Société Le 17 janvier 2018

Données ? Reprises.

0
0
Données ? Reprises.

The Glass Room – Un projet de Tactical Tech et de la Fondation Mozilla

Nos comportements sur Internet génèrent une quantité titanesque de données qui viennent alimenter une économie numérique dont les rouages sont encore largement méconnus. Dans cet article, Eliot Bendinelli examine les implications de nos actes quotidiens en ligne et propose plusieurs outils visant à la réappropriation de nos données.


 

A l’heure où le statut social semble être défini par la propriété plus que par la bienveillance et la connaissance, où l’ombre d’un iPhone rutilant affirme une certaine autorité, où une paire de basket peut voir sa valeur quintupler simplement avec un logo de marque, la propriété de nos données personnelles semble quant à elle être totalement délaissée et ignorée, autant par méconnaissance que par manque d’intérêt. C’est ainsi qu’on se retrouve un jour à se demander pourquoi Google nous souhaite joyeux anniversaire sans se souvenir avoir volontairement donné sa date de naissance à l’inscription. Qu’on se surprend à recevoir de Facebook un message sur la météo du jour en oubliant qu’on fournit généreusement sa localisation. Voire même qu’on finit fiché et en garde à vue suite au visionnage de quelques vidéos Youtube sur le djihadisme dans le cadre d’un mémoire de recherche. Des conséquences plus ou moins nocives pour nos libertés civiles, résultant du brassage par des algorithmes d’une masse de données que l’on distribue chaque jour sans s’en rendre compte ou sans s’en inquiéter.

 

Les données, une monnaie qui redessine les échanges

Que les données personnelles, qu’elles concernent nos déplacements, nos habitudes alimentaires, notre consommation énergétique, notre dossier médical ou autre, aient acquis une telle importance au cours des vingt dernières années n’est pas un hasard. Si tant de services gratuits se nourrissant des données des utilisateurs (« si c’est gratuit, c’est que vous êtes le produit ») se sont développés au point que Google et Facebook fassent aujourd’hui partie des plus grandes et puissantes entreprises au monde, c’est que le fruit de leur récolte s’avère bien plus lucratif qu’un éphémère or noir dont le destin est de partir en fumée. De fait, la quantité de données collectées par ces services représente une source non périssable de revenu au potentiel d’exploitation grandissant. En s’ouvrant aux départements marketing pour définir les prochaines tendances et en permettant à des partis politiques de profiter d’un ciblage avancé dans le cadre de leur campagne électorale1, les Big Data redessinent l’économie et les méthodes d’influence. Un changement qui s’opère notamment au travers des réseaux neuronaux (qu’on appelle « Narrow AI », encore loin des intelligences artificielles telles qu’on les fantasme dans Terminator), ces algorithmes qui s’abreuvent de données pour pouvoir, demain, prendre des décisions à notre place.

