Le cloud computing n'est évidemment pas exempt de failles : Amazon en aurait rencontré récemment. Pour s'en prémunir, la meilleure solution est la prévention et la réactivité.
Revenir sur les failles du cloud fait partie des sujets de prédilection des sceptiques de l'hébergement dans les nuages. Reste que pour une bonne application de cette démarche, il est important de prendre en compte les différentes difficultés auxquelles une entreprise peut être possiblement confrontée. C'est ce qu'a fait une équipe de l'université de la Ruhr, à Bochum, après avoir détecté des failles de sécurité dans les offres cloud d'Amazon (AWS), hébergeant notamment des services comme Twitter, Second Life ou Foursquare. En utilisant différents types d'attaques comme le "cross-site scripting" ou le "signature wrapping", les scientifiques annoncent qu'ils ont réussi à percer les défenses du système.
Des services vulnérables à plusieurs sortes d'attaques
Grâce à des falsifications de signature XML, les scientifiques ont réussi à obtenir les droits d'administration de certains comptes, leur permettant de créer de nouvelles instances, d'ajouter ou de supprimer des fichiers. Le service d'Amazon aurait également été vulnérable à l'introduction illicite de scripts exécutables directement dans l'interface d'achat. Les pirates pouvaient ainsi récupérer des données clients, logins et mots de passe inclus. Le recours à des services de cloud privé comme les solutions Eucalytpus dans les entreprises ne serait également pas totalement satisfaisant puisque des failles de sécurité similaires y seraient présentes.
Sécurité contre performance
"Pour l'instant, plus l'hébergement cloud est performant, rapide et simple d'utilisation et moins il est sûr. Nous devons travailler sur des solutions qui remplissent parfaitement ces deux critères", conclut Jörg Schwenk, co-auteur de l'étude. Les sociétés devront sans doute faire des concessions mais également être réactives pour combler les brèches au fur et à mesure qu'elles sont signalées. La meilleure solution de prévention restant là encore dans la sensibilisation. A noter que, selon les chercheurs, la faille de sécurité a été corrigée par Amazon après réception de l'alerte par l'équipe. Pour information également : les firmes européennes vont doubler leurs investissements en services sur le cloud dans les prochaines années (de 68 milliards d'euros en 2010 à 148 milliards en 2014).
L'engouement du grand public pour la consommation mobile d’outils informatiques devrait rapidement contaminer les entreprises. Suscitant une demande accrue de techniciens spécialisés et le choix de solutions appropriées. Comme par exemple les technologies RAD.
La mobilité semble désormais s’imposer comme un phénomène largement partagé dans un contexte personnel et professionnel. En effet, avec la mort annoncée des postes de travail, la mobilité ne cesse de se développer et de conquérir chaque jour plusieurs milliers de nouveaux utilisateurs. Cette expansion de la mobilité s’explique principalement par l’évolution des matériels et autres tablettes tactiles. Le fort investissement des éditeurs, notamment dans le domaine du grand public, a également contribué à étendre le champ des possibles et à accéder à différentes applications ludiques, souvent commercialisées en direct ou sur des stores online.
Au regard de ces éléments, nous pouvons penser que le secteur professionnel va connaître le même engouement.
Ainsi, de premières initiatives commencent à se développer. Il est tout de même important de noter qu’il s’agit d’un très petit nombre d’applications. Cela s’explique en partie par des raisons financières et technologiques. En effet, le développement sur mobile n’est pas comparable au développement sur le Web, par exemple.Les technologies et les compétences sont souvent bien différentes. Ces éléments amènent de nombreux éditeurs ou SSII à repousser les projets de développement mobiles qui sont difficiles à réaliser. Cela s’accompagne de coûts de création sensibles… N’oublions pas que pour être rentables, les applications mobiles doivent être acquises dans une logique de masse afin de couvrir l’investissement.
Le monde professionnel étant différent du grand public, notamment sur les secteurs de niche, la faisabilité économique n’est donc pas toujours une réalité. Il est nécessaire de prendre en compte ces données et de permettre aux éditeurs, équipes de développeurs internes aux entreprises et intégrateurs de proposer des développements mobiles rentables et accessibles.
