Protection des données et Vie privée
Esma Esma A Aï ïmeur meur
Universit
Universitééde Montréde Montréalal D
Déépartement dpartement d’’informatique et de recherche opinformatique et de recherche opéérationnellerationnelle Montr
Montrééal, Canadaal, Canada Email : aimeur@iro.umontreal.ca Email : aimeur@iro.umontreal.ca http://www.iro.umontreal.ca/~aimeur http://www.iro.umontreal.ca/~aimeur
Plan
Vie privée, données personnelles
Collecte des données (moteur de recherche, etc.)
Identité numérique (e-réputation)
Menaces de violation de vie privée
(Réseaux sociaux, Commerce électronique, santé Environnements mobiles, Gouvernance électronique)
Législation
Hygiène numérique (bonnes pratiques)
Conclusion
Sensibilisation à la sécurité de l’information
• L’aspect humain : maillon faible
• Conséquences néfastes :
Le non-respect et l’ignorance des consignes de sécurité peuvent engendrer des conséquences sérieuses (impact aux volets éthique, juridique et financier).
• Pour assurer la sécurité des actifs informationnels : Un comportement adéquat des utilisateurs s’avère indispensable.
D’où l’importance de la sensibilisation à la sécurité de l’information !
Vie privée
Le droit d’une personne de contrôler l’accès à sa personne et aux renseignement qui la
concerne.
Le droit à la vie privée signifie que la
personne décide des renseignements qui sont
divulgués et à qui et à quelles fins.
Acteurs dans le domaine
Black Hat
Criminels
Électrons libres (indonésien a créé un virus pour le plaisir)
Script kiddies(des enfants utilisent des applications/outils pour faire des dommages)
Gray Hat (organisme mandaté)/White Hat(employé)
Consultants en sécurité
Auditeurs (Penetration-Testers)
Universités
Entreprises
Gouvernements
5
Les génies du piratage informatique
On les appelle les hackers. Ces géniesdu piratage informatique sont des programmeurs astucieux et bidouilleurs passionnés. Certains mettent leurs talents au profit de l'amélioration des logiciels. D'autres s'en servent à des fins d'escroquerie. Les plus célèbres ont réussi à déjouer les systèmesde protection du Pentagone.
Finalité des Hackers
Plaisir, curiosité ou gloire
Appât du gain
Sentiment d’impunité «derrière son PC»
Usurpation d’identité
Création d’identité synthétique
Vengeance (chantage, diffamation, jalousie etc.)
Atteinte à la réputation d’un individu ou d’un organisme
Vol de secrets industriels
Le paradis de l’internet
Absence de législation
Absence de comportement sécuritaire
Méconnaissance des méandres d’Internet
Forte fréquentation des sites (forums, réseaux sociaux et de clavardage),
principaux vecteurs de transmissions de
virus et de chevaux de Troies.
Renseignements personnels
Les «renseignements personnels» sont des
« renseignements sur une personne identifiable» ou
des «renseignements relatifs à une personne physique et qui permettent l'identificationde cette personne».
Définition de renseignement personnel
Québec: Art. 2 LPRPSP
«Tout renseignement qui concerne une personne physique et permet de l'identifier.»
Canada: Art. 2 LPRPDE
«Tout renseignement concernant un individu identifiable, à l’exclusion du nom et du titre d’un employé d’une organisation et des adresse et numéro de téléphone de son lieu de travail.»
Europe: Article 2 (a) de la Directive 95/46/CE
«Toute information concernant une personne physique identifiée ou identifiable(personne concernée) (…).»
Données personnelles
Informations d’identification(nom, prénom, âge, taille, sexe, adresse, numéro de téléphone, nom de jeune fille de la mère, numéro d’assurance sociale (NAS), numéro d’identification personnel (NIP), revenu, emploi, situation familiale, lieux de résidence, code utilisateur, pseudonyme, etc.),informations biométriques (groupe sanguin, code génétique, empreintes digitales)
Habitudes de consommation(magasins fréquentés, type d’alimentation, relevés de compte, actifs, obligations, etc.)