Une partie de ce futur peut offrir des perspectives intéressantes, à condition qu’une telle masse d’information soit utilisée pour le bien public. On pensera notamment aux algorithmes – à l’image de Watson conçu par IBM – qui permettent la détection rapide d’une maladie à partir d’images2 ou encore le repérage de maladies rares, confortant ainsi les médecins dans leur diagnostic3. En revanche, il est plus inquiétant d’observer dans quel cadre et derrière quel voile la collecte et le traitement des données s’opèrent, en témoigne l’accord secret entre les services de santé britannique (la NHS) et Google dans le cadre duquel les données de plus d’un million et demi de personnes ont été transmises à l’entreprise américaine et son IA DeepMind sans que les patients ne soient informés des conditions sous-jacentes à cet échange4. Il apparaît ainsi que la conscience que nous avons de ce à quoi nous consentons en utilisant des services gratuits, que ce soit un réseau social, un jeu en ligne ou une application de coaching personnel, est encore trop limitée. Cachées au fin fond des conditions d’utilisation, ou parfois clairement assumées, mais ignorées par les utilisateurs, les pratiques de revente et d’exploitation des données personnelles sont aussi nombreuses qu’obscures et sans date de péremption. Les données ne disparaissent jamais et la visite d’un site, l’utilisation pendant un mois d’une application de rencontre, ou l’achat d’un objet livré en un jour sur Amazon sont autant d’informations qui seront conservées encore longtemps dans des bases de données, permettant un profilage précis aux usages multiples de votre mode de vie. Et c’est bien l’un des problèmes qui découlent de cette collecte de données. Malgré une anonymisation (pas toujours de mise) et parfois une altération des informations sensibles (en utilisant par exemple la confidentialité différentielle5), certains sites récoltent une quantité d’information tellement importante qu’il reste aisé de dresser le profil d’un utilisateur en particulier6. Et cela même dans le cas où celui-ci ne publie pas de lui-même ses informations sur un réseau social. Un constat glaçant, conséquence directe du manque d’éducation des utilisateurs vis-à-vis des services qu’ils ont ingérés et intégrés comme partie prenante de leur vie. En choisissant la facilité, nous avons cédé sans le réaliser une partie de notre vie privée et de notre liberté.

 

Rapport non protégé avec Internet

Il faut, pour réaliser l’étendue de cette collecte de données, prendre un peu de recul vis-à-vis de notre relation avec les appareils connectés à Internet. Le premier élément à considérer reste notre comportement face aux réseaux sociaux. Leur omniprésence et la vision égocentrique qu’ils encouragent poussent l’utilisateur à passer toujours plus de temps sur le réseau, l’incitant à publier sans retenue sur ce qu’il pense, ce qu’il aime, ce qu’il fait, ce qu’il est. L’ensemble des informations produites ainsi, qu’elles soient destinées à quelques amis ou à l’ensemble de la twittosphère, participe à créer un profil précis de l’utilisateur. Contrôler ce que l’on publie ainsi que les informations que l’on confie à ces réseaux sociaux (nom, prénom, âge, localisation…) est alors un premier pas vers la préservation de notre vie privée. A tout utilisateur de Google non averti, si vous voulez vous faire une petite frayeur et vous rendre compte de ce que l’entreprise qui vous promet de ne pas être diabolique sait sur vous : allez donc faire un tour sur la page My Activity, ou encore votre historique de position. Que les utilisateurs d’iPhone se rassurent, Apple en sait tout autant sur vous : un coup d’œil dans Paramètres > Confidentialité > Service de localisation > Services système > Lieux fréquents vous en assurera. Une belle illustration de ce qu’une entreprise peut récolter sur vous en échange de services pas fondamentalement utiles. Après tout, avez-vous vraiment besoin que Facebook vous donne la météo ?

 

Lucy - Luc Besson

Lucy – Luc Besson

 