Un tel processus est possible et passe par l’agilité. Plus qu’un simple concept fumeux, ce terme doit permettre à des équipes de toutes tailles de développer aisément sur tout type de plate-forme en maîtrisant leurs temps et coûts de développement. N’oublions pas que les développeurs mobiles ne sont pas légion sur le marché et que les formations sont assez limitées. Il faut donc prendre en compte cette pénurie et simplifier au maximum les processus de développement en les rendant réalisables par des développeurs non spécialisés sur les technologies mobiles.
Conscients de ce point, nombre de SSII et d’éditeurs recherchent et se tournent vers des technologies dites de RAD pour pallier ces contraintes. Grâce à ces dernières, il apparaît que les cycles de création et de mise en production sont réduits de 30 %, ce qui constitue un élément stratégique dans le lancement de nouveaux projets. Bien entendu, cela permet enfin de contenir les coûts et de donner une existence tangible aux projets mobiles dans un contexte professionnel. Des solutions existent donc et vont permettre au marché d’exister. La mobilité devrait donc contribuer à étendre le domaine d’utilisation des traditionnelles technologies RAD, qui, comme à l’époque du Web, ont permis aux applications IT professionnelles d’exister.
Alors que la confidentialité préoccupe, des plates-formes émergent, dont le créneau est le respect total des informations privées. Une promesse qui ne suffirait pas à faire migrer les internautes d'un site à un autre.
La protection de la vie privée est un point d'achoppement majeur sur les réseaux sociaux grand public à l'heure actuelle. Dans cette optique, des chercheurs de l'université du Colorado ont imaginé MyZone, un prototype de réseau social dont la principale caractéristique serait de garantir à l'utilisateur un contrôle total sur la diffusion de ses informations confidentielles. MyZone fonctionne sur le principe du Peer-to-Peer. Les données du profil de l'utilisateur ne sont pas stockées sur un serveur annexe mais directement sur l'ordinateur ou le téléphone de la personne en question.
Un fonctionnement en P2P
Afin que ces informations soient disponibles en permanence, même quand le détenteur du profil n'est pas connecté, ce dernier va déterminer manuellement des terminaux "miroirs" : l'ordinateur de contacts qu'ils jugent de confiance et qui hébergeront son profil le temps que l'utilisateur revienne en ligne. "Le concept est intéressant et réfléchi. Théoriquement, il peut fonctionner", explique Cédric Deniaud, fondateur du cabinet conseil The Persuaders et auteur du blog MédiasSociaux.fr. "Mais je ne pense pas qu'un réseau social généraliste puisse se faire une place uniquement sur cette promesse de confidentialité", ajoute-t-il. Notamment parce que si les utilisateurs se plaignent de ces problèmes sur des sites comme Facebook, ils y reviennent toujours. Ainsi, selon lui, MyZone rappelle un peu le concept du réseau social Diaspora qui tentait également de mettre la confidentialité au cœur de son fonctionnement.
Quel avenir pour ces réseaux sociaux marginaux ?
Avec à l'arrivée, un échec relatif puisque seules quelques centaines de milliers d'utilisateurs ont été convaincus. En cause, un effet doublon : "Lorsque vous développez tout un réseau de contacts généralistes, que ce soit sur Facebook ou maintenant sur Google +, vous n'avez pas envie d'en recréer un presque identique ailleurs", continue Cédric Deniaud. Les seules options viables restent finalement, soit de se spécialiser dans une caste très particulière d'utilisateurs (même lieu géographique, centres d'intérêt ou catégorie socio-professionnelle). Soit, conclut le responsable, d'accepter d'être financé en partie ou racheté par les géants que sont Facebook et Google pour subsister, au risque de les voir s'accaparer quelques fonctions intéressantes qu'ils incluront par la suite dans leurs services.
Le nombre de demandes de renseignements émanant des autorités françaises portant sur les comptes utilisateurs de Google est en forte progression.
