Bilan

Smartphone: peut-on échapper à cet espion?

La toile d’internet est devenue un filet pour collecter nos données personnelles afin de profiler nos goûts de consommateurs mais aussi nos opinions d’électeurs. jusqu’où cette intrusion peut-elle aller? existe-t-il des outils qui protègent notre intimité?

  • Crédits: Dr

Comment nos smartphones nous espionnent

Olga Lukyanova et André Mintz sont deux artistes digitaux. En 2016, ils ont lancé le projet deadartist.me, un petit jeu apparemment futile sur Facebook. Il consistait à découvrir de quel artiste on est la réincarnation. Grâce à l’accès au profil des participants et à celui de leurs amis qu’acceptaient les utilisateurs cliquant sur les conditions générales de deadartist.me, le tandem a reconstitué des milliers de cartes de diffusion de nouvelles, de réseaux d’amis… Quelque chose d’assez graphique. Olga Lukyanova et André Mintz n’imaginaient pas que leur projet annonçait le plus grand scandale de l’histoire des réseaux sociaux: l’affaire Cambridge Analytica. 

Ce dont Cambridge Analytica est le nom

Ce scandale qui éclate en mars dernier contient en lui-même toutes les dérives rendues possibles avec la moisson systématique d’informations personnelles et leur traitement par des technologies de big data et de plus en intelligence artificielle utilisées par les géants d’internet. Après les révélations du lanceur d’alerte Edward Snowden, le monde avait pris conscience des moyens démesurés déployés par les Etats pour la surveillance électronique. «Avec Cambridge Analytica, on réalise que les technologies utilisées pour le ciblage publicitaire peuvent servir à la propagande politique et à la manipulation des opinions», explique Alexis Fitzjean O’Cobhthaigh, avocat et membre de la Quadrature du net, principale ONG qui milite en France contre la surveillance électronique.

Il faut dire que l’affaire Cambridge Analytica, c’est un peu un épisode de la série Black Mirror. En l’espèce, l’entreprise britannique a mis en place un questionnaire d’apparence anodine (sous couvert de recherche universitaire) qu’elle a diffusé sur Facebook. Cela lui a permis de récupérer les données personnelles des
270 000 utilisateurs qui ont répondu au questionnaire et à travers l’outil Social graph de leurs amis Facebook. Au total, les données de 87 millions d’utilisateurs, leurs like, leurs photos… situés pour l’essentiel aux Etats-Unis. 

Cela ne s’arrête pas là.  Cambridge Analytica a ensuite croisé ces informations avec les données qu’on peut acheter chez les data brokers américains (notes de crédit utilisées par les banques, marques de voitures achetées…). Puis, elle a mouliné ces informations au travers de son modèle de profilage psychologique. Selon les déclarations au Guardian de Christopher Wylie, employé de Cambridge Analytica qui a lancé l’alerte: «Nous nous sommes servis de Facebook pour récupérer le profil de millions de personnes. Nous avons construit des modèles pour exploiter ces connaissances et cibler leurs démons intérieurs.»

Il est de notoriété publique que ces informations ont servi lors de la campagne de Donald Trump. Sans conséquence pour le président américain. Même si Facebook a coupé les ponts avec Cambridge Analytica à la veille du scandale, que son CEO, Mark Zuckerberg, a dû s’expliquer en avril devant le Congrès américain, et qu’elle vient d’être condamnée par la justice britannique à une amende de 500 000 livres (le maximum en fonction de la loi en vigueur à l’époque des faits) pour «infractions sérieuses à la loi sur la protection des données», au final, l’entreprise a bien apporté quelques correctifs mais sa manière d’opérer n’a pas changé fondamentalement.

Lanceurs d’alerte

Comment le pourrait-elle? Comme l’explique la sociologue Zeynep Tufekci dans le documentaire en deux volets que Frontline, l’émission phare du journalisme d’investigation aux Etats-Unis, vient de diffuser sur Facebook: «Le modèle d’affaires de Facebook est basé sur une machine de surveillance.»  On apprend ainsi comment l’entreprise constitue des «shadow profiles» de gens qui ne sont même pas utilisateurs du réseau. Et comment elle utilise des micro-images cachées dans un contenu afin de suivre dans le détail la navigation des internautes (c’est une des technologies à la base du ciblage publicitaire qui fait qu’une pub vous suit comme par magie de site en site). 

