mardi 21 octobre 2008

Je serai demain après-midi à Chartres pour parler de "Technologies et Vie Privée"

Je serai demain après-midi à la mairie de Chartres (place des Halles), pour parler de "Technologies et Vie Privée", à l'invitation de l'Université Chartraine du Temps Libre (UCTL).

vendredi 26 septembre 2008

Interviewé par Canal Plus sur le thème "Google est-il Big Brother ?"

L'édition spéciale, diffusée sur Canal +, m'a interviewé hier sur le thème Google est-il le nouveau Big Brother ?

Vous pouvez revoir mon intervention en cliquant sur http://www.canalplus.fr/pid2244.htm, puis en sélectionnant Emission du 25 septembre 2008, puis sur Partie 3.

lundi 22 septembre 2008

Comment j'ai repéré une faille de sécurité chez Empruntis.com

Pour un premier contact, ce fut un peu raté. Soucieux de tester, pour Vnunet.fr, le site Jechange.fr (comparateur généraliste dans le secteur des services), j'ai demandé, vendredi 19 septembre, des devis pour une assurance-santé. Première surprise : dès que l'on clique sur l'onglet "assurance" de Jechange.fr, le contenu est fourni par un prestataire, Empruntis.com, "spécialiste en crédit immobilier, crédit conso, assurances, placements et rachat de crédit".

"Nous n'avons pas encore tout développé nous-même", explique Gaël Duval, co-fondateur, avec Renaud Beaupère, de Jechange.fr. "Pour l'instant, nous sous-traitons le mobile à Meilleur Mobile, qui est également partenaire de Kelkoo, et nous sous-traitons l'assurance à Empruntis.com. Ces deux parties devraient être réalisées en interne début 2009."

Seconde déconvenue : après avoir consciencieusement rempli ma demande (une assurance-santé), sélectionné un prestataire et demandé un devis, je me suis retrouvé sur une fiche récapitulative… qui n'était pas la mienne ! Sont apparus les noms et coordonnées d'une personne que je ne connaissais ni d'Eve, ni d'Adam ! Pour vérifier qu'il ne s'agissait pas d'une fiche "virtuelle" (par exemple, pour expliquer quelles informations il fallait donner), j'ai appelé cet inconnu.

Il m'a répondu qu'il avait effectivement demandé à comparer des offres de crédit il y a environ cinq ans, que l'adresse postale qui figurait sur sa fiche n'était plus valable depuis longtemps, mais qu'en revanche, son mail et son numéro de mobile (qu'il ne possédait pas à l'époque - ce qui laissait supposer qu'il y avait eu croisement avec des bases de données plus récentes) étaient exacts.

Interrogé, Gaël Duval s'est tourné vers son prestataire. Empruntis lui a répondu quelques heures plus tard : "suite à une mise à jour récente en assurance santé, une fonction ne réagissait plus comme prévu dans le cas d'une chaîne de caractères avec une apostrophe dans le champ "adresse". En conséquence, le dossier se voyait attribué un numéro de client très inférieur aux numéros de client actuel. Dans des cas extrêmement rares, cela pouvait correspondre à un client qui était encore en base, car 99% des clients plus vieux d'un an sont supprimés de la base. Cela explique que M. Henno soit tombé sur les coordonnées d'un client correspondant à un dossier datant de 2002".

En tout cas, lundi 22 septembre au matin, tout semblait être rentré dans l'ordre : j'ai refait exactement la même procédure et tout s'est normalement déroulé.

(article paru sur Vnunet.fr le 22 septembre 2008)

jeudi 18 septembre 2008

Invité de l'émission A la carte sur France 3

Aux côtés de Nathalie Biltz, avocate au barreau de Paris, spécialisée dans les nouvelles technologies, Marie-Claude Bonneville, porte-parole de l’association "Souriez vous êtes filmés" et Sophie Nerbonne, directrice adjointe du service juridique de la Cnil (Commission Nationale de l’Informatique et des Libertés), j'ai été l'invité hier de l'émission A la carte, présentée sur France 3 par Valérie Durier. Le thème de l'émission était "Fichés, encartés, pistés… comment s’en défaire ?" Vous pouvez revoir cette émission en cliquant ici : http://programmes.france3.fr/a-la-carte/index-fr.php?page=integrales&emission=17

