Protection des données et Vie privée

Protection des données et Vie privée

Esma Esma A Aï ïmeur meur

Universit

Universitééde Montréde Montréalal D

Déépartement dpartement d’’informatique et de recherche opinformatique et de recherche opéérationnellerationnelle Montr

Montrééal, Canadaal, Canada Email : aimeur@iro.umontreal.ca Email : aimeur@iro.umontreal.ca http://www.iro.umontreal.ca/~aimeur http://www.iro.umontreal.ca/~aimeur

Plan

Vie privée, données personnelles

Collecte des données (moteur de recherche, etc.)

Identité numérique (e-réputation)

Menaces de violation de vie privée

(Réseaux sociaux, Commerce électronique, santé Environnements mobiles, Gouvernance électronique)

Législation

Hygiène numérique (bonnes pratiques)

Conclusion

Sensibilisation à la sécurité de l’information

• L’aspect humain : maillon faible

• Conséquences néfastes :

Le non-respect et l’ignorance des consignes de sécurité peuvent engendrer des conséquences sérieuses (impact aux volets éthique, juridique et financier).

• Pour assurer la sécurité des actifs informationnels : Un comportement adéquat des utilisateurs s’avère indispensable.

D’où l’importance de la sensibilisation à la sécurité de l’information !

Vie privée

Le droit d’une personne de contrôler l’accès à sa personne et aux renseignement qui la

concerne.

Le droit à la vie privée signifie que la

personne décide des renseignements qui sont

divulgués et à qui et à quelles fins.

Acteurs dans le domaine

Black Hat

Criminels

Électrons libres (indonésien a créé un virus pour le plaisir)

Script kiddies(des enfants utilisent des applications/outils pour faire des dommages)

Gray Hat (organisme mandaté)/White Hat(employé)

Consultants en sécurité

Auditeurs (Penetration-Testers)

Universités

Entreprises

Gouvernements

5

Les génies du piratage informatique

On les appelle les hackers. Ces géniesdu piratage informatique sont des programmeurs astucieux et bidouilleurs passionnés. Certains mettent leurs talents au profit de l'amélioration des logiciels. D'autres s'en servent à des fins d'escroquerie. Les plus célèbres ont réussi à déjouer les systèmesde protection du Pentagone.

Finalité des Hackers

Plaisir, curiosité ou gloire

Appât du gain

Sentiment d’impunité «derrière son PC»

Usurpation d’identité

Création d’identité synthétique

Vengeance (chantage, diffamation, jalousie etc.)

Atteinte à la réputation d’un individu ou d’un organisme

Vol de secrets industriels

Le paradis de l’internet

Absence de législation

Absence de comportement sécuritaire

Méconnaissance des méandres d’Internet

Forte fréquentation des sites (forums, réseaux sociaux et de clavardage),

principaux vecteurs de transmissions de

virus et de chevaux de Troies.

Renseignements personnels

Les «renseignements personnels» sont des

« renseignements sur une personne identifiable» ou

des «renseignements relatifs à une personne physique et qui permettent l'identificationde cette personne».

Définition de renseignement personnel

Québec: Art. 2 LPRPSP

«Tout renseignement qui concerne une personne physique et permet de l'identifier.»

Canada: Art. 2 LPRPDE

«Tout renseignement concernant un individu identifiable, à l’exclusion du nom et du titre d’un employé d’une organisation et des adresse et numéro de téléphone de son lieu de travail.»

Europe: Article 2 (a) de la Directive 95/46/CE

«Toute information concernant une personne physique identifiée ou identifiable(personne concernée) (…).»

Données personnelles

Informations d’identification(nom, prénom, âge, taille, sexe, adresse, numéro de téléphone, nom de jeune fille de la mère, numéro d’assurance sociale (NAS), numéro d’identification personnel (NIP), revenu, emploi, situation familiale, lieux de résidence, code utilisateur, pseudonyme, etc.),informations biométriques (groupe sanguin, code génétique, empreintes digitales)

Habitudes de consommation(magasins fréquentés, type d’alimentation, relevés de compte, actifs, obligations, etc.)