Cependant, si Facebook a été placé en première ligne par l’affaire Cambridge Analytica, c’est en réalité toute l’économie numérique qui est confrontée au même dilemme. «Le modèle actuel oblige les utilisateurs à fournir leurs données aux géants du web en échange d’un service. Et, comme nous l’avons tous découvert, cela n’a pas été dans notre meilleur intérêt», analyse sur son blog, en septembre dernier, Tim Berners-Lee, coinventeur du World Wide Web lorsqu’il était au CERN à Genève. 

Il n’est pas le seul «insider» à s’inquiéter. Le directeur juridique de Microsoft, Brad Smith, appelait récemment les gouvernements à encadrer l’usage de la reconnaissance faciale. D’anciens cadres de Facebook comme Chamath Palihapitiya (ex-vice-président pour la croissance des utilisateurs) ou de Google, comme Guillaume Chaslot (ex-ingénieur de YouTube), sont devenus des lanceurs d’alerte.

Lors de sa présentation devant le Parlement européen à Bruxelles le 24 octobre dernier, le patron d’Apple, Tim Cook, a été jusqu’à déclarer que «le rassemblement des informations numériques par les entreprises s’était transformé en une arme agissant contre les particuliers avec une efficacité militaire». Il a ajouté que «les algorithmes qui nous facilitent la vie savent également parfaitement faire ressortir nos pires défauts» avant d’appeler à une version américaine du Règlement général sur la protection des données (RGPD) entré en vigueur dans l’Union européenne en mai dernier.

Forcément, entendre le patron d’un des GAFAM (Google, Apple, Facebook, Amazon, Microsoft) s’émouvoir de cette surveillance généralisée interroge. Certes, Apple s’est fait le champion de la protection des données. Cela étant, comme le remarque Bernard Benoit, responsable de White Noise, le système de cryptage pour la téléphonie mobile du groupe Kudelski, «l’administration américaine utilise principalement des téléphones Samsung coréens pour les communications sécurisées».

Bonne question qui renvoie à celle de savoir comment nos informations personnelles sont collectées? En bref: avec, mais aussi sans notre consentement et dans la plus grande opacité. 

Christopher Wylie, employé de Cambridge Analytica, a alerté l’opinion sur l’utilisation des profils. (Crédits: Reuters)

L’écosystème de la surveillance

Le premier niveau de cette collecte géante, c’est celui des applications. «Beaucoup collectent davantage de données que ce qu’elles annoncent», relève Bernard Benoit. Y compris la plupart de celles qui n’ont à première vue rien à voir avec Facebook,  Amazon et consorts. «Pour aller vite, les développeurs d’applications ont recours à des librairies tierces ou API», explique Julien Probst, vice-président chargé des initiatives stratégiques de l’entreprise de cybersécurité InfoSec Global. C’est ce qui permet d’ajouter des fonctionnalités comme le login simplifié à partir de son compte Facebook ou LinkedIn, d’ouvrir Google Maps pour la géolocalisation ou qu’une application demande l’accès au carnet d’adresses, à la caméra, au micro… 

Pour répondre à des besoins de statistiques, ces API propriétaires renvoient systématiquement de l’information à leurs éditeurs d’origine. Ne serait-ce que pour compter le nombre d’utilisateurs et répertorier les dispositifs mobiles. «Mais on ne sait pas toujours ce qui est partagé comme information», poursuit Julien Probst. «Le code de ces API propriétaires n’étant pas ouvert, on ne sait pas ce qui se passe», résume Alexis Fitzjean O’Cobhthaigh. 

Grâce à des travaux de recherche, on en a quand même une petite idée. Des chercheurs de l’Université Northeastern à Boston ont, par exemple, voulu vérifier si, comme le prétend une légende urbaine, certaines apps écoutent nos conversations au travers du micro de notre smartphone. Pour ce faire,  ils ont testé 17 260 des applications les plus populaires sur Android, y inclus Facebook et 8000 autres apps qui renvoient des informations au réseau social.

Résultat? Pas la moindre trace d’ouverture intempestive des micros. Par contre, un détail troublant: nombre de ces apps font des photos ou des vidéos pour capturer l’écran de l’utilisateur qu’elles envoient à des tiers comme Appsee, entreprise d’analyses des données mobiles. Sans que rien ne l’indique nulle part...  

