Ne pas confondre la cybersécurité et le respect de la vie privée

Depuis quelques années, toutes les raisons sont bonnes pour nous sensibiliser aux risques de piratage informatique, dans un contexte de virage numérique, d’avancées dans le domaine de l’intelligence artificielle, de tensions géopolitiques et de guerres : vols massifs de renseignements personnels et confidentiels, cyberattaques russes ou chinoises contre des organismes gouvernementaux ou de grandes entreprises, usurpations d’identité de plus en plus fréquentes, etc. En plus d’initier les utilisateurs des systèmes informatiques aux bonnes pratiques de cybersécurité, le gouvernement, les institutions financières et les grandes corporations implantent des dispositifs d’authentification des utilisateurs plus sécuritaires pour protéger ces derniers et aussi les organismes gouvernementaux et les entreprises. Et on nous dit alors que, si nous continuons sur cette voie, nos données et nos renseignements personnels et confidentiels seront de plus en plus sécurisés et que, du même coup, notre vie privée sera respectée. En anglais, on dit que ces systèmes informatiques sont « private and secure ». La cybersécurité, le respect de la vie privée et la protection des renseignements personnels et confidentiels nous semblent tellement marcher main dans la main que nous avons de la peine à les considérer séparément. Si notre vie privée est respectée et si nos renseignements personnels et confidentiels sont protégés, ce serait en raison de mesures de cybersécurité robustes et efficaces. Si les systèmes informatiques que nous utilisons sont sécuritaires, par conséquent notre vie privée serait respectée et nos renseignements personnels et confidentiels seraient protégés. Et nous avons tort de penser ainsi.

Par cybersécurité, j’entends l’ensemble des pratiques et des dispositifs qui ont pour objectif de réduire les risques de piratage des systèmes informatiques, soit par la ruse, soit par des moyens technologiques. Il s’agit des précautions prises par les utilisateurs de ces systèmes, de l’utilisation de mots de passe forts et de dispositifs d’authentification à double facteur, d’audits de sécurité indépendants, de la correction rapide des failles de sécurité, et de la robustesse et de la compartimentation des logiciels, des technologies et des systèmes utilisés. Il résulte de cette définition qu’un système informatique très invasif, au sens où on y collecte toutes sortes d’informations à notre sujet, peut être sécuritaire tout en constituant une menace pour notre vie privée. Rien n’empêche un tel système, qui contiendrait des informations sur notre situation économique, sur nos habitudes de consommation, sur notre activité en ligne, sur nos déplacements à l’étranger, sur notre parcours scolaire et professionnel et sur notre état de santé, d’être très difficile à pirater. Et ce n’est pas parce qu’il serait difficile à pirater qu’il cesserait d’être incompatible avec le respect de notre vie privée, puisque les organisations qui auraient accès à ce système auraient toujours accès à tous ces renseignements sur nous. S’il est vrai que notre vie privée et nos renseignements personnels et confidentiels seraient encore moins protégés si ce système informatique était très vulnérable aux attaques des pirates informatiques, cela ne change rien au fait que, pris en lui-même, il n’est pas respectueux de notre vie privée. Bref, il suffit que, grâce à un système informatique, on collecte et conserve toutes sortes d’informations à notre sujet pour qu’il doive être considéré comme irrespectueux de notre vie privé.

Examinons quelques cas pour comprendre concrètement cette distinction et les manières dont peuvent s’articuler la cybersécurité et la protection de la vie privée et des renseignements personnels et confidentiels.

L’utilisation à double facteur devient de plus en plus fréquente, qu’il s’agisse d’un appel téléphonique que nous recevons pour confirmer que c’est bien nous qui essayons de nous connecter à notre compte, d’une séquence numérique temporaire générée par un « authentificateur » qui sert de deuxième mot de passe, d’une clé physique (YubiKey, Nitrokey) et de la reconnaissance de données biométriques (empreintes digitales, iris, visage). Même si ces modes d’authentification ne nous protègent pas entièrement des tentatives des pirates informatiques ou des arnaqueurs d’accéder à nos comptes informatiques, c’est tout de même plus sécuritaire, à différents degrés, qu’un simple mot de passe, qu’on peut trouver assez facilement avec des logiciels de piratage ou grâce à des fuites de données. Mais dans bien des cas, nous fournissons des renseignements personnels ou confidentiels, à notre insu ou non, aux organisations et aux entreprises qui gèrent les comptes informatiques auxquels nous connectons et les technologies utilisées pour nous authentifier. Nous nous retrouvons donc à fournir notre numéro de téléphone à Microsoft si l’université où nous étudions ou si l’organisation ou l’entreprise pour laquelle nous travaillons a décidé de charger cette grande corporation de la sécurité de leurs réseaux informatiques. Si on a plutôt décidé d’utiliser un authentificateur, il se peut que nous fournissions à la corporation qui a conçu ce logiciel des renseignements sur le téléphone mobile que nous utilisons, sur notre fournisseur de téléphonie, sur les comptes informatiques que nous avons et sur l’utilisation que nous en faisons, en autres, ce qui n’est assurément pas respectueux de notre vie privée, et ce qui le serait encore moins si cette application était aussi utilisée pour espionner ce que nous faisons sur notre téléphone. La clé physique, en tant qu’elle sert seulement à s’authentifier, est sans doute plus respectueuse de notre vie privée, même dans l’hypothèse où des données seraient collectées à propos des comptes auxquels on se connecte à partir de telle clé, par les organisations qui gèrent ces comptes ou par le fabricant de cette clé. La reconnaissance des empreintes digitales, de l’iris ou du visage, qu’on applique généralement aux prisonniers et aux criminels, constitue quant à elle une menace surtout si les données qui servent à l’authentification sont ouvertement ou subrepticement hébergées en ligne et surtout si notre identité est associée à ces données. Elles permettraient alors de nous identifier et de savoir tout ce que nous faisons en nous identifiant grâce à elle, ce qui pourrait être massif si cette forme d’authentification devient plus populaire ou est progressivement imposée pour faire des transactions financières et pour avoir accès à des services publics ou privés.