Et cela est d’autant plus primordial que ces informations ne sont pas les seules données sur lesquelles des fournisseurs de services, des gouvernements ou des personnes mal intentionnées peuvent s’appuyer pour dresser le profil complet d’une personne. De fait, nos appareils connectés transmettent des centaines d’informations a priori bénignes et théoriquement nécessaires pour « améliorer l’expérience utilisateur » (selon le jargon habituel). Chaque fois que vous visitez un site, vous fournissez sans le réaliser une description complète de votre appareil, en communiquant votre navigateur (Firefox, Chrome, Safari…), votre système d’exploitation (Windows, Mac OS, Linux, Android, iOS…), le fabricant de votre appareil (Apple, Asus, Dell, Fairphone…), votre fournisseur d’accès à Internet (Swisscom à Genève, Orange à Lyon) et une myriade d’autres détails tels que vos plugins installés (adBlocker ou autres). Ces données permettent de vous identifier de façon quasi unique lors de votre visite7. Ajoutez à cela l’omniprésence des cookies, des petits fichiers stockés sur votre appareil contenant vos préférences de navigation pour un site, mais permettant aussi de vous suivre à la trace8, et vous avez là un aperçu de votre rapport avec Internet. Par défaut, naviguer sur Internet sans protection équivaut à vous rendre nu dans un magasin, en portant une pancarte au-dessus de vous annonçant qui vous êtes, quelles rues ont fait l’objet de votre visite, comment vous vous déplacez et ce que vous cherchez. Et les sociétés privées ne sont pas les seules à profiter de ces informations. Grâce à des accords légaux ou non, avec les fournisseurs d’accès à Internet, nombre de gouvernements ont aujourd’hui accès à tout ce qui transite à l’intérieur d’un territoire9 (à condition que les données interceptées soient lisibles c’est-à-dire non encryptées). Les exemples ne manquent pas où ces données sont utilisées pour contraindre des utilisateurs au silence. On pensera en particulier à la Chine qui n’hésite pas à condamner à la prison les dissidents politiques s’exprimant sur la toile10 ou, dans un autre registre, à la France qui condamne de façon tout aussi sévère la consultation de sites liés à l’exécution d’actes terroristes11.

Reste alors à définir la valeur que l’on accorde à nos données, à notre vie privée, et potentiellement à nos droits pour savoir si l’on veut agir, ou si l’on préfère continuer à se balader nu.

 

Reprise du pouvoir par l’action

A ce stade de la réflexion intervient habituellement l’injonction classique « Je n’ai rien à cacher ». Moi non plus figurez-vous. Mais ça ne m’empêche pas de penser qu’avoir une telle quantité de données me concernant dans les centres de données de Google, Amazon, Facebook, Apple, Microsoft (les GAFAM de leur petit nom) ou du gouvernement est une mauvaise idée. De fait, en fournissant ces données sur vous, vous offrez la possibilité à un gouvernement de vous sanctionner ou de restreindre les services auxquels vous avez accès sur la base de votre activité en ligne12. La Chine vise la mise en place d’une telle surveillance à l’horizon 2020 via un système de notation des citoyens qui pourra récompenser les comportements que le gouvernement considère comme positifs mais aussi condamner ceux qu’il désapprouve13. Si un système de cette nature semble improbable dans les grandes démocraties occidentales, il n’en reste pas moins que la majeure partie des lois sécuritaires et antiterroristes qui ont vu le jour dernièrement ouvrent la porte à une surveillance généralisée où tout comportement « antirépublicain » peut être réprimandé. (Vous avez des amis anarchistes ? Ils vont apprécier.) Les données ainsi amassées courent par ailleurs le risque de passer dans les mains de personnes, de groupes ou de pays mal intentionnés cherchant à obtenir des informations sensibles sur des cibles spécifiques.

 

The presler project - Hacker (2014)

The presler project – Hacker (2014)

 

À une modification de nos comportements sur les réseaux sociaux, il semble donc nécessaire d’ajouter une certaine protection technique pour éviter la collecte concrète des données que nous produisons. Certains « add-ons » (greffons installables qui ont pour but d’ajouter des fonctionnalités à un logiciel donné) pour navigateur ont fait leurs preuves et offrent un premier niveau de sécurité qui impacte la quantité de données collectées tout en améliorant la sécurité de la navigation. On trouve ainsi HttpsEverywhere développé par l’Electronic Frontier Foundation qui permet de s’assurer que la connexion avec un site est sécurisée (en HTTPS14), Privacy Badger par la même fondation qui bloque les trackers, petits morceaux de code qui suivent vos déplacements sur le web et donnent la possibilité à des annonceurs de connaître vos pérégrinations. uBlock Origin est quant à lui une référence en ce qui concerne le blocage des publicités (à préférer à AdBlock, plus connu mais qui s’offre aujourd’hui aux compagnies qu’il combattait hier15). Un autre petit outil, répondant au nom de Random User-Agent, modifie les informations communiquées aux sites que vous visitez (Navigateur, OS, appareil employé…) pour éviter que ces derniers ne reconnaissent votre profil. Enfin, si l’on veut vraiment vraiment protéger son activité, il conviendra d’utiliser un VPN (Virtual Private Network) ou TOR16 afin de dissimuler son adresse IP (l’équivalent de votre adresse postale) et donc éviter de fournir d’un coup sa localisation et son fournisseur d’accès à Internet. En association avec un système d’exploitation libre dédié à la sécurité et au respect de la vie privée tel que Qubes ou Tails, ces outils permettent d’atteindre un certain niveau d’anonymat – au risque, peut-être, d’attirer ainsi l’attention… (Si vous prenez toutes ces mesures, c’est que vous avez forcément quelque chose à cacher, non ?) Dans le cas où se lancer dans l’aventure seul semble trop complexe, les Cryptoparties17 organisées à travers le globe donnent aussi la possibilité de rencontrer des internautes aguerris qui prendront plaisir à partager leur savoir.