mercredi 17 septembre 2008

Big Sister Edvige

Le fichier Edvige (Exploitation documentaire et valorisation de l'information générale) doit centraliser et analyser des informations sur :
  • les personnes ayant sollicité, exercé ou exerçant un mandat politique, syndical ou économique ou qui jouent un rôle institutionnel, économique, social ou religieux significatif ;
  • les individus et groupes susceptibles de porter atteinte à l'ordre public
Edvige a été créé en vue d'informer le gouvernement et les représentants de l'Etat dans les départements et les collectivités. Entre autres, pour permettre aux services de police de savoir si "le comportement des personnes physiques ou morales intéressées est compatible avec l'exercice des fonctions ou des missions envisagées". Pour cela, Edvige peut collecter les informations suivantes sur les personnes physiques âgées de 13 ans et plus :
  • état civil, profession ;
  • adresses, téléphones, emails ;
  • n° de carte d'identité, de passeport, etc. ;
  • immatriculations des véhicules ;
  • informations fiscales et patrimoniales ;
  • antécédents judiciaires ;
  • opinions politiques, philosophiques ou religieuses ;
  • entourage personnel et professionnel ;
De "manière exceptionnelle", les orientations sexuelles et les données sur la santé de la personne peuvent également être enregistrées dans Edvige.

La Cnil et Edvige

Lors d'un entretien qu'il m' a accordé pour Vnunet.fr, Alex Türk, président de la Cnil (Commission Nationale de l'Informatique et des Libertés), revient sur la levée de boucliers liée à la création du fichier Edvige. __

Le décret paru le 27 juin 2008 annonçant la "création d'un traitement automatisé de données à caractère personnel dénommé Edvige" (voir encadré ci-dessous) par le ministère de l'Intérieur n'en finit pas de faire parler de lui.

Même si la tension semble être un peu retombée depuis l'annonce, par le président de la République, que le ministère de l'Intérieur allait organiser une concertation.

Alex Türk, le président de la Cnil (Commission Nationale de l'Informatique et des Libertés), se dit d'abord surpris par toutes ces manifestations. "Edvige n'est que le nouveau cadrage juridique d'un fichier qui existe depuis très longtemps, celui des RG, constate-t-il. Un premier décret, paru en 1991, avait donné une existence légale à ce fichier constitué depuis de longue date dans une certaine illégalité."

C'est sous le front Populaire qu'a été créée en 1937 la Direction des services de renseignements généraux et de la police administrative, mais ce n'est qu'au lendemain de la Seconde Guerre Mondiale, en particulier pendant la guerre froide, que les RG avaient pris leur envol.

Le président Sarkozy ayant décidé, dans un but de rationalisation, de fusionner à partir du 1er juillet 2008 les RG et la DST (Direction de la surveillance du territoire) au sein de la Direction centrale du renseignement intérieur (DCRI), un nouveau cadrage juridique était nécessaire.

Normalement, la DCRI doit désormais plus s'occuper de la lutte contre le terrorisme, des risques d'espionnage économique, de la sécurité informatique ou de la surveillance des quartiers à problème.

Alex Türk se félicite que le gouvernement ait finalement décidé de publier le décret annonçant la naissance d'Edvige. "Nous avions beaucoup insisté pour que ce décret soit rendu publique, affirme-t-il. Jusqu'au dernier moment, le gouvernement a hésité. Ce n'est que la veille au soir qu'ils nous ont averti que le décret serait public. Mais nous avions aussi prévenu les autorités concernées qu'en publiant le décret sous cette forme, elles allaient au-devant d'ennuis : nous sommes heureux d'être enfin entendus sur ce point."

A noter que le décret annonçant la création d'un autre fichier du nom de Cristina qui sera également utilisé par la DCRI, n'a fait l'objet d'aucune publication. Sur les quelque 2,5 millions de fiches que comporteraient les ordinateurs des RG, environ 2 millions de fiches devraient êtres repris par Edvige et 500 000 par Cristina.

"Cristina comporte uniquement des fiches sur des personnes susceptibles de porter atteinte à la sécurité de l'Etat : il est donc absolument normal qu'aucune information ne soit communiquée au public sur ce fichier", estime Alex Türk. De même, Cristina ne sera pas contrôlé par la Cnil, au contraire d'Edvige. "Edvige devrait être contrôlé environ tous les cinq ans, calcule Alex Türk.Le contrôle, par sondage, d'un gros fichier comme cela nous prend six à sept mois."