Google vient de faire paraître son fameux "Transparency report ". Pour rappel, ces rapports permettent de connaître les différentes demandes émises par les organismes gouvernementaux sur les services de Google, et surtout les données qu'ils diffusent. Ce rapport couvre la période qui va de janvier à juin 2011, et permet donc de savoir le nombre de demandes de renseignements sur les utilisateurs des services Google et celles portant sur les suppressions de contenu diffusé par ces mêmes services.
Diffamation sur Google
En France, il y a donc eu, au cours des six premiers mois de l'année 2011, 9 demandes d'organismes gouvernementaux de suppressions de contenu. Des suppressions ont été demandées pour 250 éléments (une même demande peut porter sur un ou plusieurs éléments). Une seule ordonnance de tribunal français a d'ailleurs entraîné la suppression de 180 éléments de Google Groupes, "relatifs à un cas de diffamation à l'encontre d'un homme et de sa femme", précise Google.
En France, le service de Google le plus concerné par ces demandes, est le moteur de recherche, et ses pages de résultats qui totalisent quatre ordonnances du tribunal. Ces dernières ont abouti à la suppression de 54 éléments, également jugés diffamant.
Quant aux demandes de renseignements issues de la France sur les utilisateurs des services Google, elles sont été au nombre de 1 300 lors des six premiers mois de l'année 2011, et ont porté sur 1622 comptes ou utilisateurs. Près de la moitié des demandes (47%) ont été satisfaites "intégralement ou en partie", explique Google.
Demandes de renseignements sur les utilisateurs Google
Le nombre de demandes de renseignements sur les utilisateurs que Google a reçues de l'Etat français au cours des six derniers mois a augmenté de 27%. "Le nombre de demandes que nous recevons concernant les informations liées aux comptes d'utilisateurs dans le cadre d'enquêtes criminelles augmente d'année en année. Cette augmentation n'a rien de surprenant, car nous offrons chaque année davantage de produits et de services, et nous disposons d'un grand nombre d'utilisateurs", commente Google.
Cependant, à titre de comparaison, le gouvernement américain a exigé d'obtenir des informations sur plus de 11 000 utilisateurs de services Google, ce qui correspond au nombre total de demandes émises dans 25 autres pays développés.
La gestion des informations et événements de sécurité est une préoccupation clé pour beaucoup d’entreprises. Selon une étude menée par Ernst & Young en 2010, il s’agit même de la technologie la plus implémentée dans les entreprises pour prévenir ou détecter une attaque et réagir à cette attaque. Cette discipline est l’apanage de solutions que l’on baptise régulièrement SIM (Security Information Management) ou SIEM (Security Information and Event Management).
Le SIEM en bref
Un outil de SIEM a pour vocation de surveiller ce qui se passe sur l’ensemble du réseau et l’infrastructure SI de l’entreprise afin d’identifier les activités suspectes ou contrevenant à la politique de sécurité et conformité. Dans la pratique, il collecte des données d’événements de sécurité (venant des réseaux, applications, systèmes et sites hôtes de l’entreprise, …)pour un double objectif :
1) Alerter en temps réellorsqu’une activité suspecte est identifiée (cela permet d’identifier et gérer les menaces, par exemple un accès non autorisé au réseau)
2) Produire des analyses et des rapports pour donner la posture de l’entreprise vis à vis de la conformité avec la politique de sécurité ou les réglementations (cela permet d’identifier les gaps vis à vis d’une conformité ou règle de sécurité et de définir les actions à faire pour y remédier). Elle permet aussi, lorsqu’on étudie des données historiques d’événements de comprendre ce qui s’est passé lors d’une menace et d’identifier les ressources du SI vulnérables afin de mettre en place de nouvelles mesures de sécurité pour réduire les menaces.
A la base, les informations traitées par le SIEM sont des informations techniques remontant des différents éléments (tels que serveurs, routeurs, pare-feux, …) qui composent le réseau d’entreprise. Ces informations sont sous forme de journaux (ou logs) émis par l’ensemble des équipements de sécurité et logiciels du SI.