Si ces outils peuvent vous fournir un premier bouclier relativement fiable pour limiter la quantité de données collectées par les services gratuits que vous utilisez, chaque ouverture de Google Maps ou commande sur Amazon continuera de fournir des informations réelles et tangibles sur vous qui – comme nous l’avons vu – pourront servir de monnaie d’échange. A ce stade, il convient donc de questionner les outils que nous utilisons autant que les pratiques qui y sont associées. Nombreux sont les services et les initiatives qui cherchent à combattre la collecte massive en proposant des alternatives libres, open source18, parfois gratuites, dans l’optique de nous détacher du monopole opéré par les géants d’Internet. La campagne Dégooglisons l’Internet de Framasoft en est un brillant exemple, mettant à disposition des alternatives pour presque l’ensemble des services les plus utilisés sur Internet. Google peut ainsi aujourd’hui être remplacé par DuckDuckGo, Qwant ou StartPage. Il est, au demeurant, intéressant de comparer toutes les options disponibles et de considérer dans quelle mesure il conviendrait de privilégier les services où le paiement est clair et transparent plutôt que dissimulé et reposant sur un contrat tacite. Posteo offre par exemple une boîte mail sécurisée, sur des serveurs utilisant uniquement de l’énergie renouvelable, avec des logiciels entièrement open source pour seulement 1€ par mois. Un prix qui semble raisonnable au regard de l’utilisation intensive que nous avons de notre boîte mail et qui est probablement moins élevé que celui que nous payons chaque jour, en ouvrant notre boîte Gmail.

 

Au regard de ces multiples considérations, il semble essentiel de remettre en question notre rapport aux technologies en plus de nos pratiques. En acceptant les règles dictées par les géants de l’Internet et les constructeurs des produits que nous utilisons, nous participons à la création d’un futur où peuvent émerger des politiques et des outils qui ne sont pas en accord avec nos valeurs. Google et Facebook ne seraient pas les mastodontes qu’ils sont aujourd’hui sans le trafic que nous produisons. En faisant partie de ce flux de visiteurs, nous renforçons à la fois leur valeur commerciale et le pouvoir dont ils disposent et disposeront à l’avenir. Prendre conscience des investissements et des intentions que ces compagnies ont au travers par exemple des autres sociétés qu’elles possèdent19 donne un aperçu de la façon dont elles perçoivent l’avenir et le rôle qu’elles s’imaginent y jouer. Aux internautes alors de décider s’ils souhaitent ou non participer passivement à la réalisation de cette entreprise inquiétante.

