les éléments suivants lors de la campagne :

    Bref. On est dans la mouise, aussi à poil que les citoyens américains ou français. Suite à ce vote, les citoyens ont deux possibilités : faire une totale confiance au SRC et aux commissions de surveillance2, ou se défendre bec et ongle pour protéger leur sphère privée et celles de leurs proches3.

    Il est évident que EthACK, de par ses origines, est pour la défence (voire l'attaque). Nous avons jusqu'à septembre 2017 pour fourbir notre arsenal numérique et protéger au mieux nos systèmes, qu'ils soient privés ou d'entreprise.

    La loi sur le renseignement permet pas mal de choses, certes. Elle peut même être assimilée au Patriot Act4 américain, vu qu'elle obligera les entreprises basées en Suisse à fournir des données au SRC. Elle permet aussi aux membres du SRC d'écouter toutes les connexions du pays5, voire de compromettre des systèmes informatiques nationaux6 ou étrangers7.
    Mais nous ne sommes pas sans défense, heureusement. De plus en plus de services offrent différentes choses, auquelles il faut réellement commencer à prêter une attention particulière si ont veut que nos conversations privées restent privées :

    Connexion chiffrée
    À ce niveau, pas de miracle : les services ne fournissant pas de connexion sécurisée (http, smtp, imap, pop3) sont à proscrire. Seules les connexions chiffrées (httpS, smtpS, imapS, pop3S) sont à employer. Si les fournisseurs de services que vous employez ne mettent pas ces protocoles chiffrés à disposition, il serait bon de les contacter pour les inciter à le faire le plus rapidement possible.

    Chiffrement côté client
    Cela concerne principalement les "services clouds", dans le sens (erroné) "stockage en ligne". Il convient de s'assurer que les clients pour desktop, mobile, tablet ou autres chiffrent les données sur l'appareil avant d'envoyer quoi que ce soit. Dans un second temps, il faut absolument s'assurer que vous et vous seuls êtes en possession de la clef de déchiffrement. Sinon, ça ne sert à rien, vos données sont à poil chez le fournisseur de service.

    Multi-factor authentication
    Dans la mesure du possible, pensez à activer le MFA8 sur les services que vous employez. C'est une protection supplémentaire qui évitera les problèmes le jour où le service sera compromis, que ce soit par des hackers doués ou des hackers ayant mis la main sur les divers achats du SRC suite à une fuite de données à ce niveau…

    Localisation des services
    Avec la LRens, l'emplacement des serveurs ainsi que des sociétés les exploitant est moins important. Les USA sont évidemment à éviter à cause de leurs multiples lois (Patriot Act, FISA9, etc), mais il devient moins évident que la Suisse soit mieux : le SRC peut obliger n'importe quel fournisseur de service à donner des informations. D'ici que des sociétés comme Threema10 soit dans le colimateur du SRC, il ne faudra pas long.

    Conditions générales et autres documents
    Comme toujours, il faut lire les conditions générales d'utilisations de même que la politique de confidentialité (privacy policy) avant de souscrire à un service. Oui, ces textes sont longs. Oui, ils sont souvent en anglais. Oui, ils sont très barbants à lire. Mais faites-le !

    Aussi, assurez-vous que vous employez un mot de passe différent pour chaque service ou que, s'il s'agit d'une dérivation d'un mot de passe principal, cette dérivation ne soit pas simple à trouver.

    Au niveau de EthACK, nous allons tâcher de fournir des tutoriaux, et de sortir un nouveau cycle de conférences pour expliquer les tenants et aboutissants de cette loi. 

    Dans l'intervalle, il vous faudra vous renseigner et déjà consolider l'existant. Faites déjà le tri, et profitez pour modifier vos mots de passe et vous assurer que chaque service en utilise un différent.

    Stay safe.

    T.
    • 1Nos élus ne savent pour la plupart pas comment fonctionne Internet ou les smartphones, sans parler même des réseaux sous-jacent
    • 2Bah, à priori, 65.5% des votants semblent vouloir à tous prix y croire, tout comme croire que cette nouvelle loi va réellement nous protéger contre des menaces qui, jusqu'à maintenant, on fait une quantité incalculable de morts : 0
    • 3Ne soyons pas égoïstes — et n'oublions pas que la plus solide des chaînes ne dépend que de son maillon le plus faible…
    • 4https://fr.wikipedia.org/wiki/USA_PATRIOT_Act
    • 5Ne nous voilons pas la face, la présence des sondes au cœur du réseau pour les connexions "externes" vont aussi écouter ce qu'il se passe ailleurs : rien que la RTS passe par Akamai, du coup les visites effectuées sortent du pays. Et combien de vos contacts utilisent GMail ? ;)
    • 6Article 26
    • 7Article 37
    • 8https://en.wikipedia.org/wiki/Multi-factor_authentication
    • 9https://fr.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act
    • 10N'oublions pas que le code source de l'application n'est pas disponible…
  • LRens : tirons les leçons de l'Allemagne

    Par SwissTengu — 17.09.2016
    Les suisses vont voter le week-end prochain. Parmi les différents objets, la Loi sur le Renseignement, aka #LRens1.