Le président de la Cnil - et sénateur du Nord (Nord-Pas-de-Calais) - en profite pour rappeler que sous son mandat, commencé en février 2004, les effectifs de la Cnil devraient doubler : ils devraient être de 147 personnes fin 2009. "Mais nous sommes toujours les derniers du peloton européen", reconnaît-il. Par exemple, les équivalents allemands et anglais de la Cnil comptent respectivement 400 et 250 personnes.

Edvige, comme son prédécesseur, le fichier des RG, pourra faire l'objet d'une procédure d'accès indirect. N'importe qui pourra demander à la Cnil d'aller vérifier que sa fiche au sein d'Edvige ne comporte aucune information illégale.

Concrètement, un commissaire de la Cnil- un magistrat ou ancien magistrat -, effectue les investigations utiles et fait procéder aux modifications nécessaires, par exemple l’effacement de données inexactes. La CNIL avertit ensuite le demandeur que la vérification a été faite.

"Tous les jours, sept voitures partent de la Cnil, avec un Commissaire à bord, pour aller accéder à des fichiers", énumère Alex Türk. Seul bémol : les demandes sont si nombreuses qu'il faut souvent patienter un an avant que la Cnil n'accède à la fiche demandée.

Enfin, Alex Türk rappelle qu’en l'état actuel du décret, Edvige ne pourra pas faire l'objet d'une procédure de croisement automatisé. "Mais cela n'empêche pas les policiers ayant accès à Edvige, d'aller, au cas par cas, consulter les fiches des personnes intéressées dans d'autres fichiers de police comme le Stic."

Justement, le Stic (Système de Traitement des Infractions Constatées - un fichier centralisant les auteurs d'infractions interpellés par la police) comporte de nombreuses erreurs : 25% des fiches vérifiées par la Cnil sont erronées. Edvige ne court-il pas le même risque. "Je crois que non, répond Alex Türk. Le Stic est un fichier très lourd à gérer et donc à mettre à jour. Edvige sera plus simple et donc moins propice aux erreurs."

Au final, l'actuel président de la Cnil voudrait relativiser l'affaire Edvige. "Cela met le doigt sur quelque chose de grave, mais ce n'est pas le plus important, insiste-t-il. Edvige est loin d'être mon souci majeur. Je suis beaucoup plus préoccupé par la biométrie, la géolocalisation, la vidéo surveillance ou le traçage des gens sur Internet."

Mais Alex Türk ne se montre pas pour autant totalement rassurant. "Tout cela et les fichiers dessinent un avenir assez inquiétant…", admet-il. De quoi donner raison aux associations de défense des libertés individuelles (voir, par exemple, http://nonaedvige.ras.eu.org), qui restent très vigilantes sur le sujet des fichiers en général et d'Edvige en particulier…

(article paru sur Vnunet.fr le 17 septembre 2008)

vendredi 5 septembre 2008

Interviewé par le quotidien Sud-Ouest sur le fichier Edvige

Le quotidien Sud-Ouest consacre sa "une" d'aujourd'hui au nouveau fichier de police, Edvige, créé par décret en juin dernier et contesté par de nombreuses personnalités et associations de défense des droits de l'homme. J'ai été interviewé, en tant qu'auteur du livre "Tous fichés", par Priska Ducœurjoly, la journaliste de Sud-Ouest qui a réalisé cette enquête sur les conséquences du fichage. Vous pouvez lire son article en cliquant ici : http://www.sudouest.com/050908/france.asp?Article=050908aP3076067.xml

vendredi 29 août 2008

Interviewé par TF1 sur l'utilisation des nouvelles technologies pour nous espionner

J'ai été interviewé le 7 août dernier par TF1, dans le cadre de l'émission "On nous dit" qui consacrait un reportage aux utilisations possibles du téléphone mobile et d'Internet pour nous espionner. Vous pouvez retrouver cette émission en cliquant sur le lien suivant : http://lachaine.tf1.fr/lachaine/divertissement/on-nous-dit/videos/0,,3935155,00-tf1-en-video-l-emission-du-07-aout-2008-2-2-.html

vendredi 11 juillet 2008

Bientôt, plus rien n'empêchera la réquisition des fichiers européens par les autorités américaines

Bientôt, plus rien n'empêchera la réquisition des fichiers européens par les autorités américaines

