Archives pour la catégorie Cyber-sécurité

La cyber-sécurité est un domaine très spécial que les experts qualifient comme « redoutable ». Elle concerne à la fois les ordinateurs, les smartphones, les appareils connectés… tout ce petit monde sensible à la sécurité Internet.

StopCovid : 4 points en sa défaveur qui risque d’impacter négativement son utilisation

L’application de « traçage », pour avertir des personnes qui ont croisé des cas positifs, a été adoptée par le parlement mercredi.

Le 27 Mai c’est-à-dire hier, le parlement français adopté de manière définitive le projet gouvernemental de mise en place d’une application mobile du traçage. Une application qui est censée permettre de retracer les interactions en vue de permettre l’information d’une personne dans la mesure où elle serait en contact avec une autre dépistée positive au Coronavirus. La mise en place de l’application a été perçue par le gouvernement français comme une étape-clé dans la procédure de confinement, afin de réduire au minimum les coûts en terme de d’infections. Selon les dernières nouvelles, cette application pourrait être disponible au grand public à partir de cette fin de semaine, c’est-à-dire le 31 mai.

Cet article va aussi vous intéresser : La Commission Nationale de l’Informatique et des libertés donne un avis favorable au déploiement de StopCoviD

En dépit de l’aval du parlement et de l’autorité administrative indépendante en charge de la protection des données personnelles et des droits du numérique, CNIL, il n’empêche que certains aspects poussent à croire que l’application risque de rencontrer beaucoup de difficultés. Et les raisons sont nombre de 4.

1- La limite d’ordre pratique

Le problème avec une application mobile, c’est qu’elle fonctionne sur des smartphones. Selon l’Agence de Régulation de Communication Electronique des Postes et de la distribution de la presse en abrégé Arcep, 77 % les Français détenaient un smartphone en 2019. Seulement 79 % en 2020. En observant les tranches d’âge, ce taux se partage à 98 % pour les individus âgés de 18 à 24 ans et 44 % pour les personnes âgées de 70 ans et plus. On peut remarquer une chose importante dans cette statistique, c’est que les personnes les plus vulnérables sont pratiquement exclues de ce schéma, car ils seront bien sûr, les moins à utiliser cette application.

2- Bluetooth et la question de sécurité et de fiabilité.

Comme nous le savons déjà, l’application de traçage du mobile du gouvernement se basera sur la technologie Bluetooth. En effet, lorsque l’application est installée sur deux smartphone, et que ce smartphone se trouvent à une distance d’un mètre l’un de l’autre, il sera envoyé une notification à l’utilisateur du smartphone, négatif au coronavirus lorsque l’autre est dépistée positif. De la sortie notification vous incitera alors à vous isoler et contacter automatiquement les services de santé. Si l’avantage de Bluetooth dans ce contexte évite de passer par la géolocalisation, il n’empêche pas qu’il est possible de détecter un cas même derrière une vitre en plexiglas ou une combinaison. Ce qui n’est pas très adapté pour les agents de santé par exemple.

De plus, le secrétaire Cédric O dans ses estimations avait noté le l’application serait en mesure de capter : « entre 75 et 80 % des gens à proximité », il n’en empêche que les iPhones poseront un problème de direction, car durant les différents tests, à plusieurs reprises, la connectivité bluetooth iPhone ont posé de difficulté.

3- La protection de la vie privée.

Lors du débat à l’Assemblée nationale, Jean-Luc Mélenchon s’insurgeait : « Je fais partie de ceux qui ne veulent pas qu’on sache près de qui j’étais à moins d’un mètre, pendant plus d’un quart d’heure. C’est le temps d’un baiser. Ça ne vous regarde pas ». Il faut reconnaître que de nombreux élus à l’instar de ces derniers, des spécialistes de la sécurité informatique et des défenseurs des droits, ont critiqué le problème que pose l’application de traçage mobile en ce qui concerne la vie privée. Si le gouvernement a plusieurs fois répété que les informations récoltées seront confidentielles et ne pouvant être utilisée même par l’État à des fins de surveillance, l’inquiétude demeure, et les gens ne font pas confiance. D’où le dilemme exposé par, Damien Abad, le député de l’Ain, par ailleurs, président du groupe parlementaire « Les Républicains à l’Assemblée nationale » : « Cette application est confrontée à un blocage : soit elle est volontaire et alors elle est inefficace, soit elle est obligatoire et alors elle est liberticide ».