 


Références:

1. https://motherboard.vice.com/en_us/article/mg9vvn/how-our-likes-helped-trump-win

2. http://www.bbc.com/news/technology-37653588

3. https://www.techworm.net/2016/08/ibms-watson-artificial-intelligence-discovered-rare-illness-woman-suffering-leukaemia.html

4. http://www.telegraph.co.uk/technology/2017/07/03/googles-deepmind-nhs-misused-patient-data-trial-watchdog-says/

5. Voir l’excellent article d’Access Now sur le sujet pour comprendre comment des données récoltées peuvent être altérées sans pour autant impacter la qualité des résultats obtenus https://www.accessnow.org/understanding-differential-privacy-matters-digital-rights/

6. Voir l’expérience menée par NDR : https://motherboard.vice.com/en_us/article/gygx7y/your-anonymous-browsing-data-isnt-actually-anonymous

7. L’outil Panopticlick dévelopé par l’Electronic Frontier Foundation est à ce titre un excellent moyen de s’en rendre compte : https://panopticlick.eff.org

8. Et à Facebook de savoir que vous avez lorgné sur cette paire de chaussures !

9. En France et en Suisse par exemple, les services de renseignement sont depuis peu légalement habilités à capter toutes les informations circulant sur le réseau national (voir l’installation des boîtes noires en France par exemple https://www.lemonde.fr/pixels/article/2017/11/14/les-boites-noires-de-la-loi-sur-le-renseignement-sont-desormais-actives_5214596_4408996.html). Dans d’autres pays tels que la Turquie, des lois plus restrictives et invasives sont en place bien qu’elles soient jugées comme allant à l’encontre des droits de l’homme du point de vue du droit international (https://edri.org/internet-censorship-surveillance-turkey/)

10. L’exemple le plus probant étant celui de Wu Gan, bloggeur engagé et activiste, défenseur des droits de l’homme https://www.nytimes.com/2017/12/25/world/asia/china-wu-gan-sentence.html

11. http://www.liberation.fr/france/2016/08/10/premiere-condamnation-pour-consultation-de-sites-terroristes_1471320

12. Voir à ce sujet l’excellent plaidoyer de Me. Sureau contre la surveillance généralisée : https://www.laquadrature.net/fr/node/10283

13. Une analyse plus approfondie de ce futur proche dans l’excellent article de Wired : https://www.wired.co.uk/article/chinese-government-social-credit-score-privacy-invasion

14. Extension du protocole HTTP (protocole de transfert hypertexte) permettant à un navigateur d’accéder aux données d’un serveur pour les servir à l’utilisateur sous forme de page web. Le HTTPS rajoute une couche de chiffrement permettant d’identifier le site visité grâce à un certificat d’authentification, cela garantit que le site visité est bien ce qu’il prétend être.

15. A travers une politique tolérant les publicités considérées comme acceptables https://acceptableads.com/users

16. TOR est un réseau décentralisé qui utilise une méthode dite de « routage en oignon » faisant transiter la connexion entre votre ordinateur et un site web ou un service par plusieurs serveurs liés les uns aux autres. Il offre ainsi une navigation anonyme et permet de se protéger en partie du pistage. TOR est utilisable notamment grâce au TOR Browser : https://www.torproject.org/

17. http://cryptoparty.in/

18. Un logiciel libre sera toujours open source mais l’inverse n’est pas vrai. Les logiciels libres sont des logiciels qui respectent 4 libertés fondamentales : la liberté d’exécuter, d’étudier, de redistribuer et d’améliorer ou d’adapter le logiciel. Ces logiciels garantissent une transparence de leur code source et revendiquent une philosophie de partage et d’entraide.

19. Pour Google, on pensera en particulier à Calico qui veut « tuer la mort » et DeepMind qui cherche entre autres à découvrir vos besoins avant que vous n’ayez pu les exprimer : https://static5.uk.businessinsider.com/image/5695361fe6183e23008b8ac9-1200-1396/bi_graphics_alphabet-google-org-structure_05.png

Laisser un commentaire

Soyez le premier à laisser un commentaire

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *
Jet d'Encre vous prie d'inscrire vos commentaires dans un esprit de dialogue et les limites du respect de chacun. Merci.