Vidéosurveillance : la Cnil dresse son rapport 2010

La Commission Nationale de l’Informatique et des Libertés vient de dévoiler son rapport d'activité 2010. Pour la période couverte depuis juin 2010, la Cnil note l'augmentation de son activité et s'interroge également sur les risques liés à la vidéosurveillance.

Pour son 31ème rapport (.pdf), la Cnil indique que le nombre de ses contrôles portant sur le traitement des données personnelles est en hausse. A la loupe, l'organisme rapporte que 308 contrôles ont été effectués, soit une augmentation de 14 % par rapport à l'année 2009. De même, la Cnil explique avoir reçu un « nombre record de plaintes (4 821) pour non-respect de la loi Informatique et Libertés. Ce chiffre représente une hausse de 13 % par rapport à 2009 ». Le thème qui revient principalement s'avère être le droit à l'oubli.

Parmi les constats mis en lumière par l'autorité, la Cnil explique avoir réalisé 55 contrôles portant sur des installations de vidéosurveillance. La commission relève que sur : « 27 dispositifs jugés excessifs, 6 (soit 10 % des contrôles effectués) étaient délibérément orientés sur des salariés. Or, la mise en œuvre d'un dispositif de vidéosurveillance ne peut pas avoir pour seule finalité la surveillance des salariés ».

Elle ajoute que « dans les 21 autres cas (soit 38 % des contrôles effectués), les dispositifs avaient pour finalité d'assurer la sécurité des biens (par exemple des marchandises) mais filmaient également des postes de travail de salariés qui n'étaient pas en contact avec la marchandise à protéger ». Elle invite donc les entreprises qui souhaitent se doter de telles installations à prendre en compte certaines conditions avant tout travaux comme de mesurer la légitimité de ce type de contrôle (un simple vol de crayons ne peut justifier le recours aux caméras).

Enfin, elle précise également que les professionnels doivent favoriser d'autres moyens de protection s'ils désirent préserver certains de leurs biens (armoires fortes, sécurité des locaux..).

Pour rappel, la législation récente, notamment grâce à la loi Loppsi, renforce considérablement le rôle de la Cnil en matière de vidéosurveillance. En effet, la loi d'orientation et de programmation pour la performance de la sécurité intérieure confère à l'autorité la capacité de contrôler tout dispositif vidéo. Elle entame donc un travail de longue haleine dans ce domaine. A ce titre, elle a déjà prévu de programmer pas moins de 150 contrôles pour l'année à venir.

Source

Eye Tracking sur Google Maps

Où et pourquoi les internautes cliquent dans Google Maps

Quel est le chemin du regard des internautes sur Google Maps ? Quelle place accordent-ils aux listes Google Places, à la recherche de bonnes adresses, sont-ils plus sensibles aux cartes présentés ou aux suggestions sponsorisées ? Le point avec Mediative, spécialiste du marketing à la performance.

Le texte privilégié aux cartes

La société de marketing à la perfomance canadienne Mediative a réalisé une étude d'eye-tracking sur Google Maps dans le cas d'une recherche standard. Ici les sujets doivent rechercher un tatoueur à proximité d'Hamilton dans l'Ontario et tapent donc "Tattoo in Hamilton, Ontario". La couleur rouge correspond aux endroits où les internautes ont le plus porté leur regard, les zones chaudes, le vert représente quant à lui des points d'intentions limités. Premier constat, on observe que le regard se pose avec insistance sur le premier résultat Google Places dans la colonne de gauche, avant d'observer le suivant, puis la carte.

Sur cette même recherche, les clics sont en conséquence massivement réalisés sur le premier et second résultat de recherche de la colonne Google Places. Ils sont moins nombreux sur la carte et sont principalement réalisés sur le résultat "A".