Pour nombre de responsables informatique et responsables de la sécurité, les SIEM permettent de venir à bout d’une tâche titanesque, vraie plaie des opérations de sécurité : gérer et tirer partie du déluge d’informations généré par les équipements du SI notamment ceux de sécurité, un volume tel que l’humain ne peut plus suivre. La fonction première d’un SIEM est donc d’automatiser et de rationaliser le processus de collecte des journaux (ou logs) d’événements provenant de diverses sources à travers le réseau. Qu’il s’agisse d’événements de sécurité ou non. Un autre rôle important est le rôle de filtrage, qui permet d’éliminer le bruit pour ne garder que les informations pertinentes pour le DSI ou le responsable de la sécurité. Mais un bon SIEM va bien plus loin, puisqu’il sait aussi corréler des informations qui, prises isolément, ne montrent aucune anomalie, mais qui, mises bout à bout par un algorithme sophistiqué, révèlent une attaque ou une tentative d’intrusion en cours.
Filtrer et corréler les informationspour mieux identifier les menaces
Pour l’entreprise la valeur d’un SIEM réside donc non seulement dans son aptitude à collecter sans problème les informations de sécurité, mais aussi dans sa capacité à les agréger et à les corréler de façon « intelligente », afin d’identifier les menaces de sécurité, notamment en décelant des comportements anormaux susceptibles d’indiquer un problème ou une attaque. En déclenchant des alertes, une solution SIEM peut en effet activer des processus automatiques ou manuels afin de rechercher et remédier à un événement suspect qu’il soit une attaque reconnue ouune défaillance d’un équipement par exemple.
Un autre bénéfice connexe des SIEM est qu’ils facilitent d’une part les investigations historiques (post-mortem) qui permettent d’étudier l’historique de données de sécurité pour comprendre les tenants et aboutissants d’une attaque ou un événement du réseau et d’autre part lesinvestigations numériques légales (forensics) pour simplifier le processus de réponse aux audits. Ces plates- formes incluent également de plus en plus couramment des fonctions de gestion et d’archivage de logs, ce qui facilite la conformité aux dispositions légales de rétention des données à long terme. Bref, elles sont aussi précieuses avant qu’après les faits tant pour des raisons techniques que réglementaires.
RSA® enVision MidMarket: Une appliance simple pour une visibilité totale sur la sécurité de l’entreprise
En choisissant le format
Appliance pour sa solution
RSA® enVision, RSA contribue
à simplifier la mise en oeuvre
d'un SIEM
En choisissant le format Appliance pour sa solution RSA® enVision, RSA contribue à simplifier la mise en oeuvre d'un SIEM
La plupart des plates-formes SIEM se présentent aujourd’hui sous forme de solutions logicielles ou d’appliances « prêtes à l’emploi », conçues pour simplifier le déploiement de ces solutions ; c’est sur ce dernier modèle que s’appuie la plate-forme RSA® enVision MidMarket que RSA a lancé à destination du marché des PME. La mise à disposition de la solution sous forme d’appliance est un choix particulièrement adapté aux besoins de ce marché car simplifie le déploiement en évitant à l’entreprise de se poser des questions en matière de dimensionnement de serveur, de paramétrage…
RSA® enVision MidMarket est dimensionné pour les besoins des PME et peut collecter des logs en provenance d’un maximum de 40 équipements comme des serveurs, des routeurs, des pare-feux… L’administration et le pilotage de la solution s’effectuent via une console web permettant également la génération de tableaux de bord avancés (plus de 1 100 rapports préconfigurés sont déjà fournis avec le produit).
Deux modèles d’appliances sont aujourd’hui disponibles pour le midmarket : l’appliance enVision ES 160 et l’appliance enVisionES 260, conçus respectivement pour gérer 20 et 40 équipements.Pour un nombre d’équipements plus élevé, il existe d’autres modèles d’appliances destinés aux grandes entreprises. Selon RSA, les prix de la solution SIEM RSA® enVision Mid-Market, débutent aux environs de 10 000 €.
