Incontinence numérique - Le blog de Marie-Anne Chabin

Fuite massive de données.

L’expression se banalise car le phénomène se répète. Des données à caractère personnel (coordonnées, adresse mail, téléphone et parfois mots de passe, identifiant client, dates et natures des achats, données de santé, pratiques sociales, etc.) s’échappent ou « sont échappées » des serveurs où elles sont censées être sauvegardées.

Voici un échantillon des affaires signalées par la presse spécialisée, et parfois la presse quotidienne, au cours des deux dernières années. La liste commence par les plus récents et indique la date (le mois), le titre de l’article avec le lien vers la source, et un extrait ou quelques mots de résumé:

Juin 2018. Etats-Unis : les données de millions de personnes et d’entreprises ont fuité (Le Monde). Des informations personnelles d’environ 230 millions d’Américains et 110 millions d’entreprises et appartenant à l’entreprise Exactis, spécialisée dans le marketing et l’agrégation de données, se retrouvent dans une base de données accessible depuis Internet. L’ensemble représente près de deux téraoctets de données.

Juin 2018. RGPD : une première condamnation à 250 000€ d’amende pour Optical Center (generation-nt). Sanction de la CNIL (Commission nationale Informatique et Libertés) à la suite de la fuite sur le Net de centaines de factures clients comportant certaines données sensibles (numéro de sécurité sociale notamment).

Juin 2018. Fuite de données clients pour le site FlightRadar24 (zataz.com). La fuite concerne les adresses mails et mots de passe de plusieurs milliers de contrôleurs aériens et pilotes dont l’activité est suivie par la société FlightRadar24.

Avril 2018. Cambridge Analytica: 87 millions de comptes Facebook concernés (Le Monde). Les données personnelles des utilisateurs de Facebook ont été exploitées en dehors du réseau par l’entreprise de communication Cambridge Analytica, profitant d’un accès privilégié accordé dans le cadre d’un partenariat avec le réseau social.

Mars 2018. Près de 700.000 données lecteurs de l’Express dans la nature (zdnet). Une base de données contenant 60 Go de noms, prénoms, adresse mail et profession de plus de 693.000 lecteurs du magazine sont arrivées sur Internet du fait de l’absence de protection pour les en empêcher.

Novembre 2017. Uber avait gardé secret un piratage à 57 millions de victimes (itespresso). Les données sont essentiellement des noms, des adresses mail et des numéros de téléphone liés à 57 millions d’utilisateurs de l’application dont 7 millions de conducteurs (fuite du numéro de permis de conduire pour 600 000 d’entre eux).

Septembre 2017. Equifax : les données de 143 millions d’Américains aux mains des hackers (le bigdata). Equifax est une entreprise américaine d’évaluation de crédits. Les données sont les adresses (mail et postale), les numéros de téléphone, les dates de naissance, et également des numéros de permis de conduire, de carte de crédit ou de sécurité sociale. A noter que le chiffre de 143 millions est exagéré (les numéros de carte de crédit par exemple ne toucheraient « que » 209 000 clients.

Novembre 2017. Données personnelles Des devis Darty fuitent sur Internet (quechoisir). 26 devis adressés à des clients, avec nom, adresses et référence de dossier ont été indexés par Google car ils n’étaient pas protégés.

Juillet 2017. Fuite des données de l’ensemble des automobilistes suédois (datanews.levif.be). L’externalisation (auprès d’IBM) de la gestion des données du service suédois des transports a permis à des informaticiens de pays étrangers d’accéder aux données concernant des millions d’automobilistes suédois.

Décembre 2016. Le piratage de Yahoo! est le plus important vol de données de l’histoire (Le Monde). Avec au moins un milliard de comptes compromis, cette faille bat le record établi en septembre 2015 par un précédent piratage de Yahoo concernant le piratage de 500 millions de comptes.

Août 2016. DCNS victime d’une fuite massive de données sur son sous-marin Scorpène (la Tribune). La fuite porte sur 22.400 « pages de données ». Il ne s’agit pas ici de données à caractère personnel mais de données techniques stratégiques (décrivant les sondes des vaisseaux et les systèmes de communication et de navigation), qualifiées cependant par l’entreprise concernée de « non critiques et non confidentielles ».

Finalement, qu’il s’agisse de dizaines, de milliers ou de millions, qu’il s’agisse de données, de pages, de dossiers ou de comptes (les unités de mesures sont un peu hésitantes dans ces histoires – un sujet à creuser), peu importe. La somme de l’ensemble des fuites donne à voir une généralisation des cas de circulation indue de données à caractère personnel ou confidentielles dans des espaces ouverts ou extérieurs à leur propriétaire et gestionnaire.