Habitudes de navigation(sites web visités, fréquences des visites, nom des forums, amis sur le net, etc.)

Habitudes de vie(loisirs, relations, moyens de déplacement, périodes de congés, etc.)

Données sensiblesconcernant la carrière, l’employeur, le dossier médical, ou encore le casier judiciaire !

Nouvelles données

Adresse IP

Données collectées par des logiciels (cookies, etc.)

Données de géolocalisation

Puce RFID (Radio Frequency Identification)

Utilisation de vos renseignements personnels par le hacker

Faire une demande de carte de crédit à votre nomou tout simplement faire rediriger votre compte existant à son adresse

Utiliser votre nom pour ouvrir un compte de téléphone fixe ou mobileou d'autres commodités

Faire une demande de prêten votre nom ou ouvrir un nouveau compte bancaire et obtenir des chèques

Obtenir un document officiel du gouvernementavec votre nom mais avec sa photo

Vendre vos informations personnelles àun concurrent

Utilisation de vos renseignements personnels par le hacker (suite)

Utiliser votre nom et NAS (Numéro d’Assurance Sociale) pour obtenir des avantages sociaux du gouvernement

Remplir un rapport d'impôt frauduleuxavec vos renseignements

Obtenir un emploi ou louer un appartement

Falsifiervos données (scolaires, médicales, judiciaires …)

Ternir votre réputation par des propos diffamatoires

Donner vos renseignements en cas de délit afin que ce soit vous qui soyez poursuivi lorsqu'il ne se présentera pas en cour

Type d’information personnelle véhiculées sur internet

15

Dons à Haïti : attention aux fraudes

Les arnaquesaux donssur Internetse multiplient après le séismeen Haïti. Lors du tsunami de 2004, déjà, de nombreuses personnes s'étaient fait piéger par de fausses ONG qui prétendaient venir en aide aux populations touchées. Le principe de la fraude: envoyer des centaines d'emails appelant aux dons sur des adresses électroniques volées.

Début Octobre 2009, c’est le directeur du FBI en personne qui a failli communiquer ses coordonnées bancairesà un site d'hameçonnage, avant de s’en rendre compte.

Il en fait l’aveu sur le site officiel du FBI, où il parle des menaces sur Internet concernant le vol d’identité et la cybercriminalité. Selon ses propos «Internet n'est pas seulement un canal pour le commerce, mais aussi un canal pour le crime».

Coûts des informations volées au marché aux puces

10 à100 $ pour un numéro de carte bancaire

Entre 300 et 3000 $ pour un code de sécurité de trois chiffres

Les marchés aux puces se trouvent

généralement en Asie et en Europe de l’Est

(Russie, Chine, Roumanie …)

Exemple de la Russie

Du numéro de sécurité sociale, à la date de naissance, en passant par le prénom de la mère, le numéro de compte bancaire, ou de carte de crédit avec son code…

Ces données sont stockées sur des sites clandestins fonctionnant comme des self-services d’informations volées.

Comment y accéder ?

Il faut montrer patte blanche et prouver sa bonne foi criminelle en apportant un lot de données piratées

Responsabilités des institutions

Protéger les renseignements personnels des employés ou des citoyens est une priorité.