Dans un registre comparable, le professeur Karl Aberer et son équipe du laboratoire des systèmes d’information distribuée à l’EPFL ont fait une curieuse découverte dans les applications de Drive, service cloud de Google. «Environ deux tiers de la centaine d’apps (construites par des tiers pour exploiter ce service) que nous avons analysées bénéficient d’accès surprivilégiés», explique-t-il. En d’autres termes, elles ont accès à des informations dont elles n’ont pas besoin pour remplir leurs fonctions. Il cite l’exemple d’un convertisseur PDF qui a accès à la bibliothèque musicale ou à l’album photos géolocalisées de l’utilisateur… «Pourquoi, si ce n’est pour moissonner des données personnelles?»

Karl Aberer, professeur à l’EPFL:  «Tout est potentiellement collecté.» (Crédits: Dr)

Tout est collecté

Certes, dans ces deux cas, ce sont des développeurs tiers qui utilisent les plateformes des géants du net pour obtenir plus d’informations personnelles. Mais personne n’a vraiment de doute sur le fait que ces derniers collectent plus d’informations sur nous que ce que nous leur donnons déjà en toute conscience. «Tout est potentiellement collecté», affirme simplement Karl Aberer.

Des chercheurs de l’Université de Vanderbilt, à Nashville, ont ainsi rendu publique une étude en août dernier sur la manière dont Google collecte des informations activement (via l’utilisation de ses produits comme Chrome ou YouTube), mais aussi passivement. Ils ont montré qu’un téléphone Android – même inactif et immobile – se connecte 900 fois par jour avec les serveurs de Google, dont pas moins de 300 fois pour communiquer sa position. 

CEO de la plateforme d’informations économiques Business-Monitor.ch, Florent Schlaeppi ajoute à ce tableau le rôle des outils d’analytique. «Beaucoup de webmasters utilisent Google Analytics qui, par construction, partage les données avec Google. Vous pouvez être un développeur suisse, hébergé en Suisse, si vous utilisez cet outil, fatalement vous allez partager les informations sur le trafic de votre site avec Google. C’est une des raisons pour lesquelles les grandes entreprises qui veulent garder ces informations utilisent des outils d’analyse payants.» Chez Kudelski, Bernard Benoit pointe le cas similaire du push notification pour applications mobiles Firebase de Google. «Il collecte l’âge, le sexe, le pays de résidence, les intérêts de la personne, sa langue, y compris si l’application tourne sur iOS d’Apple.» 

Florent Schlaeppi, CEO de Business-Monitor.ch, insiste sur le rôle des outils d’analyse. (Crédits: Dr)

Les utilisateurs se méfient 

Certes, cette collecte frénétique de données est légale. Elle est généralement justifiée par l’idée de fournir une meilleure expérience utilisateur. Mais, en dehors du fait que ces données sont pillées par des
hackers avec une régularité métronomique (révélation sur les puces espion chinoises sur les cartes mères SuperMicro en octobre, 50 millions de comptes Facebook hackés en septembre…), la gigantesque collecte de données personnelles orchestrées par les géants du net débouche sur une méfiance croissante des utilisateurs. 

Aux Etats-Unis, selon une étude du Pew Research Center, 26% des utilisateurs de Facebook âgés de plus de 18 ans ont ainsi supprimé l’application de leur smartphone au cours de l’année écoulée. Une proportion qui atteint même 44% chez les utilisateurs âgés de 18 à 29 ans. En Suisse, une étude de l’organisme de recherche Sotomo pour la Fondation Sanitas Assurance Maladie, rendue publique en juin dernier, révèle que plus de 70% des Helvètes désactivent certaines fonctions de leur smartphone comme la géolocalisation pour protéger leurs données personnelles. 

Le problème que relève cependant le juriste spécialisé François Charlet, «c’est que même si vous refusez à une application d’ouvrir le GPS vous avez souvent déjà accepté le principe de la géolocalisation dans les conditions générales d’une app. Par conséquent, si le GPS est éteint, Facebook ou Google ne vous localisera pas par ce biais, mais il pourra le faire par d’autres moyens comme l’adresse IP du réseau wi-fi que vous utilisez.» «C’est truffé de pièges», confirme Karl Aberer.