Les commentaires aident à améliorer le taux de clics

Dans le cas d'une recherche approchante, "Tattoo in London, Ontario", le regard est toujours porté sur le premier résultat de recherche. La curiosité des internautes testés les incite aussi à jeter un oeil aux lieux touristiques indiqués sur la carte, mais sans qu'ils aient de lien avec leur recherche.

Toutefois le résultat "C", en troisième position, bénéficie d'un taux de clic supérieur à ce que le précédent test laissait suggérer. Il se différencie en effet des autres puisqu'il comporte une citation d'un internaute ainsi qu'une note d'appréciation de trois étoiles sur cinq. Le schéma ci-dessous rend ainsi compte de l'importance des marqueurs sociaux sur les résultats de recherche. Grâce à eux, le résultat "C" obtient tout autant si ce n'est plus de clics que le "A".

Lire la suite...

BizzTrust d'Android divise un smartphone unique en deux téléphones virtuels

De nos jours, les entreprises sont à juste titre préoccupés par la sécurité des appareils mobiles fournis aux travailleurs, de nombreux travailleurs se retrouvent porter autour de deux téléphones mobiles - un pour une utilisation personnelle et une autre pour les affaires. Bien sûr, les téléphones mobiles ne sont pas les immenses poches d'étirement périphériques qu'elles étaient autrefois, mais pour des raisons de commodité, on est très certainement mieux que deux. Maintenant les chercheurs de Fraunhofer ont développé un logiciel qui permet la création de deux smartphones virtuels dans un seul dispositif, offrant une sécurité pour les entreprises tout en laissant les travailleurs installent leurs propres applications.

Pour créer la nouvelle solution de sécurité pour les smartphones sous Android, appelé BizzTrust pour Android, Fraunhofer experts en sécurité a modifié le système d'exploitation Android de séparer les applications privées et professionnelles sur un téléphone. Avec deux zones protégées pour les données et applications, le logiciel est capable d'identifier si le contenu appartient à une entreprise ou une application privée et les stocke séparément dans la partition appropriée, tout en contrôlant l'accès aux données.

Cela permet aux utilisateurs d'installer toutes les applications potentiellement dangereuses qu'ils aiment sur la partition personnelle, tout en protégeant l'accès aux applications métier et les données stockées sur l'autre partition. Même si les attaquants réussissent à s'infiltrer dans une application non garantis, ils ne peuvent pas l'utiliser pour accéder aux données d'entreprise, et l'impact de l'attaque est confiné à des données privées sur le smartphone.

Les utilisateurs sont en mesure de basculer entre les fonctions de travail et à la maison avec deux clics de l'écran tactile tout en un symbole de couleur permet aux utilisateurs de savoir si elle est dans l'entreprise (rouge) ou personnelle (en vert) région.

Le logiciel permet à une entreprise de décider quelles applications sont autorisées pour les affaires, et qui a accès à quelles parties de l'entreprise IT. Avant de se connecter au réseau de l'entreprise via un lien sécurisé VPN, le logiciel du téléphone est contrôlé et l'accès peut être bloqué pour les applications critiques et les données peuvent être bloquées si des modifications sont détectées. Avec des règles sur l'accès entreprise susceptible de changer au fil du temps, le système permet également aux applications d'entreprise être modifiées ou supprimées selon les besoins lorsque l'utilisateur se connecte au réseau de l'entreprise.

Les chercheurs de Fraunhofer dire à fournir une sécurité supplémentaire, la prochaine étape est d'équiper les smartphones avec des cartes à puce intégré. En attendant, ils cherchent à développer des outils pour permettre aux administrateurs d'établir un lien sécurisé avec des appareils mobiles de l'entreprise pour la synchronisation sans fil et de sauvegarde de données ou de supprimer les données si l'appareil est volé.

Le logiciel Android pour les BizzTrust développé par Fraunhofer chercheurs est à l'affiche du commerce IT-SA show running au Centre des Expositions de Nuremberg en Allemagne jusqu'en Octobre 13.