« Si vous ne pouvez pas les protéger ne les recueillez pas ! »

Commissariat à la protection de la vie privée du canada Avril 2010

Les institutions sont mal protégées et ne protègent pas leurs employés

Le budget limitéde dépenses en matière de sécurité

Inexistence de la politique de sécuritédans certaines institutions

Logiciels de sécurités incomplets(besoin de chiffrement et d’outils d’authentification pour protéger les données et le parc mobile : téléphones, assistants numériques, ordinateur

portable)

Manque de prévention: mise à jour des logiciels (correctifs de sécurité)

Manque de culture de sécuritéde certains dirigeants qui s’en remettent uniquement à leurs responsables informatiques

Risques avec Intranet

-Vol de données par des employés

- Infiltration sur le réseau par des personnes externes - Attaques de déni de service pour paralyser l’institution - Espionnage à l'aide de logiciels malicieux

Lors de la mise en place : - Mauvaise conception

- Mauvaise évaluation de la charge, de l'utilisation, et surcharge éventuelle menant à un écroulement de réseau

- Divulgation d’informations si trop de services sont exposés sur le Web

Quelques types menaces

Virus, Vers

Spamm

Hammeçonnage (Phishing / Vishing)

DNS Pharming

Vol d’identité

Porte dérobée (Back door / Trojan Horse / cheval de Troie)

Attaque par périphérique

Quelques types menaces (suite)

Enregistreur de frappe (keylogger, screenlogger)

Robots (Botnets)

Logiciel espion (Spyware)

Publiciel (Adware)

Attaques du protocole Bluetooth

Déni de service (DOS /DDOS)

Défacement (Defacing)

Arnaque nigériane

Collecte de

données

A propos de mots de passe

Structure mentale des individus permet parfois de deviner les mots de passe

Mot de passe non sécuritaires

Il faut 14 caractères, mélange de chiffres

et lettres (majuscules, minuscules) et des

caractères spéciaux

Trop de mots de passe à mémoriser

Windows, courriel bureau

Téléphone mobile (Iphone, Blackberry, Ipad etc.)

Compte bancaire, Paypal, etc.

Paiement factures (télephone, électricité, gaz, eau)

Services gouvernementaux (en ligne)

Sites d’information

Yahoo, Gmail, Hotmail, Skype, Msn, Facebook, LinkedIn

Easychair, Bibliothèques en ligne

A propos de liste de diffusions

Augmentation de Spamm

Confidentialité non assurée pour les

destinataires

Droits d’accès privilégiés

une élévation des privilègesest un mécanisme permettant à un utilisateur d'obtenir des privilèges supérieurs à ceux qu'il a normalement.

Généralement, un utilisateur va vouloir élever ses privilèges pour devenir administrateurdu système, afin d'effectuer des tâches qu'il n'a pas le droit de faire en temps normal.

Cette technique peut être utilisée de manière frauduleuse par un pirate informatiquepour prendre le contrôle total d'un système. Il peut pour cela exploiterune faille de sécurité, en local sur le système (s'il est déjà connecté dessus), ou à distance (si le système est connecté à un réseau).

123people.com

Whozat

Pipl.com

peekyou.com

peoplesearch.net

Detective en ligne : lifehacker.com

spock.com (payant)

Spokeo (payant)

Courtiers de données (Data Broker)

Informations vendues sont non nominatives

permet de préserver la vie privée des internautes En cas de résiliation

informations supprimées de la base de données

Exemple litigieux:

Intelius.com

Fondé en 2006

Slogan:

« se renseigner sur son entourage afin de savoir qui s’occupe de nos enfants»

Identité numérique

Résponsabilité

Les données personnelles constituent une identité et chacun à la responsabilité de gérer sa propre identité.

Il incombe donc à chacun de décider de ce

qu’il faut faire de son identité, qui ne peut être

déléguée à quelqu’un d’autre.

45

Pertes financières et atteinte à la réputation

Mars 2009 : Des hackers chinois ont

découvert un algorithme de génération de cartes cadeaux utilisé par Apple

C'est à la fois une perte financière pour Apple, et une perte de crédibilité

http://www.appleinsider.com/articles/09/03/10/hackers_crack_apples_itunes_gift_card_algorithm.html 49

Suicide numérique

suicidemachine.org, un site web qui permet d’opérer en quelques clics le suicide 2.0 en vous désinscrivant de tous vos réseaux sociaux afin de tuer votre vie numérique.

seppukoo.com

propose de tuer votre

Id sur Facebook en

quelques clics.