Ce fouillis dans des conditions générales que personne ne lit – un groupe de défense de consommateurs australiens a demandé à un acteur de lire à haute voix celles du Kindle d’Amazon, soit 73 198 mots en 9 heures – a conduit l’Union européenne à mettre en place le RGPD entré en vigueur le 25 mai dernier. «C’est une Lex GAFAM avec des sanctions très lourdes puisque les amendes peuvent aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise», explique François Charlet.

Sur le papier, ce RGPD apporte des progrès significatifs: droit à l’accès et à l’effacement de ses données personnelles et surtout consentement explicite. Mais le diable est dans les détails. Comme l’explique Alexis Fitzjean O’Cobhthaigh à la Quadrature du Net, «l’article 7 du RGPD indique que le consentement est libre et pas subordonné à l’accès au service. Or, c’est exactement le contraire qui se passe. Les GAFAM vous refusent tout simplement l’accès à leurs services si vous ne consentez pas à leur donner accès à vos données personnelles.»  

La Quadrature du Net a lancé une plainte collective contre les GAFAM à ce sujet. Pour courageuse et même fondée qu’elle soit, cette initiative fait face à un bulldozer. L’écosystème construit par les géants du net repose sur la moisson des données personnelles. C’est ce qui lui permet de prendre un par un des pans entiers d’activités économiques. De même que «le logiciel dévore le monde» selon le mot célèbre de l’inventeur des navigateurs web Marc Andreessen, la collecte des données personnelles concentre le pouvoir économique. 

Après les médias, le commerce, le tourisme, le transport (Uber), l’hôtellerie (Airbnb), Amazon prépare maintenant son offensive dans la santé et Facebook dans la banque. Avec l’avantage du big data et tant pis si cela provoque la polarisation et la radicalisation des opinions. Dans la data economy, seuls les riches deviennent plus riches.  


Vous aussi, espionnez vos amis

«La seule application d’espionnage Android qui capture toutes les formes de messagerie. Espionnez n’importe quel ordinateur avec notre puissant logiciel de surveillance informatique.» Le moins que l’on puisse dire, c’est que les messages publicitaires du site de Flexispy n’y vont pas par quatre chemins. 

Comme d’autres logiciels espions (MSpy, Life 360… Une étude en a dénombré 300), cette application est en vente libre sous prétexte d’un usage officiel destiné à surveiller ses enfants ou ses employés. Ce qui n’empêche pas de la détourner. Car une fois installée, Flexispy est non seulement cachée à l’utilisateur mais elle peut lire toutes les messageries, enregistrer la saisie sur clavier et même ouvrir le microphone à distance. 

Certes, il faut installer ces spywares. Et payer ensuite un abonnement de près de 70 francs par mois dans le cas de Flexispy. Mais si c’est facile pour une PME de vendre de tels produits, on n’ose imaginer ce que peuvent faire des acteurs équipés de moyens beaucoup plus importants. 


Exodus Privacy piste les pisteurs  

Parce qu’elle s’est rendu compte de la présence d’un pisteur (Teemo) destiné à collecter la géolocalisation de millions de personnes via des dizaines d’applications, l’hacktiviste U+039B publie sur le réseau social en logiciel libre Mastodon une alerte à ce sujet. Cela conduit à la création l’an dernier de l’association française Exodus Privacy. Ses membres s’emploient à rendre transparente la collecte de données sur smartphone. En plus d’une plateforme pour que n’importe qui puisse analyser ses applications, ils développent des outils qui rendent à la fois visibles ces pisteurs mais aussi les autorisations d’accès (aux micros, à la caméra…) noyées dans les conditions générales (sans compter l’accès aux applications installées qui ne nécessite aucune autorisation et permet de construire des marqueurs tels qu’orientation sexuelle, religion, opinion politique etc.). 

«Les développeurs ajoutent ces pisteurs à leurs applis parce que c’est une source de monétisation au travers du ciblage publicitaire ou de la revente de données. Mais cela peut se faire aussi à leur insu lorsqu’ils ont recours à des bibliothèques de logiciels prêts à l’emploi qui contiennent ces pisteurs», explique MeTal_PoU, présidente d’Exodus Privacy. Depuis un an, les hacktivistes d’Exodus ont découverts 152 pisteurs différents dans 35 000 applications qui en contiennent de zéro jusqu’à trente parfois. Sans surprise, Google Ads est présente dans 42% des cas. Plus surprenant, l’application de Météo-France envoie ses données de géolocalisation des utilisateurs toutes les minutes à la régie pub de Facebook. Exodus fait cependant face à des limites: «ouvrir une application pour en lire le code est illégal, nous nous contentons de lire l’équivalent du sommaire de ces logiciels.» D’autre part, Exodus est limitée à Android parce que les applications de l’App Store sont protégées par des outils de gestion des droits numériques qui interdisent l’analyse.