Source

Une faille de sécurité permet de contrôler un iPhone à distance

Les iPhone et iPad ne sont pas à l'abri des failles. Charlie Miller, un chercheur en sécurité informatique, a mis en évidence une nouvelle vulnérabilité d'iOS permettant de prendre le contrôle d'un terminal à l'insu de l'utilisateur grâce à un code malicieux caché dans une application.

Ce n'est pas la première fois que Charlie Miller met en lumière une faille sur les terminaux d'Apple. Cet ancien de la NSA, spécialiste en sécurité informatique, avait déjà révélé une vulnérabilité de l'iPhone. Grâce à un SMS spécial, il était possible d'écouter les conversations sur le téléphone ou d'en prendre le contrôle. Cette fois-ci, le chercheur pointe du doigt un défaut de sécurité avec une application.

La méthode utilisée est en fait assez simple. Il existe une faille de sécurité dans Nitro, le moteur Javascript du navigateur Safari présent sur iOS. Cette brèche permet d'exécuter du code non signé sans que l'iPhone ou l'iPad ne bronche. En résumé, il suffit qu'une personne mal intentionnée cache une action nocive dans une application pour prendre le contrôle complet du terminal.

Charlie Miller est d'ailleurs passé de la théorie à la pratique. Il a créé une application appelée Instastock permettant de suivre le cours de la bourse en direct mais il a inclus un code malicieux permettant d'exploiter la fameuse faille. Il a soumis l'application en question à Apple qui l'a validée sans le moindre problème.

Du coup, les terminaux Apple sur lesquels l'application est installée peuvent être la cible de nombreuses actions (exploration des dossiers, ajout et suppression de fichiers, vibration du terminal, téléchargement du carnet de contacts...) sans que l'utilisateur ne s'en rende compte. Charlie Miller dévoile justement dans la vidéo ci-dessous les possibilités offertes par cette vulnérabilité :

Cet exemple montre une nouvelle fois que le système mis en place par Apple pour la publication des applications n'est pas exempt de défauts. Pour l'instant, les seules réponses apportées par la firme à la pomme sont la suppression de l'application Instastock de l'App Store et l'exclusion de Charlie Miller de la communauté des développeurs iOS. Il reste maintenant à savoir si une mise à jour d'iOS est prévue pour colmater cette faille rapidement.

Source

Sécurité informatique : la vente de services progressera au moins jusqu'en 2015

Le marché des services délivrés autour des produits de sécurité informatique ne connaît pas la crise et ne devrait pas la connaître avant quelques années. Selon le cabinet d'études Gartner, la fourniture de ce type de prestations devrait représenter un chiffre d'affaires mondial de 35,1 Md$ cette année contre 31,1 Md$ un an plus tôt. L'an prochain, les revenus du secteur devraient progresser de 9% et atteindre enfin 49,1 Md$ en 2015. « Le marché des services de sécurité a évolué rapidement ces dernières années avec [...] des clients qui préfèrent souvent souscrire à des prestations. Cela leur permet de baisser leurs coûts d'exploitation pendant qu'ils consacrent leurs ressources à des problématiques de sécurité plus stratégiques », indique Lawrence Pingree, directeur de recherche chez Gartner.

La gestion des ressources IT : premier poste de dépenses en 2015

Parmi les différents services proposés, le développement et l'intégration est celui dont les revenus seront les plus importants, 11,3 Md$ en l'occurrence. Un montant qui devrait atteindre 13,8 Md$ en 2015. Arrivent en seconde position les services de conseil avec 9,6 Md$ en 2011 (12,1 Md$ en 2015). La gestion des ressources IT, le support logiciel ainsi que le support et la maintenance matériel devraient dégager quant à eux 8 Md$, 5 Md$ et 1 Md$ de revenus cette année. A noter que la croissance du segment des services de gestion des ressources IT sera telle dans les années à venir que ses revenus devraient passer à près de 15 Md$ en 2015. A cette date, il s'agira du poste de dépense le plus important consacré par les entreprise aux services de sécurité IT.