Dans tous ces cas, sauf peut-être celui de la clé physique (si elle est acquise et utilisée de manière à préserver l’anonymat), nous sommes dans une situation où, sous prétexte de sécuriser des systèmes et des comptes informatiques, on collecte ou nous demande de fournir des renseignements personnels ou confidentiels, ce qui constitue déjà une certaine atteinte à notre vie privée, et ce qui peut donner les moyens aux organisations qui disposent de ces renseignements de collecter des renseignements supplémentaires à notre sujet et de s’immiscer encore plus dans notre vie privée. On a beau dire qu’on protège les renseignements personnels et confidentiels ainsi collectés et donc qu’on respecte la vie privée, cette collecte de renseignements est en elle-même une atteinte à la vie privée, puisque ceux-ci ne sont pas protégés contre les organisations qui les collectent et qui peuvent en user licitement ou illicitement pour s’ingérer dans nos vies, surveiller ce que nous faisons et même nous contrôler, ouvertement ou à notre insu.

Nous venons d’envisager les fortes tensions entre le respect de la vie privée et la cybersécurité à petite échelle. Mais ces tensions existent à l’échelle de nos vies et des sociétés dans lesquelles nous vivons. En effet, plus des parties importantes de notre existence se retrouvent à être gérées par des systèmes informatiques ou à se passer en ligne, plus les interactions sociales et le fonctionnement de la société dépendent de ces systèmes et se passent sur internet, plus on insiste alors sur l’importance de sécuriser ces systèmes en nous demandant de fournir des renseignements personnels et confidentiels, ce qui constitue des atteintes supplémentaires à notre vie privée, ce qui peut donner des moyens ou des prétextes supplémentaires de s’y ingérer encore plus. Autrement dit, ces mesures de cybersécurité consistent précisément à nous identifier le plus souvent possible et avec le plus de certitude possible, ce qui va à l’encontre de l’anonymat, des pseudonymes et des identités partielles et changeantes qui sont nécessaires à l’existence de la vie privée. Beaucoup d’entre nous fournissent les informations qu’on leur demande et s’identifient sans se poser de questions.

Il serait bien sûr plus sage de garder jalousement nos renseignements personnels et confidentiels au lieu de nous fier aux organisations qui prétendent être dignes de confiance et qui nous les demandent sous prétexte de cybersécurité. C’est comme pour les secrets, qui ne sont plus à l’abri dès que nous les confions à d’autres en leur demandant de les garder alors que nous n’avons même pas pu le faire nous-mêmes. Et même s’ils faisaient preuve de plus de discrétion, ça ne changerait rien au fait qu’ils connaissent ces secrets et qu’ils peuvent les utiliser contre nous tôt ou tard, et ce, de manière peut-être plus avantageuse s’ils savent les garder jalousement ces secrets.

Hélas ! on dirait que nous avons de moins en moins le sentiment de ce qui est privé et de ce qui devrait le rester, comme nous sommes de moins en moins capables de méfiance, celle-ci étant souvent perçue comme un délire paranoïaque ou complotiste, ou plus rarement comme une projection de la propre malveillance d’un individu sur les autres. Si bien que la majorité de nos concitoyens consentent à ce qu’on collecte et diffuse même toutes sortes d’informations à leur sujet, pour autant que ces informations ne tombent pas entre les mains de méchants pirates informatiques russes ou chinois et ne soient pas utilisés pour faire des fraudes. Même ceux qui passent pour des complotistes fous, et dont je fais sans doute partie aux yeux de plusieurs de mes concitoyens, acceptent ou doivent accepter que les organisations gouvernementales et les grandes corporations collectent toutes sortes de renseignements à leur sujet, par manque de cohérence, par négligence, par manque de compétences techniques, par incapacité ou absence d’envie de les acquérir, par amour de la facilité et de la commodité, par refus des inconvénients, par inaptitude à profiter des avantages qui les compensent parfois, par conformisme, par dépendance aux téléphones portables et aux réseaux sociaux, ou tout simplement parce qu’ils n’ont pas vraiment le choix ou qu’ils se disent qu’en en faisant trop pour essayer de protéger leur vie privée, ils attirent en fait l’attention sur eux.