L’iot, arme de destruction furtive

Conçu pour faciliter la vie quotidienne, l’internet des objets, ou iot, est en général peu sécurisé. Un paradis pour les hackers, un cauchemar pour les utilisateurs piratés. par Arnaud Dotézac

L’IoT (Internet of Things) est un système permettant à des objets physiques déjà habituellement connectés (smartphones, étiquettes RFID, GPS, alarmes, etc.) ou non (machines à café, frigos, chaudières, miroirs, brosses à dents, lentilles de contact, pacemakers, puces d’animaux, lits, habits, piluliers, prises et ampoules électriques, pots de fleurs, casques audio, raquettes de tennis, etc.) de transférer des données sur une plateforme cloud, via internet, de manière autonome. Couplé à des technologies «Machine to Machine» ou M2M, il transforme tout objet en acteur capable de percevoir, d’analyser, d’apprendre, de communiquer avec d’autres objets et d’agir par lui-même sans intervention humaine. Bienvenue dans les «smarthomes».

Tous les arguments commerciaux imaginables sont mobilisés pour nous convaincre d’en faire usage: confort, santé, économies, efficacité, sécurité. La justification maîtresse est altruiste: allant de la facilitation de vie des personnes dépendantes (capteurs de santé, mécanismes d’alerte automatique, etc.) au combat contre le réchauffement climatique.

 N’est-il pas merveilleux, ce thermostat qui tient compte des prévisions météo et apprend tout seul à connaître nos horaires habituels de présence et d’absence à la maison ou dans certaines pièces, afin d’adapter la température de notre intérieur? N’est-il pas formidable, ce bouton de sonnette qui reconnaît le visage du visiteur et nous le retrouve dans nos contacts de smartphone? N’est-elle pas trop aimable, cette caméra de surveillance qui sait faire la différence entre les occupants habituels et les intrus avant de déclencher l’alarme? N’est-il pas bien apprivoisé, ce pistolet 9 mm qui ne tire que s’il reconnaît les empreintes digitales autorisées et garde en mémoire les données balistiques en cas d’accident ou de bavure policière? Cela semble fonctionner à merveille puisque, de 9 milliards en 2017, les objets connectés passeront à 40 voire 80 milliards d’ici à deux ans. Et c’est sans parler des «villes intelligentes», des «usines intelligentes» ou des «batailles intelligentes» (Internet of Battlefield Things).

Connectés, les objets assurent la gestion de la maison tout seuls. (Illustration: shutterstock)

Des cibles directes 

Seulement voilà, on le pressent, qui dit connectivité dit hacking. Et il se trouve que les objets connectés sont les moins bien protégés, parfois sans protocoles de mise à jour, voire pas sécurisés du tout, essentiellement pour des raisons de coûts. Tous ces appareils sont dès lors des cibles directes ou des entrées dérobées vers d’autres cibles, quand ils ne sont pas asservis comme robots d’attaque (botnet). En 2017, WikiLeaks  publiait le guide utilisateur de l’implant de la CIA permettant de transformer un simple écran de TV familial, apparemment éteint, en station d’écoute. Nom de code: «Weeping Angel», tiré des créatures prédatrices d’une série télé, justement. Que dire de ce que savent faire les services concurrents

Souvenons-nous du virus suxnet qui avait perturbé le fonctionnement des centrales nucléaires iraniennes. La même chose pourrait arriver à notre chauffage tombant en panne en plein hiver, à nos serrures qui se bloquent, à nos alimentations d’eau et d’électricité coupées, etc. A l’échelle d’une ville entière, ce serait un acte de guerre. Mais venant d’où? S’agira-t-il d’une véritable agression extérieure ou d’un «false flag» c’est-à-dire d’une provocation émanant d’un Etat tiers, voire de son propre gouvernement, dans le but de faire admettre la légitimité de représailles armées? Bienvenue dans les smart troubles.  