    Dans le but de doter le SRC de moyens d'interceptions et d'investigations poussés, la loi introduit diverses possiblités jusqu'à maintenant hors de portée :
    • utilisation des IMSI-Catchers2
    • utilisation de chevaux de Troie3
    • exploration du réseau câblé4
    • et d'autres choses tout autant joyeuses.
    La loi prévoit des garde-fous, ce qui est louable, mais sont-ils suffisants ?

    La nouvelle loi prévoit que les communications "helvético-suisses" ne seront pas écoutées comme le sont celles "entrantes et sortantes" du pays. Cette exception ne sert à rien : une communication entre Lausanne et Zürich peut fort bien passer par la France et l'Allemagne, au gré des routes sur Internet. Du coup elle sera interceptée sans aucune demande d'autorisation spécifique.
    De plus, le fait de soumettre les filtres/mots-clefs à une procédure de validation ne protège en rien les abus : l'exemple allemand5 est très parlant à ce sujet. La variante suisse de la loi sur le renseignement n'est pas sans rappeler la version allemande, et il serait de bon ton de voir ce qui s'est passé chez nos voisins avant de foncer tête baissée.
    Rien n'empêchera non plus que les fameux "GovWare" se retrouvent dans la nature — l'infomatique de la Confédération démontre chaque année (si ce n'est chaque mois) les manifiques compétences de notre pays en la matière…

    Il va sans dire qu'il sera intéressant, dans le cas où cette loi est acceptée6, de surveiller QUI fournira les outils de surveillance à notre service de renseignements. Sans doute des sociétés étrangères, comme c'est déjà le cas pour Fedpol7

    Des précédents

    Il ne faut pas oublier que le SRC, et les services de renseignement suisse, ont une histoire quelque peu trouble :
    • le "scandale des fiches"8 dans les années 1980
    • (au moins) un vol de données directement au sein du SRC9
    • (au moins) un employé a eu un comportement "indélicat" avec un média suisse10
    • … et combien d'autres choses qui ne sont pas sorties au grand jour ?
    Les questions légitimes

    Au vu de tout cela, quelques questions se posent :
    • avons-nous suffisament confiance dans notre gouvernement et les services de renseignement pour leur laisser ces "joujoux" en libre accès ?
    • avons-nous réellement besoin de ces nouvelles mesures ?
    • est-ce que notre droit à la vie privée ne risque vraiment rien face à ces nouvelles mesures ?
    • est-ce qu'on peut réellement se dire "le GovWare est en sécurité dans les infrastructures de la Confédération", surtout si l'on reprend le cas RUAG11, censé "être au top" ?
    Toutes ces questions doivent trouver une réponse positive avant de pouvoir voter "oui" le 25 septembre. Une fois cette loi et ses mesures acceptées, il sera beaucoup plus difficile de revenir en arrière.

    Notons au passage que l'OFCOM s'est bien gardé de publier les ID des cellules GSM/3G/4G12… Et ce dès le début de la publication de l'emplacement de ces mêmes cellules, empêchant ainsi les citoyens de s'assurer que les antennes employées par leurs appareils sont bien des antennes officielles. Avant même la mise en application de la LRens. De quoi se poser quelques questions sur ce sujet précis, et l'utilisation des IMSI-Catchers dans la Suisse de manière générale.

    Ah, et, pour celles et ceux qui vont répondre "bah je n'ai rien à cacher, moi", je vous invite à lire cet excellent billet du non moins excellent François Charlet : https://francoischarlet.ch/2016/rien-a-cacher/

    Bonnes lectures, et votez avec sagesse, pas sous le coup de l'émotion.
  • Fausse bonne idée: un identifiant unique pour le Big Data

    Par pdehaye — 22.06.2016
    La nouvelle régulation européenne sur la protection des données prendra effet en mai 2018. On peut s'attendre à ce que la loi suisse correspondante, la Loi fédérale de 19921, soit aussi mise à jour et suive une trajectoire semblable.