Comme l'indique Gartner, c'est en Amérique du Nord que les fournisseurs de services de sécurité IT trouvent les plus importants débouchés. Outre-Atlantique, le chiffre d'affaires du secteur devrait en effet atteindre 14,6 Md$ en 2012 puis 19 Md$ en 2015. Pour l'Europe de l'Ouest, Gartner table sur des revenus de l'ordre de 12 Md$ l'an prochain et de 14,4 Md$ en 2015.

Fabrice Alessi

Source

Baptisez votre réseau WiFi en «_nomap » et Google ne l’enregistrera pas

Suite aux critiques portant sur la nature des données recueillies lors du passage des Google cars, la firme américaine a décidé de proposer aux utilisateurs une nouvelle « option ». En incluant le terme « _nomap » au nom de son réseau WiFi, les voitures de la firme n'enregistreront pas le hotspot de l'utilisateur.

Dans une note postée sur le blog officiel dédié aux questions de vie privée sur Internet, Peter Fleisher explique que Google propose à chacun d'exclure son réseau WiFi de la collecte par les Google cars. Il suffit à un utilisateur d'inclure dans le SSID (Service Set Identifier) le terme « _nomap ». Concrètement, il faut rebaptiser son réseau WiFi en « xxx_nomap » afin que les services de Google ne le prennent pas en compte.

Cette option est donc rajoutée après de nombreuses critiques formulées quant à la nature des données recueillies lors du passage des Google Cars. De son côté, la firme précise qu'elle ne collecte que le nom du réseau (SSID) et l'adresse MAC du routeur ainsi que des données géométriques destinées à améliorer les services géo-localisés. Pourtant, après enquête interne, les ingénieurs avaient remarqué que plus de 600 Go de données confidentielles avaient ainsi été enregistrées...

Cet « opt-out » devrait donc permettre aux utilisateurs qui le désirent d'empêcher les services de Google d'utiliser son propre hotspot WiFi. Peter Fleisher indique avoir : « trouvé une méthode basée sur les noms des réseaux sans-fils fournissant le bon équilibre entre la simplicité et la protection contre tout abus. Spécifiquement, cette approche permet de se protéger les uns les autres contre l'indexation de votre accès sans votre permission ».

Source

Reconnaissance faciale : l'Allemagne s'apprête à poursuivre Facebook

Face à l'impasse des discussions, l'autorité allemande pour la protection des données de Hambourg va entamer des poursuites judiciaires contre Facebook et entend porter le problème au niveau européen, en janvier 2012, avec une proposition de loi pour réformer la directive européenne sur la protection des données.

Contestant la fonctionnalité de reconnaissance faciale utilisée pour le marquage des photos sur le réseau social, l'autorité allemande chargée de la protection des données - Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI), basée à Hambourg, a entamé des procédures préliminaires en vue d'intenter une action en justice contre Facebook. L'autorité a décidé de mettre fin aux négociations engagées avec le géant des réseaux sociaux, estimant qu'elles étaient inutiles, « dans la mesure où Facebook refuse d'accorder aux utilisateurs un consentement rétroactif. » En Allemagne, les lois sur la protection des données obligent les entreprises à informer clairement les utilisateurs sur la manière dont leurs informations personnelles sont utilisées. L'autorité de Hambourg fait valoir que cela n'a pas été le pas le cas quand Facebook a commencé à utiliser la technologie de reconnaissance faciale pour marquer les photos et suggérer d'autres amis.