Il est vrai que les occasions de collecter des données sur ce que nous faisons, disons et écrivons, sur ce que nous sentons et pensons, sur les personnes que nous fréquentons, sur notre état de santé, sur les emplois que nous occupons ou avons occupés, entre autres, sont tellement nombreuses qu’il est impossible d’échapper complètement à ces ingérences dans notre vie privée.

Voici une liste non exhaustive de ces occasions :

  1. Quand nous utilisons un système d’exploitation ou des navigateurs Web qui documentent ce que nous faisons sur notre ordinateur ou en ligne ;

  2. Quand nous avons presque toujours sur nous des téléphones portables qui sont dotés de caméras et de microphones, qui sont constamment géolocalisés et qui détectent automatiquement les autres téléphones portables qui sont à proximité ;

  3. Quand nous utilisons des services de vidéoconférence et des services de messagerie électronique conçus et contrôlés par de grandes corporations informatiques ;

  4. Quand nous publions sur les réseaux sociaux des « posts » sur la moindre de nos activités, la moindre de nos idées et le moindre de nos sentiments ;

  5. Quand nous stockons nos photographies, nos notes, notre musique, nos vidéos et nos autres documents dans les infonuagiques fournis par ces grandes corporations ;

  6. Quand nous connectons notre téléphone mobile à l’ordinateur de bord de notre voiture ;

  7. Quand on nous demande d’avoir un compte ou une carte à puce enregistrée à notre nom pour utiliser un stationnement, un vélo électrique, une imprimante ou une machine à laver, ou pour prendre l’autobus, le métro ou le train ;

  8. Quand nous nous inscrivons en ligne à des événements pour informer leurs organisateurs de notre présence ;

  9. Quand nous utilisons des calendriers et des planificateurs en ligne pour organiser notre emploi du temps ;

  10. Quand les médecins que nous consultons ou les hôpitaux ou cliniques où ils travaillent nous demandent de transmettre par voie électronique des documents médicaux, se les envoient les uns aux autres et les déposent dans des dossiers numériques de plus en plus centralisés et dans la conception desquelles les grandes corporations économiques jouent un rôle de plus en plus important ;

  11. Quand nous consultons un médecin à distance en utilisant un service de vidéoconférence comme Zoom ou Teams ;

  12. Quand les institutions financières documentent presque toutes les transactions financières dans lesquelles nous sommes impliqués pour produire des relevés mensuels de ces transactions, pour constituer un dossier de crédit et pour connaître nos habitudes de consommation ;

  13. Quand nous utilisons la carte de points d’une chaîne de supermarchés pour obtenir des rabais sur les produits que nous achetons le plus souvent et avoir la chance de gagner des prix ou des récompenses ;

  14. Quand nous faisons des achats en ligne ;

  15. Quand nous donnons notre adresse électronique à des commerçants pour qu’ils y envoient les factures de nos achats ;

  16. Quand notre employeur nous oblige à utiliser les services d’un sous-traitant pour compléter nos feuilles de temps en ligne, avoir accès à nos relevés de paie, demander des absences et obtenir les documents nécessaires pour faire nos déclarations de revenus ;

  17. Quand les systèmes qui font fonctionner notre maison intelligente et connectée sont hébergés on ne sait où et ne sont pas sous notre contrôle ;

  18. Quand les organismes gouvernementaux externalisent l’hébergement des données des citoyens en les confiant à de grandes corporations informatiques ;

  19. Quand le traitement de ces données est automatisé grâce à des intelligences artificielles conçues et contrôlées par ces grandes corporations ;

  20. Etc.

Cela fait beaucoup de choses. Et la liste s’allongera vraisemblablement au cours des prochaines années.

En fait, nous en sommes rendus à un point où les organisations qui collectent des données sur nous en savent plus sur notre compte que pouvaient en savoir les forces policières et les agences de renseignement sur les criminels et les terroristes les plus surveillés et les plus recherchés il y a quelques décennies. Il n’est certainement pas innocent que notre gouvernement, les institutions financières et les grandes corporations du secteur technologique, quand nous nous inquiétons de ces invasions dans notre vie privée, répondent souvent à côté en disant qu’ils adoptent constamment de nouvelles mesures de cybersécurité pour protéger nos renseignements personnels et confidentiels. Comme si ces renseignements n’avaient pas à être protégés contre eux, mais devaient seulement l’être contre de méchants pirates informatiques et des fraudeurs sans scrupules !

Vous devriez aussi regarder :