4- le timing

Pour certains, cette application vient un peu trop tard. Surtout que d’ici le 2 juin, le deconfinement serait à sa seconde phase. « Il faut dire la vérité : cet outil pourrait être utile en cas de deuxième vague, mais là il est arrivé trop tard. Le débat parlementaire était prévu le 28 avril , ils ont un mois de retard à l’allumage! », notait Damien Abad. Mais tous ne sont pas d’avis avec ce dernier car Marie-Christine Verdier-Jouclas affirme de son côté : « Rien n’est jamais trop tard, tant qu’il y a la possibilité de sauver des vies. L’épidémie est toujours en cours, le virus circule toujours ».

En définitive, plusieurs raisons peuvent faire penser l’application de traçage mobile pose un problème. Les initiateurs c’est-à-dire le gouvernement, ne semble pas flancher et continue d’assurer que ce programme pourrait atteindre son but. À cet effet, Cédric O et son équipe estime que : « StopCovid est utile dès les premiers téléchargements, c’est ce que révèlent les études épidémiologiques. Il n’y a pas d’objectif de pourcentage (…) les conditions d’une large adoption par la population française sont réunies (volontariat, temporaire, anonyme, transparence, pas de géolocalisation) ». Le secrétaire chargé au numérique déclarait lui-même : « À partir de 10 % de personnes qui l’utilisent dans un bassin de vie, elle (l’application, NDLR) a une efficacité systémique pour diminuer la diffusion de l’épidémie ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La protection des données de santé, un casse-tête pour les autorités et les particuliers

Depuis l’annonce de StopCoviD, l’application de traçage, plusieurs débats ont été initiés, menés et continueront de naître au fur et à mesure.

La question essentielle pour ne pas dire l’inquiétude au centre de taux surmenage n’est rien d’autre que la gestion des données de santé. Les données de santé sont des données personnelles qui permettent d’avoir certaines informations sur une personne en particulier.

Cet article va aussi vous intéresser : La protection des données personnelles à l’épreuve de la pandémie du coronavirus

Il peut s’agir de son état de santé mais encore plus. C’est-à-dire, des informations nominatives tels que des noms, des prénoms et mêmes des statuts matrimoniaux sans oublier la localisation géographique. Pour dire que parlant de données personnelles de santé, la nature délicate de la chose pousse certaines personnes en particulier les défenseurs des droits humains et les spécialistes de la sécurité informatique à réagir.

L’idée de l’application et l’objectif derrière ne sont pas mauvais en soi. Cependant, plusieurs réalités sont à prendre en compte. Comme le fait que tous les intervenants dans ce programme, pourraient avoir accès à l’ensemble des données qui seront collectées et gérées. Et les acteurs de cette chaîne de pistage à ce jour sont assez nombreux. On parle notamment de médecins, de pharmacies, de laboratoires, les services de santé de l’armée, d’établissement de santé, des assurances maladie, des communautés professionnelles territoriales dédiées à la santé et l’ensemble des structures qui ont été créé depuis les débuts de la pandémie pour lutter contre la maladie. Beaucoup trop d’intervenants pour toutes ces données. De quoi à rendre difficile une quelconque transparence dans la gestion de celles-ci.

Dans de telles conditions, appliquer certaines règles seraientt impossible. Même si d’un autre côté le conseil constitutionnel essaie d’élargir le champ d’application des principes existants en essayant d’inclure certaines ideaux de nécessité publique. L’institution juridique suprême notait à cet effet : « le champ des personnes susceptibles d’avoir accès à ces données à caractère personnel, sans le consentement de l’intéressé, est particulièrement étendu, cette extension est rendue nécessaire par la masse des démarches à entreprendre pour organiser la collecte des informations nécessaires à la lutte contre le développement de l’épidémie ». Dans le contexte actuel, il serait anticonstitutionnel si et si seulement des travailleurs sociaux prenais connaissance des fichiers appartenant à des individus sans leur consentement, car : « rien ne justifie que la communication des données à caractère personnel traitées dans le système d’information ne soit pas subordonnée au recueil du consentement des intéressés ».