La sécurité a longtemps été le talon d'Achille de Microsoft. Pourtant, depuis 2002, la firme de Redmond tente de remédier à ce problème récurrent, avec une démarche censée intégrer la sécurité dans le développement de ses logiciels et systèmes. Ce que Microsoft appelle l'informatique de confiance fait-elle ses preuves ?
Que l'on aime ou que l'on déteste Microsoft, il est indéniable que la firme de Redmond tient une place unique dans le paysage de l'informatique mondiale, de par sa taille et sa domination, toujours importante, Windows demeurant un système d'exploitation massivement utilisé. D'où l'intérêt de se pencher sur sa stratégie de sécurité, ce que nous avons pu faire en rencontrant plusieurs membres des équipes en charge de la sécurisation des produits Microsoft : la division Trustworthy Computing.
« Trustworthy computing ». La notion d'informatique de confiance est en fait, à la base, le sujet d'un e-mail interne de Bill Gates. Celui-ci s'émeut, en 2002, des inquiétudes des clients, professionnels comme particuliers concernant la sécurité de leur système. Depuis, Microsoft a progressivement mis en place une démarche, notamment connue sous le nom de Security Development Lifecycle (SDL). Le but ? Intégrer au processus de développement la notion de sécurité, selon plusieurs étapes allant de la formation des développeurs et ingénieurs à la correction des vulnérabilités après le lancement, en passant par le design et l'audit. La mise en place de ce processus explique la longue attente avant la disponibilité du Service Pack 2 de Windows XP, qui allait beaucoup plus loin qu'un simple ensemble de correctifs pour modifier les fondations de l'OS en lui apportant de nombreuses fonctionnalités.
Après avoir intégré cette démarche à ses propres produits, Microsoft cherche à l'étendre à ses partenaires industriels. Alors que l'initiative semble porter ses fruits depuis Windows Vista et surtout 7, et en pleine explosion des attaques portant sur le vol de données personnelles sur de nombreux sites, le « trustworthy computing » made in Microsoft est-elle une solution pertinente ? Revenons sur l'historique et la logique de sécurité de la firme de Redmond !
L'épreuve d'Internet : le choc des années 2000
L'informatique, notamment en entreprise, a connu une nette évolution des menaces avec le développement d'Internet, et Microsoft a en quelque sorte accusé le coup. Directeur Senior de la division Trustworthy Computing de Microsoft, Steve Lipner revient sur cette mutation : « Pendant longtemps, les problèmes de sécurité dans l'entreprise étaient considérés comme secondaires. Les seules menaces réelles provenaient de l'intérieur. C'est toujours le cas aujourd'hui, mais depuis le développement de l'Internet les menaces viennent principalement de l'extérieur : les gens échangent des informations hors de l'entreprise, ils se connectent à Internet ou sur des réseaux locaux ». La situation finit par virer à la catastrophe en 2001 : le tout nouveau Windows XP est victime de menaces telles que Blaster et ses déclinaisons, et d'une grosse faille de sécurité au niveau de l'UPnP.
Vient alors l'e-mail de Bill Gates et la volonté de replacer la sécurité au centre du développement de Windows : « Comme j'en ai discuté avec nos clients au cours de l'année passée – des particuliers aux grandes entreprises – tout le monde reconnaît le rôle de plus en plus important que jouent les ordinateurs dans notre vie. En même temps, la plupart des gens à qui je parle sont inquiets par rapport à la sécurité des technologies dont ils dépendent … ».
Néanmoins, entre cette prise de conscience et son aboutissement, la firme de Redmond avance à tâtons. La première étape, rappelle Steve Lipner, est la sensibilisation des équipes aux problématiques de sécurité : « Nous avons réuni l'ensemble de nos connaissances sur le problème, puis nous avons dit aux employés d'arrêter leur travail en cours, et d'aller se former. Nous avons mis en place des sessions où les développeurs pouvaient apprendre à créer un code sécurisé »
Viennent ensuite plusieurs étapes, telles que la « Security Science », qui consistait à découvrir de nouvelles classes de vulnérabilités dans le logiciel, puis de les résoudre, ainsi qu'une phase d'audit où une autre équipe analysait le code afin de déterminer sa qualité.