Autrement dit, l’incontinence numérique s’installe.

Incontinence, c’est-à-dire incapacité généralisée des organisations à contenir les données là où elles devraient être stockées, conservées, maintenues. Et les données, incapables d’auto-maintenance sans dispositif adapté, fuitent, au compte-goutte, ou en épanchements puissants.

L’entreprise Gemalto a publié un rapport sur les fuites de données en 2017, mettant en évidence que cette année est l’année la pire dans le domaine. 2018 sera-t-elle encore pire? Jusqu’où la courbe peut-elle monter avant de stagner ou de redescendre?

Les causes de ces fuites sont principalement :

les failles de sécurité dans les systèmes informatiques: absence de protection, faiblesse de la protection, oubli de mise à jour en cas de migration de système ou d’externalisation;
la négligence dans l’organisation des règles de sécurité, par exemple dans les contrats avec les sous-traitants dont on n’exige pas toujours suffisamment de garanties – point que le Règlement général pour la protection des données personnelles (RGPD) entend corriger en instaurant la co-responsabilité des sous-traitants en cas de manquement à la protection des données;
l’inventivité des hackeurs et l’attractivité de ce business lucratif ou simplement ludique qu’est le piratage;
le maillon faible qu’est l’utilisateur, aussi bien comme collaborateur d’entreprise que comme particulier, aussi bien comme producteur des données que comme consommateur de l’information ou « simplement » comme personne concernée par les données, comme « objet humain de données ».

Les conséquences sont plus difficiles à évaluer. Certes le scandale Cambridge Analytica a permis d’évoquer comme conséquence le gain d’une élection présidentielle (l’élection américaine de 2016 en l’occurrence) mais cette hypothèse est invérifiable. Par ailleurs, les données sorties de leur « bercail » ne sont pas systématiquement vendues ou utilisées par ceux qui les ont indûment collectées, ou bien elles se heurtent à des parades mises en place quand la fuite est découverte. Et puis, toutes les données n’ont pas la même capacité de nuisance: une adresse mail ou l’identifiant d’un dossier client sont a priori moins sensibles qu’une donnée de santé. Et l’impact de l’exploitation dépend du comportement du destinataire des données réutilisées, selon qu’il vérifie ou pas la provenance et la pertinence de l’information reçue. Mais d’une manière générale, la conséquence de ces fuites croissantes est la défiance qui s’installe entre les différents acteurs de la société numérique, avec ses contrecoups économiques et politiques.

Les solutions au problème sont de plusieurs ordres:

la sécurité informatique est mise en avant comme réponse principale mais elle présente elle-même deux failles: d’un côté, les systèmes de protection peuvent être cassés par les pirates (émulation technologique traditionnelle entre gendarmes et voleurs); de l’autre, cette sécurité informatique doit être demandée par les décideurs qui créent ou collectent les données (les « responsables du traitement » dans le jargon du Règlement général pour la protection des données personnelles), ce qui renvoie au point 3;
le droit: après une période d’excès et d’anarchie en matière de manipulation de données, le Règlement général pour la protection des données personnelles vient remettre le curseur au centre et rééquilibrer les forces en présence; de ce point de vue, le RGPD est plus qu’un règlement européen; il symbolise une prise de conscience collective et la base d’un nouvel ordre autour de l’information, provoquant un nouveau regard collectif sur la propriété des données, l’usage et l’accès à l’information, la mémoire et l’oubli.
last but not least, l’éducation, c’est-à-dire l’acquisition par tout un chacun des bonnes pratiques de la société numérique, l’apprentissage d’une hygiène numérique par tout citoyen. Cet apprentissage n’a pas grand-chose à voir avec la manipulation d’une tablette à l’école maternelle ou l’enseignement du code à l’école élémentaire (qui sont de la poudre aux yeux pour public naïf). L’enjeu est, pour tout individu, de comprendre comment l’information est fabriquée, par qui, quand et avec quoi, comment les données sont agrégées et enregistrées, où elle est stockée, comment elle circule, à qui elle appartient, et en quoi chaque citoyen est concerné par les données qu’il produit, celles qu’on produit le concernant, et celles qu’il utilise.

En conclusion, vu l’augmentation des fuites, en nombre et en volume, il y a urgence à traiter l’incontinence avec des moyens appropriés.

Et ne pas confondre la fuite de données et la fuite en avant!