Notons par ailleurs que le ministère de la Santé a mobilisé un groupe d’agents dénommé « brigades d’anges gardiens », leur objectif étant étant d’assurer le pistage des personnes détectées positives au coronavirus ainsi que les personnes avec lesquelles on pilote en contact. Pour assurer la sécurité des informations qui serait connecté sur les personnes impliquées dans ce pistage, les structures acteures devraient mettre en œuvre un moyen pour respecter la norme en vigueur à ce sujet, notamment le règlement européen 2016/679 du 27 avril 2016, où l’existence est faite aux intervenants : « respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée. À cette fin, une matrice d’habilitation définissant les droits d’accès en lecture et en écriture selon les profils des personnels habilités est un élément central de la sécurité du traitement ».

Cependant, le ministère de la Santé avait signifié à la Commission Nationale de l’Informatique et des libertés qu’il ne comptait pas reconfigurer les dispositifs de pistage pour limiter les accès pour le seul besoin des utilisateurs en raison « des contraintes opérationnelles rencontrées ». Une posture qui pour les juristes est totalement contraire aux règles du règlement général de la protection des données dans le cadre des « mesures techniques ou organisationnelles appropriées » (art. 5.1). En effet, vous en article 32. 2 la RGPD dispose que : « il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite ».

En outre, un autre point est mis en évidence concernant la gestion des données après sa collecte. C’est la centralisation des informations collectées. Pour les spécialistes, procéder ainsi expose grandement les personnes impliquées dans cette dynamique de pistage. Car cela permet très facilement les abus de la part de l’autorité en charge de cette collecte et de cette gestion. Dans le cas de l’application de traçage français, l’idée a été émise de crypter les informations quand bien même qu’elles seront stockées sur un serveur unique et centralisé. Une idée qui n’est certes pas parfaite, mais qui a le mérite d’être validée par la Commission Nationale de l’Informatique et des libertés, que le 24 avril 2020 écrivait ceci : « […] la conception de l’application StopCovid témoigne du souci de protéger la vie privée des personnes, notamment en évitant que soit centralisée dans un serveur une liste des personnes qui se déclarent malades ».

En dépit de toutes ces tentatives, il n’empêche que le problème demeure. Les informations des particuliers relatives à la santé n’ont pas encore trouvé un cadre technique et juridique pour assurer la protection des personnes qui sont liées.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La Commission Nationale de l’Informatique et des libertés donne un avis favorable au déploiement de StopCoviD

À quelques jours de son déploiement officiel, la future application de traçage mobile, développé par le gouvernement français en vue d’aider au déconfinement et circonscrire la maladie, a reçu de la part de l’autorité indépendante administrative chargé de la gestion des données personnelles et des droits liés au numérique, un avis positif sur certains points.

Cet article va aussi vous intéresser : Traçage mobile et déconfinement : l’application de gouvernement ne fait toujours pas l’unanimité auprès des experts

Il faut noter que le tout premier avis émis par la Commission Nationale de l’Informatique et des libertés à l’égard du projet gouvernemental de l’application de traçage avait été positif que certaines exigences y avaient été adjointes. Pour le second avis, les initiateurs du projet ne pourraient pas espérer mieux. Cet avis est tombé aujourd’hui le 26 mai 2020. Il porte essentiellement sur le décret de création de l’application « StopCoviD ».

Dans la soirée d’hier, le secrétaire d’État au numérique, qui est rattaché directement au ministère de l’Économie lors d’une annonces publiques signifié que : « l’application est techniquement opérationnelle et les tests » qui ont été menés avaient été « conclusifs », de telle sorte, que l’autorité en charge a partagé des captures d’écran du programme informatique.