Vie privée: faites le tri dans vos applis

Difficile de faire le tri entre tous les outils en ligne aujourd’hui. Des applications aux navigateurs: sélection des outils respectueux de vos données. par Rebecca Garcia 

«Notre application crypte les messages du début à la fin.» Cette promesse est celle des applications qui prônent le respect de la vie privée. Ce que cela signifie concrètement? Mike Finch, web designer, l’explique par une analogie simple. «Si vous envoyez une lettre à un ami, soit vous envoyez une
carte postale, soit vous utilisez une enveloppe fermée.» Pour lui, les applications non cryptées sont l’équivalent de la carte postale, et n’importe quelle personne mettant la main dessus pourra en lire le contenu. Crypter les textes s’apparente à lui mettre une enveloppe. Il est possible de voir l’émetteur et le destinataire, mais pas ce qu’il y a à l’intérieur. 

Tour d’horizon des outils qui permettent une réelle intimité.

Messagerie

WhatsApp est détenu par Facebook depuis 2014. Si son CEO Mark Zuckerberg a affirmé à plusieurs reprises que les messages étaient cryptés, le modèle économique de Facebook est basé sur la vente des données. Jan Koum, fondateur de la messagerie, a quitté le navire en novembre 2018. Ses collègues ont confié au New York Times qu’il était fatigué de se battre pour la sécurité des données.

Signal est recommandé par Edward Snowden, qui tweetait en 2015: «J’utilise Signal tous les jours.» Le lanceur d’alerte qui a dévoilé les méthodes d’espionnage du NSA relève que chaque appel ou message sur cette application est crypté. De plus, l’utilisateur peut mettre un compte à rebours sur son message, après quoi le texte sera effacé. Pour utiliser Signal, il faut un numéro de téléphone et la liste des contacts s’importe dans l’application. Aucune publicité ni traqueur ne sont présents. Les dons et les bourses financent entièrement le travail de développement et de mise à jour.

Wire est un service de messagerie totalement crypté. Il requiert un e-mail ou un numéro de téléphone et a été créé par le cofondateur de Skype. L’application est open source. Concrètement, Wire permet de faire tout ce que propose WhatsApp: messages texte et audio, conférences vidéo, groupes, partage d’écran. Les créateurs de l’application ont leurs quartiers dans trois villes: San Francisco, Berlin et Zoug. Ils garantissent le respect des lois suisses et européennes sur la vie privée. De plus, ils précisent que la Suisse est en dehors du «14 eyes agreement», un accord qui assure une collaboration des services d’espionnage de plusieurs pays. Une version professionnelle existe pour 4 euros par mois, et c’est elle qui finance l’entièreté de l’application.

Wickr assure la sécurité des messages de plusieurs manières. D’abord, l’application crypte tout ce qui est envoyé: les fichiers comme les textes. Tout serait effacé des serveurs à la réception, ce qui implique que des pirates seraient incapables d’obtenir des informations. Le service de messagerie américain est devenu une référence pour les grandes entreprises. Des investisseurs comme le président d’IBM ou le fondateur de Tull Investment font partie des conseillers. 

Navigateurs

Surfer sur internet laisse des traces. Que ce soit à travers les cookies, l’adresse IP ou les informations entrées sur les pages, le parcours des internautes contient bien des informations. Google obtient une masse de données gigantesque à travers son moteur de recherche ainsi que Chrome. De son côté, Apple récolte également des informations à travers Safari, navigateur installé sur tous les appareils de la marque à la pomme.

Tor est le Google Chrome ou le Firefox des militaires américains. Si l’utilisateur clique sur un lien, le navigateur renvoie la page demandée à différents points de relais dans le monde entier avant qu’elle ne lui parvienne. Ce procédé rend toute traque compliquée, puisqu’un traqueur peinera à définir quel relais est le destinataire final. Tor est gratuit, financé par les dons de ceux qui réclament la liberté sur internet. Contrecoup toutefois: la sécurité garantie laisse la porte ouverte aux activités illicites. Le navigateur permet d’entrer dans le «dark web», qui abrite les pages référencées plus ou moins légales.

Brave est une solution tout en un. Disponible à la fois sur ordinateur et appareils mobiles, le navigateur force les connexions sécurisées en https. De plus, il bloque tout traqueur et toute publicité et liste tous ceux que vous avez pu rencontrer en surfant sur le web. Pour se financer, les développeurs invitent les utilisateurs à activer le «brave reward». Concrètement, les internautes paient un abonnement et le navigateur enregistre anonymement le temps passé sur chaque site pour lui redistribuer l’argent. Les sites en question doivent s’enregistrer et prouver leur transparence quant au traitement des données des utilisateurs.