En guise de compromis, Facebook a proposé d'ajouter une case à cocher par laquelle les utilisateurs peuvent accepter les termes, les conditions et la manière dont sont utilisées ces données. Mais l'autorité de Hambourg estime que cette solution ne suffit pas à légitimer la collecte et l'usage des données biométriques. Par ailleurs, cette case ne serait disponible que pour les nouveaux utilisateurs, ce qui signifie que ceux qui ont déjà opté pour le service ne pourront pas donner leur consentement a posteriori. Pour Johannes Caspar, Commissaire de Hambourg chargé de la protection des données et de la liberté de l'information, « ces mois de pourparlers avec Facebook ont débouché sur des résultats décevants. » Quant à Maik Möller, le porte-parole du Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, il a indiqué que l'autorité avait été mandatée par les autres représentations allemandes pour prendre toute action nécessaire, et une procédure judiciaire va être engagée auprès du Tribunal Administratif de Hamburg. « Facebook s'expose à une amende pouvant aller jusqu'à 300 000 euros et à une ordonnance d'interdiction, » a-t-il précisé.

Facebook n'a pas convaincu

L'entreprise de Mark Zuckerberg n'est pas d'accord avec l'autorité allemande. Elle estime que l'action judiciaire est inutile, parce que sa fonctionnalité est conforme aux lois de l'Union Européenne sur la protection des données. « Nous avons donné une explication claire et une information complète à nos utilisateurs en matière de suggestions d'identification sur les photos et nous fournissons à ceux qui veulent désactiver cette fonction des outils très simples pour le faire. Nous avons suggéré plusieurs options pour rendre les utilisateurs encore plus attentifs à notre politique sur la vie privée et nous sommes déçus que l'Autorité de Hambourg ne les ait pas acceptés, » a indiqué l'entreprise dans un communiqué.

Reste cependant une question liée à la compétence du tribunal, puisque le siège européen de Facebook est basé en Irlande. Selon le Professeur Joseph Cannataci, expert-consultant pour le Conseil de l'Europe sur les questions de protection des données dans l'espace européen et coordinateur du projet de recherche « Consent » sur le consentement, financé par l'UE, bien que la Constitution allemande protège le droit de la personne et le concept d'autodétermination informationnelle selon lequel « c'est le pouvoir de l'individu de décider lui-même, sur la base du concept d'autodétermination, quand et dans quelle mesure toute information relevant de sa vie privée peut être communiquée à autrui », les lois fondamentales d'autres pays de l'UE pourraient ne pas aller dans le même sens. Le projet « Consent » se concentre sur les questions de sécurité de la vie privée en relation aux réseaux sociaux en ligne et au contenu généré par l'utilisateur.

Une directive européenne sur la protection des données à revoir

Or « la directive européenne de protection des données de 1995 ne prévoit pas explicitement le droit à l'autodétermination informationnelle, comme la Constitution allemande, » indique le Professeur Cannataci. Par ailleurs, la directive n'est pas transposée dans les législations des États membres de la même manière. Si bien que les différentes autorités européennes de protection des données ne peuvent pas prendre des mesures identiques à celle de l'Autorité allemande contre Facebook. « La Commission européenne ferait bien de lancer et mettre en oeuvre une réforme globale du régime de la protection des données», a déclaré Joseph Cannataci, se référant à l'annonce faite lundi par Viviane Reding, Vice-présidente de la Commission européenne, en charge de la justice, des droits fondamentaux et de la citoyenneté, et par Ilse Aigner, le Ministre fédéral allemand chargé de la protection des consommateurs. Leur proposition de loi pour réformer la directive européenne sur la protection des données sera déposée d'ici la fin janvier 2012.

Aux États-Unis, Facebook doit également faire face à des procédures judiciaires liées à des questions de protection de la vie privée. La Federal Trade Commission (FTC) pourrait accuser le réseau social de pratiques commerciales trompeuses. La FTC a enquêté sur Facebook suite à la publication, en décembre 2009, de détails concernant certains utilisateurs après des changements dans les paramétrages de confidentialité du réseau social. Pour mettre fin à cette procédure, Facebook serait sur le point d'accepter de revoir sa politique de gestion des données personnelles, et de se soumettre à un audit sur la vie privée chaque année.

Source