Mais avant tout déploiement définitif, l’Assemblée nationale doit au préalable donner son accord, et cela après un débat parlementaire en présence de secrétaire en charge du projet, Édouard Philippe. Un débat qui est censé avoir lieu dans la journée de demain, mercredi 27 mai.

Si l’autorité administrative chargée de la protection des données personnelles n’a pas manqué de soulever certaines exigences en matière de gestion des informations des utilisateurs de l’application, elle a aussi soulevé plusieurs points qui l’ont satisfaite. D’abord il faut soulever que la raison particulière qui a permis à la Commission Nationale de l’Informatique et des libertés de valider le projet était la question de l’utilité sanitaire, faisant primer ici un droit général au détriment de certaines prérogatives particulières. C’est pour cette raison que dans son avis, l’autorité administrative indépendante notifie : « l’utilité de l’application et la nécessité du traitement [de données] sont suffisamment démontrées en amont de la mise en œuvre du traitement ». Et ajoute par la suite que « nombreuses garanties sont prévues par le ministère ». De plus, le ministère en charge aurait pris en compte certaines recommandation faite par l’autorité administrative il y a quelques semaines de cela. Cette dernière a remarqué que « le ministère a confirmé qu’il n’envisage pas d’attacher des conséquences juridiques défavorables au fait de ne pas avoir téléchargé l’application et qu’aucun droit spécifique ne sera réservé aux personnes qui l’utiliseront ». La CNIL a ajouté que le décret portant création du StopCoviD sera modifié pour permettre que l’application puisse être utilisé par les individus comme bon leur semble, mais que personne ne pourra faire de fausse déclaration sur son statut comme se déclarer, faussement malade et que certaines collectes d’informations portant sur l’identification des personnes touchées par le coronavirus, les zones où les malades ont pu se déplacer… La CNIL s’est aussi assurée que le consentement des utilisateurs soit exigé pour l’installation de l’application, les nodifications relativement aux résultats positifs et notamment l’activation et l’usage du bluetooth.

En outre, la Commission Nationale de l’Informatique et des libertés a salué le choix du gouvernement d’utiliser le protocole Robert pour sécuriser la gestion des identifiants. Elle estime que : « Ce choix est protecteur de la vie privée », alors que l’architecture a beaucoup été critiqué par les spécialistes de la sécurité informatique et les défenseurs de la vie privée du fait qu’elle octroie trop d’importance à un serveur central.

Toutefois, elle a relevé certains points qui pourraient être améliorés. Par exemple, l’application de traçage « ne permet pas de tenir compte du contexte dans lequel les personnes se trouvaient au moment où une exposition à une personne infectée a été enregistrée », ce qui peut être assez limite pour les professionnels de santé qui sont ou qui seront forcément en contact avec des personnes potentiellement de malades. À ce propos la CNIL a demandé d’ajouter à l’application une fonctionnalité « de désactivation temporaire, aisément accessible, sur l’écran principal de l’application, [qui] pourrait être de nature à réduire le nombre de fausses alertes ». Pour les utilisateurs mineurs ou pour des parents, l’autorité administrative recommande d’ajouter un texte spécifique « afin que l’application soit utilisée à bon escient et que le message d’alerte susceptible de leur être adressé soit adapté et bien interprété ».

Concernant le débat portant sur la publication intégrale au partielle du code source de l’application, la Commission Nationale de l’Informatique et des libertés à trancher le litige en estimant qu’il « est important que l’intégralité du code source soit lui rendue publique ». Une exigence qui risque de ne pas plaire au gouvernement qui bien sûr ne l’avais pas prévu.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Traçage mobile : l’énorme échec de l’application de tracking Australien

Les Etats sont de plus en plus tentés d’initier les applications de traçage mobile permettant d’évaluer les interactions et déterminer à quel moment tel ou tel individu a été en contact avec tel autre, de sorte à circonscrire la propagation du coronavirus.

Cet article va aussi vous intéresser : Covid-19 : comment garder votre vie privée sur le net ?

