Dernière mise à jour le .

Sécurité de mes données personnelles sur internet
Sécurité de mes données personnelles sur internet

Mes données personnelles sont-elles protégées sur internet ?
Comment savoir alors à qui confier mes données personnelles et dans quelle mesure ?

De nombreux incidents de sécurité mènent à l’exposition, au yeux de tous, de données personnelles que l’on croyait protégées dans un coffre-fort , ou permettent à des individus mal intentionnés de fausser des identités voire de soutirer de l’argent à leurs victimes. Souvent, nous donnons nous même le bâton pour nous faire battre. Comment savoir alors à qui confier ses données et dans quelle mesure ?

Nous allons illustrer notre propos par l’exemple classique d’une personne s’inscrivant sur un site internet afin d’avoir accès à la partie “Membres” de ce dernier. Qu’il s’agisse de site marchand, de forum, d’un site d’information, rares sont les sites qui ne nous obligent pas à nous authentifier afin de profiter de la totalité du contenu disponible. Quelles sont les réflexes à adopter avant de révéler à un site toute ma vie privée ?

Règle numéro 1 : de quoi ce site internet a t-il vraiment besoin ?

Le business de la data fait partie des plus florissants et des plus rentables aujourd’hui. Même un néophyte a déjà entendu parlé de Big Data ou de Machine Learning, terminologies que l’on emploie aujourd’hui à toutes les sauces.

Afin d’alimenter ces grosses bases de données, il faut ... des données (sans blagues !) Mais alors d’où viennent-elles ? De (très) nombreux sites, pour ne pas dire la plupart, revendent vos données à des annonceurs qui vos proposeront de la publicité ciblée.

La population connait principalement la problématique suivante : après avoir visité un site de poussettes, on vous propose pendant 2 semaines d’acheter des couches... Des mouchards sont en effet positionnés sur votre ordinateur (vous savez quand vous cliquez sur “J’accepte la politique relative à l’utilisation des cookies sur ce site” ?) et vont enregistrer les pages que vous visitez afin de vous proposer des publicités par la suite.

Cependant, nous sommes moins attentifs aux informations que nous offrons à ces sites revendeurs de données. Les formulaires d’inscription sont en effet suffisamment bien étudiés pour que toutes les questions nous paraissent normales et que nous y répondions avec la plus grande franchise. Mais lorsque l’on prend du recul, pourquoi ce site de fan de moto a t-il besoin de savoir mon nom, prénom, date et lieu de naissance ? Pourquoi celui-ci me demande t-il plusieurs adresses email ?

Il s’agit donc de se poser les bonnes questions au moment de fournir ces données. La première étant : “Est-ce une information obligatoire à mon inscription ?” puis “Mon expérience sur le site sera t-elle affectée si je ne donne pas cette information, ou si je fournis une fausse information ?

Si vous pouvez répondre non à l’une de ces deux questions, je vous conseille d’utiliser votre imagination (ou vos mains à plat sur le clavier) afin de garder vos informations personnelles ... personnelles ! Votre expérience sur le site des fans de moto ne sera sûrement pas perturbée si vous vous faites appeler “Le super motard du 78” plutôt que par votre vrai nom/prénom.

Un dernier mot : faites attention à l’authentification via Facebook ou Google, car les sites auront accès à une grande partie de vos informations. Il est parfois plus judicieux de créer un compte avec de fausses informations que de révéler celles stockées sur votre profil Facebook.

Règle numéro 2 : il sort d’où, ce site ?

Si la majorité des utilisateurs d’internet vont se méfier d’un site s’appelant je-gagne-500000-euros-depuis-mon-canape.fr, et ne vont pas leur fournir de coordonnées bancaires, certains sites paraissant très honnêtes cachent des failles de sécurité importantes.