DuckDuckGo prend la forme d’une application sur mobile et d’une extension pour navigateur sur l’ordinateur. Gabriel Weinberg a eu l’idée de créer un moteur de recherche respectueux de la vie privée en 2008. Dix ans plus tard, il sort une extension. Elle permet de bloquer les publicités ciblées et donne une note au site visité.
S’il obtient un A, le site est plutôt respectueux du privé tandis qu’un F signifie que vous êtes traqué. Le fondateur de DuckDuckGo a expliqué dans un blog comment l’application et l’extension sont financées: elles vendent les résultats des recherches, mais sans les lier à autre chose. Exemple: une recherche du mot «smartphone» va afficher des publicités pour des smartphones. Les dons sont une autre source d’argent.

E-mails

Tant les entreprises que les privés utilisent régulièrement Microsoft Outlook ou/et Gmail au quotidien. Les deux géants ne sont pas directement encryptés, et leur appartenance respectivement à Microsoft et Google pose la question de l’utilisation des données.

ProtonMail est une alternative «Swiss made». Le système d’e-mail est né d’une rencontre au CERN. L’entreprise fonctionne de manière indépendante et possède des locaux à Genève. Les créateurs
parlent d’un compromis réalisé entre les services que propose une messagerie standard et la vie privée. Tous les e-mails sont cryptés, et le code est en open source. Autre fonctionnalité utile: les utilisateurs peuvent ajouter une date d’expiration à leurs e-mails, ce qui provoquera leur autodestruction. Leur
solution est financée par les abonnements payants sur le site ainsi que par les dons. 

Posteo vient de Berlin. Un mari et sa femme ont mis au point un système de messagerie crypté. Aucune information personnelle n’est demandée pour créer un compte, et le paiement est dissocié de l’adresse e-mail. Les seules rentrées d’argent de Posteo proviennent des abonnements des utilisateurs, conformément à leur vision d’internet: «Nous trouvons alarmante la culture internet des produits gratuits, mais financés par l’industrie de la publicité», écrivent-ils sur leur site.

Tutanota est également un service basé en Allemagne. Les données sont chiffrées localement, sur l’appareil. Seules les métadonnées de l’émetteur, du receveur et de la date de l’e-mail sont lisibles. Si l’utilisateur décide d’envoyer un courriel à un collègue qui utilise Gmail, Tutanota générera un compte temporaire. Cela permettra de lire le mail et d’assurer qu’il est toujours crypté. En guise de financement, Tutanota compte sur ses abonnements ainsi que sur ses partenaires.  


Les BATX chinois: alternative Crédible aux GAFA?

Face aux GAFA (Google, Apple, Facebook et Amazon) et autres NATU (Netflix, Airbnb, Tesla et Uber), des sites concurrents émergent, tels les BATX (Baidu, Alibaba, Tencent et Xiami). qu’en penser? par Matthieu Hoffstetter

Janvier 2018: Alibaba présente des excuses publiques à plusieurs centaines de millions d’utilisateurs. La raison? Le «crédit Sésame», service de notation des internautes pour évaluer leur solvabilité, avait été activé par défaut par le géant chinois de l’e-commerce sur sa plateforme de paiement en ligne Alipay pour 300 millions d’utilisateurs.

Un événement passé presque inaperçu en Europe, mais révélateur du recours toujours plus important aux données personnelles par les géants du web chinois dans le but de noter les internautes. De façon assumée: «En Chine, les gens sont moins préoccupés par les questions de vie privée, ce qui nous permet d’aller plus vite», déclarait ainsi Xian-Sheng Hua, directeur de la branche intelligence artificielle d’Alibaba, lors d’un forum professionnel à Amsterdam en octobre 2017.

Citoyens sous haute surveillance

Lancé en 2015, le «crédit Sésame» intervenait quelques mois après les annonces du gouvernement de Pékin sur la mise en place d’un «crédit social»: chaque citoyen est repéré et suivi, et s’il commet une infraction sur la voie publique, son portrait est envoyé aux prestataires de services environnants pour qu’ils s’assurent que le délit commis ne reste pas sans suite. Ainsi, un piéton qui traverse au feu rouge voit sa fiche transmise sur les écrans des arrêts de bus et aux responsables d’administration des environs jusqu’à ce qu’il paie une amende de 20 yuans (2,60 euros) au commissariat du quartier.