Dans son édition du 28 juin, le New York Times a révélé que les Etats-Unis et l'Union Européenne négociaient un accord global sur l'utilisation des données personnelles pour la lutte contre le terrorisme. Ces discussions, commencées en février 2007, font suite à plusieurs scandales : le chantage que l'administration Bush avait opéré, au lendemain des attentats du 11 septembre, sur les compagnies aériennes européennes pour qu'elles lui communiquent les données de leurs passagers (http://livretousfiches.xwiki.com/xwiki/bin/view/Main.NouveauCoupDeForceAmericainSurLeTransfertDesDonneesDesPassagers/); et la réquisition, par les mêmes autorités américaines, des données sur les transferts d'argent transitant par le réseau bancaire Swift (http://livretousfiches.xwiki.com/xwiki/bin/view/Main/WashingtonEspionneLesTransactionsFinancieres). L'accord en cours de négociation donnerait un cadre légal aux transferts des données détenues par des entreprises, de part et d'autre de l'Atlantique, aux administrations américaine ou européenne, pour les aider à lutter contre le terrorisme. Ces données pourront être de tous ordres : relevés de cartes bancaires, historiques de voyages, sites internet visités… Les Etats-Unis, qui sont beaucoup plus en avance que l'Union Européenne pour l'utilisation des fichiers informatiques dans le cadre de l'anti-terrorisme, vont ainsi gagner du temps et de l'argent : ils pourront faire référence à ce cadre légal lorsqu'ils demanderont à une entreprise de lui transférer ses fichiers. Laquelle ne pourra donc plus s'opposer à cette réquisition : quelques sociétés européennes hésitaient encore avant de remettre leurs bases de données aux autorités américaines, car le droit européen interdit de tels transferts (normalement, en Europe, un fichier conçu pour une application commerciale bien précise, ne peut être utilisé à d'autres fins, en particuliers sécuritaires). Un des derniers points en suspens est la possibilité qu'auront - ou n'auront pas - les Européens à porter plainte contre le gouvernement de Washington si une erreur de profilage commise par une agence américaine qui aurait utilisé ces données, entraînait un préjudice : par exemple, ne pas pouvoir monter dans un avion en partance pour les Etats-Unis, ou être refoulé à leur arrivée sur le sol américain. En Europe, pour ce genre de problème, il est possible de porter plainte auprès des organismes en charge de la protection de la vie privée (comme, par exemple, la Cnil, en France). Ce type d'organisation n'existe pas aux Etats-Unis.

Source : Charlie Savage, U.S. and Europe Near Agreement on Private Data, New York Times, June 28, 2008 (http://www.nytimes.com/2008/06/28/washington/28privacy.html)

mardi 8 juillet 2008

La Cnil aurait-elle 4 ans de retard ?

Depuis quelques mois Alex Türk, le président de la Cnil (Commission Nationale de l'Informatique et des Libertés) s'inquiète du fichage général qui menace les sociétés occidentales.

Pour expliquer le manque de réaction des populations, il utilise volontiers la métaphore de la grenouille ébouillantée* : pour l'instant, tout va bien, nous ne nous inquiétons pas de l'augmentation considérable des bases de données qui collectent des informations sur nous. Un peu comme une grenouille plongée dans une eau dont on élèverait progressivement la température, jusqu'à ce qu'elle finisse ébouillantée !

On peut cependant se demander si le président de la Cnil ne réagit pas avec quatre ans de retard. Voilà en effet plusieurs années que les Britanniques ont tiré le signal d'alarme. En août 2004, l'équivalent anglais d'Alex Türk, Richard Thomas s'inquiétait déjà du fichage ambiant.

Voici ce que j'ai écris à ce sujet dans Tous Fichés :

« Le danger existe » de voir la Grande-Bretagne devenir « une société sous surveillance » s’émeut Richard Thomas, Information Commissionner, l’équivalent du président de la Cnil française. « Je ne veux pas tomber dans la paranoïa, mais certains de mes homologues en Espagne ou en Europe de l'Est ont vu lors du siècle précédent ce qui peut arriver quand un gouvernement devient trop puissant et possède trop d'informations sur ses citoyens**», rappelle-t-il, faisant allusion au régime de Franco en Espagne et à la Stasi de l'ex-Allemagne de l'Est.