    Cette nouvelle régulation européenne renforce des droits existants et en introduit de nouveaux. Par exemple, elle permettra à tout un chacun d'accéder à ces données  (droit renforcé) dans un format interopérable (droit nouveau). L'espoir est d'éviter des phénomènes de "lock-in" et de permettre au consommateur de prendre ses données dans un service et de les amener ailleurs. L'effort est louable, et introduit énormément de complexité pour les entreprises. Comment celles-ci peuvent-elles s'assurer que l'individu demandant l'accès à ses données est bien celui ou celle qu'il dit être? Comment éviter des situations où un mari demanderait, en vue de l'épier, les données de navigation de sa femme basé sur une adresse MAC par exemple? La situation actuelle requiert d'associer à toute demande des papiers d'identité, et prévoit l'illégalité de la demande au nom de quelqu'un d'autre, mais les sociétés sont quand même frileuses: d'abord ces données sont souvent leur véritable fonds de commerce, ensuite toute communication par erreur de données à la mauvaise personne les exposerait à de gros risques. 

    C'est dans ce contexte qu'aura lieu à Bruxelles la semaine prochaine un workshop, intitulé Unique Identifier for Personal Data Usage Control in Big Data2. Le titre est clair: le but de ce workshop est de définir un standard pour un identifiant unique et global pour l'ensemble des contextes "Big Data". Le même identifiant vous servirait sur Facebook, la SNCF (partenaire) ou votre caisse de santé (AOK Krankenkasse est un autre partenaire). Sans aucun doute, cela simplifierait la vie des sociétés qui cherchent à respecter la loi, substituant à votre passeport papier votre passeport numérique, sous la forme d'un identifiant unique. 

    Les détails disponibles sont encore assez limités, mais on peut vite voir dans le Concept3 que l'approche est en elle-même problématique. Un identifiant unique dans tous ces contextes différents (réseaux sociaux, transports, assurances) enlève une multitude de barrières techniques à des usages qui ne sont pas encore complètement régulés. Ce workshop propose de résoudre le problème technique du respect de la loi d'une manière simpliste, et d'ignorer cette foule de risques qu'un identifiant unique introduirait. En fait, la partie la plus cruciale du concept se retrouve reléguée comme note de bas de page:

    The proposers argue therefore for the creation of an open forum composed of individuals, companies, lawyers, academics, journalists, and health practitioners, international, governmental and non-governmental organizations, to continue after the CEN Workshop ends. They would share their best practices and how these practices can evolve according to the different dimensions of their activities and the contexts. The objective of such forum (with a broader scope than a CEN Workshop) would thus be to combine the respect of fundamental human rights with the integration of the dynamism of situations and contexts, sharing dynamic go-ahead usages and fostering a positive momentum.


    En gros: ne nous embêtez pas, laissez-nous faire du commerce d'abord, après on vous parque dans ce "forum" comme ça vous pourrez travailler sur les "bêtises" qu'on a faites. 

    Quelles bêtises exactement? 
    • comme dit précédemment, un identifiant unique enlèverait les barrières techniques au partage de données entre sociétés, ce qui n'est pas forcément un désir de tous les consommateurs et est certainement un résultat distinct du simple respect de la loi;
    • un identifiant unique forcerait les consommateurs à perdre le peu de contrôle qu'ils ont sur leurs données (sécurité par obscurité et/ou compartimentalisation des profils);
    • cet identifiant unique pourrait être volé et mener encore plus facilement au vol d'identité;
    • cet identifiant ne vieillira pas correctement avec la personne: pour les jeunes enfants, le droits d'accès peut être exercé par les parents, mais bien avant l'âge de majorité ce droit échoit en fait à l'adolescent même, dont la personnalité doit aussi être protégée des parents. Les parents devraient donc connaître cet identifiant tôt dans la vie de l'enfant, et l'"oublier" plus tard;
    • cet identifiant ne résout pas les problèmes associés à l'exercice du droit d'accès lorsqu'une société n'a pas d'informations très "riches" sur un individu (par exemple, des sociétés de pub en ligne, pour lesquelles le droit d'accès s'exercerait via le contenu d'un cookie). En fait il encourage les sociétés à collecter plus de données, ce qui mène à plus de problèmes;
    • pour accéder au contenu détenu par une société, cet identifiant demanderait de communiquer un passepartout pour la vie digitale de l'individu, valable sur un ensemble de sites/sociétés.

    (beaucoup de ces critiques sont semblables à celle émises par le préposé fédéral à la protection des données sur l'utilisation du numéro AVS dans les services fiscaux4)

    A en juger par l'agenda, ce workshop aura très peu de représentants de la société civile présents. J'espère y participer à distance, et formuler un maximum de ces critiques tôt dans le processus de standardisation. 

    Paul-Olivier Dehaye
    PS: L'auteur est aussi le fondateur de PersonalData.IO5, un service dédié à l'exercice facile de son droit d'accès aux données personnelles, sans en compromettre la sécurité. 

Plus ancien