Habitudes de navigation(sites web visités, fréquences des visites, nom des forums, amis sur le net, etc.)
Habitudes de vie(loisirs, relations, moyens de déplacement, périodes de congés, etc.)
Données sensiblesconcernant la carrière, l’employeur, le dossier médical, ou encore le casier judiciaire !
Nouvelles données
Adresse IP
Données collectées par des logiciels (cookies, etc.)
Données de géolocalisation
Puce RFID (Radio Frequency Identification)
Utilisation de vos renseignements personnels par le hacker
Faire une demande de carte de crédit à votre nomou tout simplement faire rediriger votre compte existant à son adresse
Utiliser votre nom pour ouvrir un compte de téléphone fixe ou mobileou d'autres commodités
Faire une demande de prêten votre nom ou ouvrir un nouveau compte bancaire et obtenir des chèques
Obtenir un document officiel du gouvernementavec votre nom mais avec sa photo
Vendre vos informations personnelles àun concurrent
Utilisation de vos renseignements personnels par le hacker (suite)
Utiliser votre nom et NAS (Numéro d’Assurance Sociale) pour obtenir des avantages sociaux du gouvernement
Remplir un rapport d'impôt frauduleuxavec vos renseignements
Obtenir un emploi ou louer un appartement
Falsifiervos données (scolaires, médicales, judiciaires …)
Ternir votre réputation par des propos diffamatoires
Donner vos renseignements en cas de délit afin que ce soit vous qui soyez poursuivi lorsqu'il ne se présentera pas en cour
Type d’information personnelle véhiculées sur internet
15
Dons à Haïti : attention aux fraudes
Les arnaquesaux donssur Internetse multiplient après le séismeen Haïti. Lors du tsunami de 2004, déjà, de nombreuses personnes s'étaient fait piéger par de fausses ONG qui prétendaient venir en aide aux populations touchées. Le principe de la fraude: envoyer des centaines d'emails appelant aux dons sur des adresses électroniques volées.
Début Octobre 2009, c’est le directeur du FBI en personne qui a failli communiquer ses coordonnées bancairesà un site d'hameçonnage, avant de s’en rendre compte.
Il en fait l’aveu sur le site officiel du FBI, où il parle des menaces sur Internet concernant le vol d’identité et la cybercriminalité. Selon ses propos «Internet n'est pas seulement un canal pour le commerce, mais aussi un canal pour le crime».
Coûts des informations volées au marché aux puces
10 à100 $ pour un numéro de carte bancaire
Entre 300 et 3000 $ pour un code de sécurité de trois chiffres
Les marchés aux puces se trouvent
généralement en Asie et en Europe de l’Est
(Russie, Chine, Roumanie …)
Exemple de la Russie
Du numéro de sécurité sociale, à la date de naissance, en passant par le prénom de la mère, le numéro de compte bancaire, ou de carte de crédit avec son code…
Ces données sont stockées sur des sites clandestins fonctionnant comme des self-services d’informations volées.
Comment y accéder ?
Il faut montrer patte blanche et prouver sa bonne foi criminelle en apportant un lot de données piratées
Responsabilités des institutions
Protéger les renseignements personnels des employés ou des citoyens est une priorité.