En effet, certains pirates consacrent leur temps à essayer de trouver ces fameuses failles afin de pénétrer dans le système d’information et voler ces données. Leur motivation sont diverses et peuvent être :

  • le simple défi d’arriver à casser la sécurité d’un site (pour les nostalgiques de la chasse au trésor)
  • l’appat du gain (en revendant les données ou en faisant du chantage au site web ou à ses utilisateurs)
  • les convictions politiques
  • un mélange des trois ...

En juillet 2015, le site Ashley Madison (site de rencontre extra-conjugal américain) se fait pirater et ses données se retrouvent exposées sur internet. Quelle joie pour les utilisateurs du site de voir leurs : photo, nom, prénom, adresse mail, et plein de détails croustillants découlant de l’utilisation d’un tel site divulgués sur la toile...

Tout ceci à cause d’une erreur de programmation. Bien que ce site était reconnu et revendiquait 39 millions d’utilisateurs, il n’avait pas mis l’accent sur la sécurité des données et ne les a pas protégées convenablement. 

Il est très difficile de savoir si un site est convenablement protégé ou non. Les rapports d’audits de sécurité réalisés par les sites internet (quand ils sont réalisés) sont secrets et rarement suivis d’actions correctives couvrant la totalité des failles.

D’une manière générale, un pirate expérimenté souhaitant pénétrer dans un système d’informations finira presque toujours par y parvenir, ce n’est qu’une question de temps et de moyens. 

Certaines certifications existent cependant et garantissent un niveau de sécurité suffisant. C’est le cas des hébergeurs de données de santé ou de données bancaires par exemple. Il est donc judicieux de vérifier l’existence de ces certifications avant de fournir une information sensible.

Le surfeur commun du web peut également repérer quelques signes sur les sites qu’il visite. Un site peut-être considéré comme suspect si :

  • il est truffé de fautes d’orthographe
  • il redirige vers une autre adresse web ne correspondant pas au site attendu
  • il propose des réductions invraisemblables
  • il ne possède pas de mentions légales ou de CGV (Conditions Générales de Ventes pour les sites marchands)

Un autre bon réflexe est de vérifier que le site est proposé en HTTPS. Cela signifie que vos échanges avec celui-ci sont chiffrés et qu’un pirate placé entre vous et lui ne pourra intercepter les données envoyées.

Règle n°3 : le côté légal

La CNIL est la Commission Nationale de l'Informatique et des Libertés. Il s’agit de l’organisme chargé de veiller au respect de la protection des données à caractère personnel.

On appelle en effet donnée à caractère personnel (DCP) toute donnée permettant d’identifier un individu, seule ou après croisement avec d’autres données.

Par exemple, le nom, le prénom, l’adresse, le numéro de téléphone, l’ADN sont des DCP. L’âge seul n’est pas une DCP, mais l’ensemble de la date de naissance et de la commune de naissance est une DCP.

La collecte et le stockage des DCP est soumis à la loi informatique et libertés. Le site collectant ces données doit ainsi informer l’utilisateur de l’objectif de la collecte, de la durée de conservation des données, ainsi que des transferts effectués vers d’éventuels partenaires. Il se doit également de limiter la durée de conservation au strict minimum et de s’assurer de la pertinence de la collecte. Il est finalement obligé d’informer l’utilisateur sur les données qu’il possède et de les supprimer à la demande de ce dernier.

Vérifier que le site auquel vous confiez vos données applique ces principes est un bon point de repère ! Nous vous invitons à visiter le site de la CNIL qui répondra mieux que nous à toutes vos questions sur le sujet.

Enfin, sachez que dans le cas où un site subirait une attaque durant laquelle vos données sont lues, volées ou modifiées, il se doit de vous informer de l’existence de cette attaque.

Pour résumer, il est aujourd’hui difficile de faire confiance à tous les sites internet qui demandent à utiliser vos données. Cependant, en limitant les données fournies et en prêtant attention au sérieux des sites visités, il nous est possible de limiter les risques et de préserver nos données.

L'équipe iziLaw

Discussions : Les commentaires sont fermés.

Commentaires

Les commentaires sont fermés.