Selon Steve Lipner, cette approche a porté ses fruits, notamment sur SQL Server, mais se confrontait à ses limites : développer un logiciel, puis le soumettre à des améliorations de sécurité n'était pas viable : « Ce que nous voulions, c'était intégrer la sécurité au niveau du développement, mais également dès la phase de conception, ce que nous avons fait début 2004 avec le Security Developpement Lifecycle, ou SDL ».
L'Autorité de protection de la vie privée irlandaise a ouvert une enquête sur Facebook, après le dépôt de vingt-deux plaintes différentes par un étudiant autrichien. Max Schrems, étudiant en droit habitant Vienne, accuse Facebook d'avoir conservé de très nombreuses informations qu'il avait publiées puis effacées sur le réseau social. Il soupçonne également Facebook de créer des "profils fantômes", qui rassemblent des informations sur des personnes qui n'ont pas créé de comptes, sans l'avoir déclaré.
Après avoir assisté à une conférence organisée par Facebook, M. Schrems, qui avait un compte sur le réseau social depuis trois ans, avait décidé de demander à Facebook une copie de l'ensemble des données que le réseau social détenait à son propos, conformément à la législation européenne.
Max Schrems a alors reçu un CD contenant un document de plus de 1 200 pages, avec des informations sur près de 60 sujets : l'ensemble des "likes" et des "pokes" envoyés par M. Schrems, mais aussi l'intégralité de ses discussions instantanées, ses statuts, ses demandes d'amis, ou encore l'ensemble des événements Facebook auxquels il avait participé. A la lecture du document, M. Schrems a constaté que les informations qu'il avait effacées restaient stockées sur les serveurs de Facebook – notamment des messages privés dont le contenu pourrait lui porter préjudice. Il a alors créé avec des amis le site Europe vs Facebook, qui détaille les procédures entreprises et incite les internautes à demander à recevoir eux aussi l'ensemble de leurs données, en leur fournissant la marche à suivre.
Le fait que Facebook conserve ces données sur le long terme pose plusieurs problèmes, estime M. Schrems. Tout d'abord, il juge que les utilisateurs de Facebook n'ont pas donné leur consentement explicite à cette utilisation de leurs données, contrairement à ce que prévoit la directive européenne sur la protection de la vie privée ; et surtout, "ces données ne sont pas hébergées sur le territoire européen mais aux Etats-Unis, et Facebook Irlande [siège européen du réseau social] ne garantit pas une sécurité suffisante à ces données (...). Il n'existe aucune garantie que les forces de l'ordre américaines ou les autorités européennes ne puissent pas accéder à ces informations sensibles sur les citoyens européens", note l'une des plaintes déposées par M. Schrems.
DES "MESURES TECHNIQUES" POUR FACEBOOK
Dans un communiqué, Facebook s'est défendu de toute mauvaise utilisation des données de ses utilisateurs, arguant que les données étaient conservées pour des raisons essentiellement techniques. En ce qui concerne les messages effacés, Facebook explique que "nous permettons aux utilisateurs de supprimer les messages dans leurs dossiers de messages reçus ou envoyés. Mais il n'est pas possible de supprimer un message envoyé de la boîte de réception d'un autre utilisateur, et inversement. Tous les services de messageries jamais inventés fonctionnent comme cela."
L'argument est fallacieux, juge Max Schrems. "Cela peut sembler logique à première vue, explique-t-il au Monde.fr, mais si l'on se réfère à la politique de confidentialité de Facebook, les messages ne sont pas supprimés même si les deux correspondants les ont effacés. Ce n'est pas le cas dans les autres services de messagerie."