« Si vous ne pouvez pas les protéger ne les recueillez pas ! »
Commissariat à la protection de la vie privée du canada Avril 2010
Les institutions sont mal protégées et ne protègent pas leurs employés
Le budget limitéde dépenses en matière de sécurité
Inexistence de la politique de sécuritédans certaines institutions
Logiciels de sécurités incomplets(besoin de chiffrement et d’outils d’authentification pour protéger les données et le parc mobile : téléphones, assistants numériques, ordinateur
portable)
Manque de prévention: mise à jour des logiciels (correctifs de sécurité)
Manque de culture de sécuritéde certains dirigeants qui s’en remettent uniquement à leurs responsables informatiques
Risques avec Intranet
-Vol de données par des employés
- Infiltration sur le réseau par des personnes externes - Attaques de déni de service pour paralyser l’institution - Espionnage à l'aide de logiciels malicieux
Lors de la mise en place : - Mauvaise conception
- Mauvaise évaluation de la charge, de l'utilisation, et surcharge éventuelle menant à un écroulement de réseau
- Divulgation d’informations si trop de services sont exposés sur le Web
Quelques types menaces
Virus, Vers
Spamm
Hammeçonnage (Phishing / Vishing)
DNS Pharming
Vol d’identité
Porte dérobée (Back door / Trojan Horse / cheval de Troie)
Attaque par périphérique
Quelques types menaces (suite)
Enregistreur de frappe (keylogger, screenlogger)
Robots (Botnets)
Logiciel espion (Spyware)
Publiciel (Adware)
Attaques du protocole Bluetooth
Déni de service (DOS /DDOS)
Défacement (Defacing)
Arnaque nigériane
Collecte de
données
A propos de mots de passe
Structure mentale des individus permet parfois de deviner les mots de passe
Mot de passe non sécuritaires
Il faut 14 caractères, mélange de chiffres
et lettres (majuscules, minuscules) et des
caractères spéciaux
Trop de mots de passe à mémoriser
Windows, courriel bureau
Téléphone mobile (Iphone, Blackberry, Ipad etc.)
Compte bancaire, Paypal, etc.
Paiement factures (télephone, électricité, gaz, eau)
Services gouvernementaux (en ligne)
Sites d’information
Yahoo, Gmail, Hotmail, Skype, Msn, Facebook, LinkedIn
Easychair, Bibliothèques en ligne
A propos de liste de diffusions
Augmentation de Spamm
Confidentialité non assurée pour les
destinataires
Droits d’accès privilégiés
une élévation des privilègesest un mécanisme permettant à un utilisateur d'obtenir des privilèges supérieurs à ceux qu'il a normalement.
Généralement, un utilisateur va vouloir élever ses privilèges pour devenir administrateurdu système, afin d'effectuer des tâches qu'il n'a pas le droit de faire en temps normal.
Cette technique peut être utilisée de manière frauduleuse par un pirate informatiquepour prendre le contrôle total d'un système. Il peut pour cela exploiterune faille de sécurité, en local sur le système (s'il est déjà connecté dessus), ou à distance (si le système est connecté à un réseau).
123people.com
Whozat
Pipl.com
peekyou.com
peoplesearch.net
Detective en ligne : lifehacker.com
spock.com (payant)
Spokeo (payant)
Courtiers de données (Data Broker)
Informations vendues sont non nominatives
permet de préserver la vie privée des internautes En cas de résiliation
informations supprimées de la base de données
Exemple litigieux:
Intelius.com
Fondé en 2006
Slogan:
« se renseigner sur son entourage afin de savoir qui s’occupe de nos enfants»
Identité numérique
Résponsabilité
Les données personnelles constituent une identité et chacun à la responsabilité de gérer sa propre identité.
Il incombe donc à chacun de décider de ce
qu’il faut faire de son identité, qui ne peut être
déléguée à quelqu’un d’autre.
45
Pertes financières et atteinte à la réputation
Mars 2009 : Des hackers chinois ont
découvert un algorithme de génération de cartes cadeaux utilisé par Apple
C'est à la fois une perte financière pour Apple, et une perte de crédibilité
http://www.appleinsider.com/articles/09/03/10/hackers_crack_apples_itunes_gift_card_algorithm.html 49
Suicide numérique
suicidemachine.org, un site web qui permet d’opérer en quelques clics le suicide 2.0 en vous désinscrivant de tous vos réseaux sociaux afin de tuer votre vie numérique.