  • voir :
• le débat que j'ai animé en décembre 2007 à Lille : http://livretousfiches.xwiki.com/xwiki/bin/view/Main/UneConferenceAEcouterEnLigneServiceslibertesDemaintousFiches

•un billet de Luc Bronner dans le Monde daté d'hier : http://abonnes.lemonde.fr/archives/article/2008/07/07/les-fichiers-policiers-et-la-grenouille-ebouillantee-par-luc-bronner_1067157_0.html

    • "Le danger existe" de voir la Grande-Bretagne devenir "une société sous surveillance", Le Monde, avec AFP, 21.08.04

vendredi 4 juillet 2008

L'Europe tentée par Big Brother : le cas suédois

De plus en plus de pays européens adoptent, au nom de la lutte contre le terrorisme, des lois "Big Brother". L'exemple le plus abouti demeure pour l'instant la Suède qui a voté en juin dernier une loi dite "Fra law" (ou "Lex Orwell", pour ses détracteurs). Le Fra est le service d'écoutes du ministère de la Défense suédois. Selon cette loi, le Fra va embaucher des dizaines de personnes pour intercepter toutes les communications (téléphone, fax, email…) venant et à destination de l'étranger. Le trafic électronique passera à travers des bornes qui équiperont tout le pays et sur lesquelles les services d'écoutes se brancheront pour récupérer les données échangées.

Les grandes oreilles suédoises seront dotées de logiciels de filtrage qui réagiront à des mots-clés. Normalement, ce dispositif ne concerne que les échanges avec l'étranger. Ses opposants craignent qu'il ne puisse également être utilisé contre les Suédois.

Tragique coïncidence : le gouvernement suédois vient d'annoncer qu'il va payer 3 millions de couronnes suédoises (319 444 euros) de dommages et intérêts à un ressortissant égyptien arrêté en Suède en 2001. Soupçonné de préparer des attentats terroristes, Mohammed Alzery avait été remis à des agents de la CIA américaine, expulsé et transféré en Egypte où il aurait été torturé. Il avait été relâché en 2003 par le gouvernement égyptien, qui n'avait trouvé aucune charge à retenir contre lui. Comme quoi un gouvernement démocratique peut facilement accuser par erreur une personne de terrorisme. (sources : Le Monde du 19 juin 2008 http://abonnes.lemonde.fr/cgi-bin/ACHATS/ARCHIVES/archives.cgi?ID=1b50f518997c8da62ecdbcccfaf14fab1c3c76b7761843d7 et le New York Times du 3 juillet 2008 http://www.nytimes.com/aponline/world/AP-Sweden-Exonerated-Suspect.html )

mercredi 27 février 2008

Surveillance Totale sur Internet

Mike McConnell, directeur des services de renseignement américains, a accordé une série d'entretiens à Lawrence Wright, du New Yorker (http://www.newyorker.com), et qui ont servi de base au long et passionnant portrait que cet hebdomadaire a publié dans son édition du 21 janvier 2008, sous le titre The Spymaster (le maître espion). Il y est, entre autres, question de la surveillance d'Internet. Citant Ed Giorgio, un des collaborateurs de Mike McConnell, le journaliste affirme que le gouvernement américain espère bientôt avoir les mains libres pour "examiner le contenu de tout courrier électronique, transfert de fichier ou recherche sur Internet.“ "Google possède des fichiers qui peuvent être utiles dans le cadre d'une cyber-enquête."

lundi 28 janvier 2008

Une conférence à écouter en ligne : 'Services & libertés. Demain, tous fichés ?'

Le 10 décembre dernier, l'Inria (Institut National de Recherche en Informatique et en Automatique) avait organisé, dans le cadre de ses 40 ans, une conférence sur le thème "Services & libertés. Demain, tous fichés ?"

Participaient à cette table-ronde, que j'animais* :

  • Barbara Cassin (Centre Léon Robin, CNRS - Université Paris 4, auteur de Google-moi)
  • Sébastien Canevet (spécialiste droit de l'Internet et des nouveaux médias)
  • Alex Türk (sénateur du Nord et président de la CNIL - Commission Nationale de l'Informatique et des Libertés)
(Peter Fleischer, responsable de la protection des données chez Google Europe, était également invité, mais, après avoir donné son accord, a dû se décommander)

Vous pouvez écouter cette conférence et en lire la retranscription écrite sur :

http://www.inria.fr/40ans/forum/video.fr.php#v5

  • en échange de mon aide dans la préparation de cette table-ronde et de son animation, l'Inria s'est engagé à faire un don à la Fondation de France.