Concernant d'autres types de données, le réseau social avance que de nombreuses données transmises à M. Schrems à sa demande "ne sont pas des données personnelles", mais simplement des informations utilisées par Facebook "pour la protection contre la fraude" ou "pour des raisons d'analyse statistique". Facebook utilise notamment l'adresse Internet Protocol (IP, qui permet d'identifier une machine sur le réseau) pour ses services de protection contre le détournement de compte – lorsqu'un utilisateur se connecte depuis une adresse IP située dans un pays inhabituel, par exemple, le réseau social rajoute des questions à la procédure de connexion, afin de limiter les détournements de comptes par des pirates.
"Il ne s'agit clairement pas de données personnelles", affirme Facebook. Pourtant, l'adresse IP, notamment, est considérée par le G29, qui regroupe les autorités de protection de la vie privée européenne, comme une donnée personnelle, bien que divers procès aient abouti, en Europe, à des jurisprudences contradictoires. La révision, en cours, de la directive européenne sur la protection de la vie privée – qui considère comme personnelle toute donnée qui permet l'identification d'une personne – pourrait aboutir dans les prochains mois à une clarification nette du statut de cette information.
Mais pour Max Schrems, la manière dont Facebook définit ce qui constitue une donnée personnelle est ambiguë. "Facebook ne m'a pas transmis l'ensemble de mes informations personnelles. Par exemple, les données d'utilisation du bouton Like sur d'autres sites, ou encore les données de leur fonction de reconnaissance faciale, ne font pas partie du document. Et je soupçonne que mon visage est bien une donnée personnelle", ironise-t-il.
"PROFILS FANTÔMES"
Au-delà des questions de conservation des données de ses utilisateurs, M. Schrems reproche également à Facebook la création de ce qu'il appelle des "profils fantômes" ("shadow profiles"). Par le biais des synchronisations des téléphones ou des carnets d'adresse, Facebook collecte quantité d'informations sur des personnes qui ne sont pas inscrites sur le réseau – et les utilise notamment pour personnaliser les courriels invitant les internautes à rejoindre Facebook.
"En rassemblant ces informations, Facebook crée des profils détaillés de ses utilisateurs comme des non-utilisateurs du service (...). Et il le fait sans prévenir les personnes concernées ; l'utilisateur comme le non-utilisateur voit seulement les effets de cette collecte : les suggestions d'ajout d'amis se basent parfois sur ces informations, tout comme les non-utilisateurs reçoivent des invitations comportant les portraits de personnes qu'ils connaissent dans la vraie vie. Cela signifie que Facebook collecte d'importantes quantités de données sans en informer les personnes et sans leur demander leur consentement", détaille l'une des plaintes.
RISQUES LIMITÉS POUR FACEBOOK
L'instance irlandaise a ouvert une enquête préliminaire sur ces accusations. Mais même si Facebook devait être poursuivi et condamné, le risque financier serait très limité pour l'entreprise : la législation européenne prévoit en effet une amende de 100 000 euros maximum pour ce type d'infraction.
Mais une condamnation pourrait coûter cher, en termes d'image, au plus grand réseau social au monde, qui fait l'objet de plusieurs autres procédures sur d'autres sujets, notamment en Allemagne. L'autorité de protection de la vie privée du Land de Hambourg, qui s'était déjà inquiétée des implications du bouton "Like", a mis en demeure Facebook de modifier, d'ici au 7 novembre, sa fonction de reconnaissance faciale.
L'association américaine Isaca, connue pour Cobit et plus récemment Risk IT, propose un label pour attester la capacité des responsables à gérer le risque.
Poussé par l’Afai (Association française de l'audit et du conseil informatique) côté français, le label Certified in Risk Information System Control (Crisc) concerne principalement les auditeurs en systèmes d'information, les Risk Managers et les DSI, si la charge de la gestion du risque informatique leur incombe, bien entendu. Dans le même esprit que la norme ISO 27005, elle certifie une personne et non une entreprise. La différence se situe au niveau de l’approche. ISO 27005 concerne le risque du système d'information (SI) opérationnel, tandis que le Crisc traite du management de la gouvernance du risque SI : les risques sont-ils couverts par des procédures ? Celles-ci font-elles l'objet d'une évaluation régulière ? Les facteurs de risques ont-ils évolué ? Etc.