Cette surveillance de la voie publique fait appel à un réseau de caméras de vidéosurveillance qui devrait atteindre les 400 millions d’ici à 2021, objectif affiché du gouvernement chinois. Et elle s’appuie sur des technologies de pointe, mises au point notamment par deux licornes chinoises, SenseTime et Megvii, qui combinent la capture d’images de haute précision et le deep learning, afin d’identifier les individus filmés.

Or, si leurs technologies équipent les systèmes de vidéosurveillance, elles sont aussi implémentées dans les smartphones chinois des principaux fabricants (Huawei, Oppo, Vivo, Xiaomi) ou encore sur Alibaba, afin de permettre les paiements par reconnaissance faciale. Les bancomats de la China Construction Bank permettent déjà de retirer du cash simplement en présentant son visage à la caméra.

Doutes

Le programme de «crédit social» des autorités «consiste également à disposer de données provenant de sociétés privées. Si un partenariat avec huit grandes sociétés de l’e-commerce, comme Sesame Credit (Alibaba) ou Tencent Credit, a été gelé pour diverses raisons liées à la protection des données personnelles et à des craintes de conflits d’intérêts, dix sociétés de partage de vélos ont déjà signé un accord», constate Séverine Arsène, politologue à l’Asia Global Institute de la Hong Kong University. Et d’ajouter que «cet accès aux données des sociétés privées est sans doute l’un des aspects les plus cruciaux du projet, car elles disposent d’indicateurs beaucoup plus fins sur le comportement des individus que n’importe quelle administration: heures de connexion, achats, contenus des conversations, etc.».

Le blocage des GAFA en Chine ayant poussé l’ensemble des internautes chinois à recourir aux BATX, ces derniers restent très dépendants des desiderata du gouvernement chinois. Ils pourraient très bien accepter d’ouvrir leurs données (y compris celles des clients étrangers) aux autorités, afin de conserver leurs licences d’activité sur le marché chinois. Et ce, même si Huawei démentait en février 2018 ce genre de pratiques à la suite de rumeurs d’un accord avec Pékin: «Jamais aucun gouvernement ou agence n’a demandé de donner l’accès à nos technologies, ou de fournir de quelconques données ou informations sur un citoyen ou une organisation.» Sans convaincre cependant l’ensemble des observateurs. En étant actif sur WeChat, Alibaba ou Baidu, ou en préférant un smartphone Xiaomi au dernier iPhone, le client suisse qui penserait échapper à la NSA et à Google pourrait en réalité confier ses données au gouvernement chinois et à Tencent.  

Fabrice Delaye
Fabrice Delaye

JOURNALISTE

Lui écrire

Fabrice Delaye a découvert Internet le 18 juillet 1994 sur les écrans des inventeurs du Web au CERN. La NASA diffusait ce jour-là les images prises quasi en direct par Hubble de la collision de la comète Shoemaker-Levy sur la planète Jupiter…Fasciné, il suit depuis ses intuitions sur les autoroutes de l’information, les sentiers de traverse de la biologie et étend ses explorations de la microélectronique aux infrastructures géantes de l’énergie.

L’idée ? Montrer aux lecteurs de Bilan les labos qui fabriquent notre futur immédiat; éclairer les bases créatives de notre économie. Responsable de la rubrique techno de Bilan depuis 2006 après avoir été correspondant de L’Agefi aux Etats-Unis en association avec la Technology Review du MIT, Fabrice Delaye est diplômé de l’Institut d’Etudes Politiques de Paris et de l’EPFL.

Membre du jury des SwissICT Awards, du comité éditorial de la conférence Lift et expert auprès de TA-Swiss à l’Académie Suisse des Arts et des Sciences, Fabrice Delaye est l’auteur de la première biographie du président de l’EPFL, Patrick Aebischer.

Du même auteur:

«Le prochain président relèvera les impôts»
Dubaï défie la crise financière. Jusqu'à quand'

Les newsletters de Bilan

Le cercle des lecteurs

Le Cercle des Lecteurs est une plate-forme d'échanger sur tout ce qui touche votre magazine. C'est le reflet de vos opinions, et votre porte-parole le plus fidèle. Plus d'info

Image Footer

"Tout ce qui compte.
Pour vous."