Une solution parmi tant d’autres. Cette la solution, qui de jour en jour est adoptée à travers le monde. L’Australie fait partir de l’un des premiers pays à avoir opté pour ce système de tracking. Cependant le résultat attendu n’a pas été celui qui a été observé. Les autorités australiennes ont dû faire face à un énorme échec.

Dès le début projet, les autorités australiennes comptaient véritablement sur cette stratégie pour indiquer le plus tôt possible la pandémie. Mais après un mois de déploiement, il a été constaté que l’application n’a pas su répondre aux objectif gouvernement australien et pour des raisons diverses.

Connu sur la dénomination de Covidsave, l’application du traçage mobile australienne est l’équivalent de StopCoviD en France, projet informatique qui est actuellement en cours de développement en France. Cette dernière n’a pu permettre de détecter un seul cas durant ce dernier mois. Cet unique cas a été observé grâce à l’application d’une personne qui aurait été dépistée positive au CoviD- 19, et décidé spontanément de mettre à jour ses données sur l’application. Cette dernière par la suite auraient été contactée par les autorités afin de l’encadrer et la conseiller.

Une telle situation a poussé les élus Australien a quelque peu revoir leur copie. Covidsave n’est plus l’élément clé du déconfinement et cela au grand dam du premier ministre Australien qui n’a cessé de vanter les mérites de ce projet. « […] l’application reste un bide. Fin avril, le Premier ministre australien Scott Morrison avait pourtant vanté les mérites de l’outil et la nécessité d’y avoir recours. Mais devant le manque de succès de l’application, même les hommes politiques ont baissé le ton et changé quelque peu de discours : Covidsafe n’est plus l’instrument primordial pour limiter le nombre d’infections au Covid-19 mais un outil supplémentaire venant appuyer les mesures déjà en place pour identifier les cas contacts de personnes contaminées. » notait Ambre Deharo, journaliste.

À l’instar de la future application française, Covidsave se base sur la technologie Bluetooth pour fonctionner. L’idée est à peu près similaire que le projet StopCoviD. Elle est censée permettre de retracer les interactions sur une durée d’au moins 21 jours. Pour que cet outil soit efficace, les autorités australiennes avaient espéré une utilisation de 41 % de la population. Malheureusement, 6 millions d’habitants l’ont téléchargé. Et pire, ce nombre diminue de jours en jours. Selon le journal britannique the Guardian, le nombre d’utilisateurs espéré par les autorités serait en deçà d’au moins 1,5 millions. Sans compter le nombre d’Australiens ne disposant pas de téléphones équipés d’une technologie bluetooth ou encore ceux qui n’en veulent pas sur leur smartphone tout simplement.

Pour le moment la raison de l’échec n’a pas encore été découverte. Ce que l’on sait, le gouvernement avait mis en place tous les moyens pour réussir ce pari. Malheureusement, les citoyens n’ont pas, il semble, convaincu. Cela, en dépit de toutes les campagnes de sensibilisations menées. À ce propos, l’inquiétude majeure se situerait au niveau de la gestion des données personnelles qui aurait pu être récoltées par l’application. Et d’un autre côté, la population a sans doute été découragée par la baisse de la contamination et n’a pas jugée utile d’installer une application et l’utilisée.

En outre, lors de sa conception, Covidsafe a connu quelques problèmes techniques. Le média britannique a même soulevé le problème de transparence concernant l’application durant son développement. Ce qui n’a pas manqué de révéler certaines failles après que cette dernière ait été déployée. En particulier sa version pour iOS. Mais aujourd’hui, Ces failles ont été comblées grâce à des mises à jour mais il n’empêche que l’application a toujours du mal à fonctionner sur les iPhones. le problème aujourd’hui se situe lorsque l’application doit tourner en arrière-plan. Un souci technique qui est typique à iOS, car, sur Android en tout se passe correctement. Pour le moment, le gouvernement australien n’a rien indiqué quant à un potentiel de retrait l’application.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les 2 ans du règlement général des données personnelles : quel bilan peut-on faire ?

Norme européenne édicté, il y a 2 ans de cela, le règlement général de la protection des données personnelles se trouve aujourd’hui dans une situation assez délicate.