Un examen mondial, le même jour et à la même heure pour tous
Originaire des Etats-Unis, cette certification est le produit de l’Isaca (Information System Audit and Control Association), connue notamment pour la publication de Cobit. Aujourd’hui Crisc compte seulement 70 certifiés en France contre 7 000 dans le monde, dont 4 500 rien que pour le Japon et les Etats-Unis. Le premier examen mondial aura lieu le 10 décembre, à la même heure pour tous les pays concernés. Côté français, les épreuves se dérouleront à Paris, dans le quartier de la Porte de la Chapelle.
Pour se préparer à passer cet examen, l'Afai propose plusieurs sessions de formation qui auront lieu en novembre : présentation de la gestion du risque, mise en œuvre opérationnelle du Risk IT et préparation à l'examen.
Les clashes entre les autorités européennes et les acteurs américains du web ne cessent de se répéter. En cause, des attitudes antagonistes de part et d'autre de l'Atlantique à l'égard de la protection de la sphère privée et, au-delà, des conceptions divergentes sur ce qui est privé.
Le litige opposant le préposé à la protection des données en Suisse (l'équivalent de la Cnil en France) à Google Street View n'est pas un cas isolé. Cette année, des affaires ont éclaté en Espagne à propos de pages indexées par Google contenant des informations personnelles, en Allemagne, à propos (encore) du floutage de Street View et au niveau européen à propos de la reconnaissance automatique des visages dans Facebook. Les gardiens de la sphère privée ne cessent par ailleurs de manifester leur mécontentement et leurs mises en garde envers les grands acteurs du web sur leur manière de collecter et d'exploiter les données de leurs utilisateurs. En mai dernier, Viviane Reding la Commissaire européenne en charge de la justice et des droits fondamentaux soulignait que ces entreprises ne sauraient se soustraire au droit européen sous prétexte qu'ils sont basés aux Etats-Unis ou que leurs données sont dans le cloud: «Un réseau social avec 200 millions d'utilisateurs en Europe doit se plier au droit européen».
Qu'elles soient légales ou verbales, ces tensions ont pour dénominateur commun d'opposer des acteurs du web majoritairement américains à des autorités de protection de la sphère privée européennes. Au point que plusieurs grands médias américains ont thématisé l'antagonisme croissant entre les conceptions de la sphère privée de part et d'autre de l'Atlantique, parlant même de «guerre d'internet à venir en Occident».
Des attitudes opposées Les problèmes liés à la protection de la sphère privée ne sont l'exclusivité ni du web ni des entreprises américaines. Ces dernières années, le préposé à la protection des données suisse s'est ainsi intéressé à des pratiques aussi diverses que la vidéosurveillance dans les transports publics, les compteurs électriques intelligents et la cybersanté. De plus, la divulgation d'informations personnelles en ligne - contrainte ou intentionnelle, consciente ou non - entre dans les moeurs, y compris en Europe (voir lien).
Il n'empêche que l'attitude des législateurs et des usagers européens est beaucoup plus méfiante à l'égard des acteurs du web, que celle qui prévaut outre-Atlantique. Trois quarts des européens souhaitent par exemple disposer d'un droit à l'oubli, c'est-à-dire de la possibilité de supprimer toutes leurs données personnelles ou d'y attribuer une durée de vie. L'Union Européenne a d'ailleurs annoncé son intention de légiférer en la matière. Aux Etats-Unis, on insiste en revanche sur l'apport positif de l'information et de la transparence - la liberté d'expression du fameux premier amendement. Les dangers de la toile qui font débat concernent avant tout les actes malveillants et la protection des enfants et l'on préfère faire appel à la responsabilité des usagers et des fournisseurs de services, qu'à des lois contraignantes. Quelle est l'origine d'une si profonde divergence de vues? Deux études universitaires permettent d'y voir plus clair.
