Ils sont dans tous les champs de notre vie, mais connaissons-nous vraiment tous leurs risques ? Outre le fait que les objets connectés améliorent notre comfort au quotidien, ils sont aussi de redoutables outils de transmissions de données qui peuvent avoir un impact sur nos vies privées.
Walter PERETTI est responsable de la majeure Informatique et Objets connectés et Sécurité (IOS) et Gael CHAREYRON dirige le département informatique et la majeure Data et Intelligence Artificielle (DIA).
Dans un article récemment publié sur Monde des grandes écoles, les deux enseignants ESILV se penchent sur la relation entre vie privée et objets connectés et les limites de ces technologies à fort enjeu juridique.
Vie privée/objet connecté – Vers des paparazzis de la donnée ?
Nous sommes plus nombreux à nous interroger sur nos choix de consommation mais sommes-nous aussi vigilants avec nos données ? Lors de notre inscription sur un site internet nous pensons à l’utilisation de nos données mais lorsque nous achetons une voiture nous regardons les performances ou les émissions de CO2, et pourtant…
Pourtant une voiture moderne est un objet connecté qui partage de nombreuses informations. Comment avoir des garanties sur la sécurisation des données échangées ?
Lorsque l’on parle d’objets connectés on pense instinctivement aux montres de fitness ou aux téléphones. En cherchant encore un peu on peut rajouter notre compteur d’électricité ou de gaz ainsi que nos enceintes « intelligentes » qui nous obéissent en reconnaissant la voix de leur maître. Mais les objets communicants vont au-delà, ils peuvent aller du frigo intelligent jusqu’à la brosse à dent ou le pèse personne.
De plus en plus d’objets de ce genre s’insinuent dans notre quotidien, il n’est plus possible d’acheter une télé qui ne dispose pas d’un « ami » qui est à votre écoute pour vous simplifier la vie.
Vie privée et objet connecté : comment se défendre ?
Parfois le simple fait de porter une montre connectée peut trahir certains comportements que l’on ne souhaite pas forcément partager. On peut citer l’exemple de Jane Slater qui a publié son expérience sur Twitter qui a été fort surprise de voir une activité soutenue de son « boyfriend » à 4h du matin alors qu’il n’était pas avec elle… Les tourtereaux avaient choisi de partager les données de leurs montres pour se motiver ensemble pour faire du sport.
Dans cet exemple les données sont partagées volontairement mais ce n’est pas toujours le cas, les données peuvent êtres volées, utilisées, revendues…
Et si chaque donnée prise séparément semble bien anodine, s’il devient possible de les combiner et de les analyser, ces objets révèleront tout de vos habitudes ou celle de votre entreprise.
Dans cet article nous présenterons des pistes qui doivent nous guider dans l’utilisation de ces objets tout en protégeant notre intimité mais aussi se questionner sur comment les futurs objets et services doivent être construits.
Vie privée et objet connecté : de la simple donnée au comportement
La principale difficulté qui s’offre en termes de sécurisation de la donnée, c’est, nous l’avons vu, que la donnée en elle-même est souvent anodine, comme le rythme cardiaque. Sa divulgation parait toujours à priori sans conséquence grave (à part une mise au point un peu musclée le lendemain si on reprend l’exemple de notre couple de sportifs). Au pire la montre trahira-t-elle quelques anomalies cardiaques ou un accident, mais en soi que faire d’une telle information ?
En dehors de la considération philosophique de l’existence d’une vie privée à protéger, en soi, ce n’est pas très important « qu’on » sache ça de moi.
Ce n’est que lorsque cette information est croisée avec d’autres que les choses se compliquent, et que savoir que je vais tous les mois chez le cardiologue, que je ne consomme pas d’alcool et ne vais que dans des restaurants bien choisis, que dans mon frigo il y a ceci ou cela, que mon IA me rappelle à heure fixe que je dois prendre tel médicament, ou qu’il faut en racheter… et que… et que… et voilà un diagnostic rondement mené sur le mal qui me ronge et m’oblige à une certaine routine, fréquenter certains lieux.
L’intrusion dans la vie privée devient plus violente dès que l’on peut croiser toutes ces données anodines. Et me voilà devenu une proie, on peut faire pression sur moi, se faire passer pour moi, profiter de mes habitudes pour subtiliser mes biens, du simple vol au domicile à la copie du badge qui ouvre les locaux de mon entreprise. La liste est longue.
Sécuriser toute la chaine
Il faut donc sécuriser la donnée dés qu’elle est créée. Il faut aller au-delà de l’idée que la donnée en elle-même est anodine, il n’y a pas de donnée anodine ! Mais considérer chaque donnée comme vitale et la protéger en rapport avec cette exigence, c’est un vrai tour de force pour un esprit non averti… Même pour un esprit averti d’ailleurs.
En fait on rejoint ici la priorité de ce que l’on appelle security and privacy by design. La sécurité et la protection de la vie privée doivent être intégrées dès la conception des objets connectés en les rendant les plus robustes possibles.
Mais ces objets font eux même parti de tout un écosystème, et la donnée transite de l’objet via internet et une multitude de réseaux pour arriver dans des centres de données très officiellement exploités, en particulier par les GAFAM dont on peut toujours interroger la bienveillance à l’égard des données. La fuite massive ces dernières semaines des utilisateurs de Whatsapp vers Signal pour protéger leurs données privées semble symptomatique de cette nouvelle méfiance.
Comme l’écosystème des objets connectés exige ce que les experts appellent une « defense in depth », c’est-à-dire une défense de toutes les couches de l’écosystème lui-même (objets, réseaux, cloud etc…) il faudrait penser une « privacy in depth » dans laquelle l’utilisateur à une grande part à jouer s’il ne veut pas être victime de paparazzis de la donnée !
This post was last modified on 27 juillet 2021 4:39 pm