Cet article va aussi vous intéresser : 6 notions à connaître en matière de cybersécurité moderne

Avec la pandémie qui secoue monde entier, il devient alors difficile pour les états de garantir l’intégralité des dispositions présentes dans cette norme. Car la situation ne s’y prête pas. Si ce n’est les autorités elle-même qui font souvent impasse à certains endroits détenus par les particuliers en application dudit règlement, ce sont les entreprises ou autres structures privées qui le font. Il peut s’agir des raisons d’intérêt général tel que la santé publique, ou de nature économique. Mais ça ce n’est que pour ces mois récents. Avant même la pandémie, la norme européenne sans se défendre les droits des utilisateurs des services numériques a eu un bilan à peu près une mitigé. À ce propos, Greg Day responsable et superviseur des opérations de la firme Palo Alto Networks sur la zone EMEA, par ailleurs, le chargé du développement des renseignements sur les cybermenaces et sur les pratiques d’hygiène en matière de sécurité notait à cet effet : « Alors que nous fêtons le deuxième anniversaire de l’entrée en vigueur du RGPD, l’une de mes principales inquiétudes est que, d’une façon ou d’une autre, l’objectif éducatif de cette régulation s’est perdu. Nous avons, semble-t-il, raté l’opportunité d’aider les entreprises à apprendre de leurs erreurs. Or pour moi, c’était l’un des aspects positifs du RGPD. Celui-ci a été conçu comme une feuille de route pour améliorer en continu la sécurité et le respect de la vie privée des entreprises. Toutefois, je ne crois pas qu’il y ait eu un effort international pour recenser les erreurs les plus courantes commises par les sociétés, quelle que soit leur taille, en appliquant le RGPD et pour les éviter. ».

Dans le contexte actuel, les entreprises pour être d’accord qu’avec l’expert. Car nous assistons aujourd’hui à une recrudescence des menaces informatiques et une situation où les règles et protocoles habituelles ont du mal à s’appliquer convenablement.

L’un des problèmes majeurs de règlement général de la protection des données, serait son adaptabilité à l’évolution constante de la technologie. En effet, pour une règle qui fut édicté il y a 2 ans de cela, il est fort probable qu’à l’heure actuelle, l’avancée technologique a rendu caduques ou difficilement applicables plusieurs de ses dispositions. Ce n’est pas seulement que la technologie qui a évolué. Mais aussi les pratiques en matière de collectes, de productions, et de gestion des données. « Il est important de s’assurer que l’application du RGPD reste claire malgré les différents changements technologiques. Ainsi, depuis que le RGPD est entré en application, de nombreuses sociétés ont migré dans le cloud, dont l’usage s’est fortement généralisé avec de forts taux d’adoption. Il faut que ces entreprises réfléchissent à la façon dont le RGPD s’y applique alors que les données circulent dans le cloud de façon nettement plus importante que prévu. Ceci pour documenter les risques spécifiques qui s’y posent, et pour définir une feuille de route pour un respect continu de la vie privée et une amélioration de la sécurité. » conseillait l’expert Greg Day.

Certaines situations telle que la pandémie du coronavirus à pousser les spécialistes de tout bord à remettre en question certains principes, du moins jusqu’à ce que la lutte contre cette maladie arrive à son fin. Et bien sûr, certaines pratiques qui ont débuté depuis le début du coronavirus, risque difficilement de prendre fin du jour au lendemain. De ce fait, la norme européenne gagnerait à s’adapter le plus rapidement possible une nouvelle technologie qui ne cesse de naître tout en essayant de contrôler au mieux l’aspect juridique de la gestion des données personnelles qui devient de plus en plus complexe.

Un autre point négatif et à souligner contre le RGPD. C’est la diversité des interprétations et de la transposition dans les pays de l’Union européenne. Ce fut l’un des points faibles majeur à soulever durant ces 2 années. Si l’on devait compter plusieurs pays, chacun avec sa propre interprétation de la règle, il devient alors difficile d’accorder la valeur obligatoire nécessaire à une disposition particulière face à un fait particulier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage