PrivacyTools.io

La différence entre confidentialité, sécurité et anonymat, expliquée

La différence entre confidentialité, sécurité et anonymat, expliquée

Qu’est-ce que la confidentialité ? Wikipédia décrit la confidentialité comme “la capacité d’un individu ou d’un groupe à s’isoler, ou à isoler les informations le concernant, et ainsi à s’exprimer de façon sélective”, et je serais largement d’accord pour dire que la définition proposée correspond au modèle. Je suggérerais toutefois une autre définition en plus. “La confidentialité permet à tous les autres dans le monde de voir votre vie à travers un objectif sélectif de votre choix.” Cela signifie avoir le choix de ne pas laisser vos voisins consulter les informations de votre compte bancaire. Cela signifie n’afficher que certaines informations de votre profil Facebook au grand public. Et cela signifie avoir des rideaux aux fenêtres de votre chambre pour dissimuler vos actes sexuels aux regards extérieurs. Dans les milieux de la sécurité de l’information, la confidentialité est souvent synonyme de chiffrement, tandis que l’anonymat touche davantage au transport et à la découvrabilité des informations d’une personne.

Bon, alors qu’est-ce que la sécurité ? La sécurité est ce qui nous protège. La confidentialité est l’idée, la sécurité est le moyen. Dans le monde en ligne, la sécurité est ce qui protège nos informations des pirates, des voleurs, du Jean assis à côté de vous au café, et même des organismes gouvernementaux qui veulent un peu plus de contrôle. Elle englobe un large éventail de “choses” que nous utilisons pour garder nos données conformes aux règles de confidentialité que nous, ou les organisations et services que nous utilisons, définissons. La sécurité, ce serait des choses comme le chiffrement ou les mots de passe robustes. La confidentialité, ce serait ne pas laisser un collègue vous regarder taper ces mots de passe.

D’accord, et l’anonymat alors ? La confidentialité et la sécurité sont très étroitement liées, et l’anonymat n’est que l’oncle éloigné qui débarque toujours à la fête en chaussettes et sandales. Je dis cela parce que tout le monde se moque de lui au début, jusqu’à ce qu’il se mette à pleuvoir et que tous regrettent de ne pas avoir ses belles chaussettes de laine bien chaudes aux pieds pour les protéger. L’anonymat est le concept de ne pas être identifiable comme votre vrai vous en ligne. Il semble avoir très mauvaise réputation parce que beaucoup de pirates et de criminels en ligne sont qualifiés d’anonymes. Mais c’est aussi une chose très positive. Comme dans les cas où un adolescent qui s’interroge sur sa sexualité veut cacher ses activités en ligne à ses parents ou à son école jusqu’à ce qu’il soit prêt pour ce grand moment du coming out. Ou pour un policier en mission d’infiltration qui démantèle un réseau de pédopornographie. D’innombrables personnes dans le monde utilisent l’anonymat sous une forme ou une autre chaque jour. En note finale, je pense qu’il est aussi important de comprendre que l’anonymat n’est pas toujours important seulement pour les gens en tant qu’individus, mais pour les gens en tant que collectif. Pour avoir un système démocratique véritablement ouvert, l’anonymat joue un rôle énorme. Il nous accorde la liberté d’expression, nous permet de questionner sans répercussions négatives, et nous donne un moyen par lequel nous avons le choix.

Laissez-moi expliquer plus en détail..

D’après les discussions que j’ai eues avec des gens par le passé, je ne pense pas que simplement expliquer ce que sont la sécurité, la confidentialité et l’anonymat suffira à beaucoup des lecteurs qui parcourent The Crypto Paper. Je pense qu’une partie de cela vient de l’état d’esprit qu’ont les gens en utilisant internet, mais je pense aussi qu’une partie tient au fait que les gens ne savent tout simplement pas à quel point la question de la confidentialité et de la sécurité est grave. Laissez-moi donner une explication plus développée.

La raison principale de la présence de rideaux, stores ou voilages sur les fenêtres de notre maison est d’empêcher les gens de voir à l’intérieur. La raison pour laquelle nous ne voulons pas qu’ils voient à l’intérieur, c’est que nous considérons comme privé une grande partie de ce que nous faisons chez nous. Que ce soit dîner à table, regarder un film avec vos enfants, ou même avoir des rapports intimes ou sexuels avec votre partenaire. Rien de tout cela n’est illégal, loin de là, mais même en le sachant, nous gardons quand même les rideaux et les stores à nos fenêtres. Nous avons clairement ce fort désir de confidentialité quand il s’agit de notre vie personnelle face au public. La même chose vaut pour nos affaires personnelles dans des lieux pas si personnels, comme utiliser un distributeur automatique (avec votre carte de débit) ou payer par carte dans une épicerie (un lieu pas si personnel). Il serait stupide de ne pas masquer votre code pendant que vous le saisissez, ou de ne pas vérifier que la personne à côté de vous dans la file ne vous filme pas pendant que vous le tapez. Vous gardez votre code confidentiel, ce qui augmente directement votre sécurité personnelle. Même si nous ne sommes pas consciemment prudents avec ces choses-là, notre subconscient assure nos arrières la plupart du temps. Pensez à ceci : s’il y avait 5 ou 6 individus à l’air patibulaire en train de plaisanter près du distributeur à l’entrée d’une banque, pensez-vous que beaucoup de femmes venues retirer de l’argent se sentiraient à l’aise d’entrer pour faire l’opération ? Ou pensez-vous qu’elles attendraient peut-être que le groupe s’en aille ? De tant de façons nous avons cette considération et ce désir de sécurité et de confidentialité, puis nous entrons dans un environnement numérique, nous commençons vraiment à exploiter les capacités d’internet, et beaucoup d’entre nous jettent tout cela par-dessus bord.

Il est difficile de penser à toutes les façons dont nous livrons nos informations très personnelles au monde, tout en gardant cette croyance que cela “doit forcément être sûr. Juste parce que.”, alors voici quelques exemples :

  • Beaucoup de terminaux de paiement et de distributeurs automatiques n’utilisent que l’algorithme de chiffrement 3DES pour protéger vos informations financières. 3DES a été développé dans les années 1970 et est nettement plus faible que le nouvel algorithme AES, cryptographiquement bien plus solide. http://blog.erratasec.com/2013/12/target-displays-its-incompetence.html
  • Vous payez une commande sur catalogue en appelant l’entreprise et en leur donnant votre numéro de carte de crédit par téléphone. Le représentant vous relit ensuite le numéro pour vérification.
  • Vous gardez un agenda dans votre sac avec vos mots de passe notés dedans.
  • Vous utilisez le même code pour déverrouiller votre téléphone que celui de votre carte de débit ou de crédit.
  • Vous utilisez la même adresse e-mail pour votre banque en ligne, PayPal, iCloud (des comptes importants) que celle que vous donnez au caissier pendant vos courses.
  • Vous avez envoyé par message à quelqu’un un mot de passe, une information financière, un numéro de sécurité sociale.
  • Vous utilisez moins de 5 mots de passe différents pour tout en ligne.

J’aurais aimé pouvoir enregistrer les réactions du visage des gens pendant qu’ils lisent la liste à puces ci-dessus. Je suis curieux de savoir combien d’entre vous ont parcouru les 7 points et se sont dit tout bas “ouais, moi aussi je fais ça”. Mais ce ne sont typiquement pas des choses que nous considérons comme peu sûres. Vous avez supprimé ce message envoyé à votre mari contenant votre numéro de sécurité sociale, donc vous devez être à l’abri, non ? Pas tout à fait. Le monde numérique est si vaste et se compose de nombreux “niveaux”, faute d’un meilleur mot. Vous, en tant qu’utilisateur d’internet, seriez un niveau, un administrateur système travaillant sur le serveur de votre banque serait un autre niveau, votre banque elle-même serait un autre niveau, les gens qui fixent les règles et réglementations pour cette banque un autre, et les organisations gouvernementales de haut niveau sont généralement le niveau final tout en haut. Donc même quelque chose d’aussi simple que de se connecter à votre compte bancaire peut potentiellement toucher des tas de ces “niveaux”. C’est à la fois bon et mauvais. D’un côté, cela signifie que nos informations sont surveillées par un nombre variable de personnes, d’entreprises et d’organisations, il n’y a pas de meilleure façon de déterminer les failles de notre sécurité. Mais de l’autre côté, PUTAIN ! NOS INFORMATIONS (que nous voulons probablement garder privées) SONT SURVEILLÉES PAR ON NE SAIT COMBIEN DE PERSONNES, D’ENTREPRISES ET D’ORGANISATIONS DIFFÉRENTES. Vous ne sortiriez probablement pas de chez vous pour aller travailler en disant à votre voisin “Ouais, j’ai eu un sexe vraiment génial hier soir avec ma fiancée !” Mais… vous enverriez peut-être ça par SMS à un meilleur ami, là où l’une de ces personnes ou organisations pourrait bien y jeter un œil ? Et c’est là que cela n’a pas vraiment de sens.

La NSA (National Security Agency) mène un programme appelé Dishfire qui collecte jusqu’à 200 millions de messages texte par jour d’utilisateurs partout dans le monde. Pour référence, voir ici : http://www.theguardian.com/world/interactive/2014/jan/16/nsa-dishfire-text-messages-documents, ici : https://en.wikipedia.org/wiki/Dishfire, et ici : http://www.belfasttelegraph.co.uk/technology/gchq-given-access-to-us-dishfire-system-that-reads-hundreds-of-millions-of-text-messages-from-around-the-world-according-to-nsa-documents-leaked-by-edward-snowden-29924715.html

Cela signifie que le message texte que vous avez envoyé à votre pote au sujet de ce sexe merveilleux a pu être lu par un membre de la NSA ou du GCHQ britannique équivalent (auquel elle a accordé un accès presque sans restriction aux données de Dishfire). Réfléchissez-y une seconde. Quelqu’un que vous ne connaissez même pas, d’un pays que vous n’avez peut-être jamais visité, est au courant de votre vie sexuelle, tout ça parce que vous l’avez envoyé par message à un ami. Et ce n’est que le début ! La rumeur veut que la NSA dispose d’un programme capable de parcourir internet et de miner (collecter) des quantités massives de données pour une analyse ultérieure. Vu la nature classifiée de vraiment tout ce que la NSA a en sa possession, nous ne savons évidemment pas quelles informations, ni quelle quantité d’informations, sont collectées (si tant est qu’il y en ait), mais à en juger par la taille du centre de données de la NSA (https://nsa.gov1.info/utah-data-center/udc-photo.html), je dirais une quantité astronomique contenant la somme de TOUT. On n’a pas un centre de données aussi grand sans raison.

Si cela ne vous dérange pas qu’un membre de votre gouvernement puisse voir tout ce que vous faites en ligne, lire les messages texte que vous envoyez, ou même écouter les appels que vous passez, cela devrait vous effrayer de savoir que des entreprises comme votre fournisseur d’accès à internet ou votre opérateur mobile en ont probablement aussi la capacité. Voir : http://hotair.com/archives/2015/08/16/attverizon-nsa-partnership-shows-why-government-and-businesses-shouldnt-mix/ et http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order “Mais ils le font seulement pour nous protéger ! Et puis, je n’ai rien à cacher !”. Ce sont des affirmations que vous pouvez faire, mais elles reposent en réalité sur un terrain faux. Pensez à l’argument que j’ai avancé plus tôt au sujet des stores et des rideaux de votre maison. Ils vous protègent et vous permettent de vaquer à votre vie quotidienne en privé. Non pas que nous fassions un secret de quoi que ce soit dans notre vie, ni que nous fermions les rideaux uniquement pour pouvoir commettre des actes illégaux. Nous les utilisons parce que nous n’aimons pas le fait qu’un passant, la nuit, puisse voir, observer et même enregistrer tout ce que nous faisons. Imaginez ce que ce serait sans ces stores. Vous sentiriez-vous encore à l’aise de faire beaucoup des mêmes activités que vous faites ? Vous masturberiez-vous encore dans votre chambre avec vue dégagée pour les voisins depuis la fenêtre de leur cuisine ?

Alors si nous n’allons pas donner au public un accès tout prêt aux détails de notre vie quotidienne, pourquoi faisons-nous une exception pour nos gouvernements ? Parce que techniquement, ces mêmes gouvernements pour lesquels nous faisons des exceptions sont composés de ces individus issus de ce même public dont nous ne voulons pas qu’il connaisse et voie ces informations. Ce sont des gens dont nous ne pouvons pas vérifier les intentions ou les motivations. Ils pourraient surveiller le moindre de vos gestes (avec ou sans le consentement de leurs supérieurs) et vous n’en sauriez rien. Il en va de même pour les individus présents dans la même pièce que la dame à qui vous avez lu les informations de votre carte de crédit en passant cette commande sur catalogue par téléphone. Y avait-il quelqu’un d’autre dans la pièce, mal intentionné, en train de noter le numéro, la date d’expiration et le code CVV pendant que ce représentant vous les relisait pour “vérification” ? J’imagine qu’il vous faudra accepter le fait que vous ne le saurez jamais et faire confiance aux personnes de votre banque pour vous alerter si quelque chose dérape.

Voilà pourquoi la confidentialité et la sécurité comptent. Voilà pourquoi nous devons mettre en place un chiffrement fort et NE laisser personne avoir une porte dérobée dans le code. Même si nous pouvons avoir de bonnes intentions en tant qu’individus, nous ne pouvons pas nous appuyer sur l’hypothèse que d’autres individus partageront ces mêmes intentions. Si nous ne tenons pas les entreprises qui stockent nos informations personnelles (comme notre banque, PayPal, Facebook, etc.) pour responsables et comptables de la protection de nos informations et de notre identité, nous avancerons de plein gré vers l’inconnu. Vers une ère numérique où il est plus courant qu’un observateur au hasard en sache plus sur votre vie personnelle, vos finances et les informations de vos comptes qu’un autre membre de votre famille. Mozilla l’a dit le mieux : la confidentialité vous laisse être vous. https://advocacy.mozilla.org/encrypt/social/1

Alors gardez cela en tête pendant que vous lisez le reste de ce texte. Je n’ai pas beaucoup expliqué avec des exemples précis “pourquoi” vous avez besoin de la sécurité, de la confidentialité et même de l’anonymat présentés dans les 50 pages qui suivent… mais cela ne devrait pas relever de la science des fusées. Nous ne pouvons pas vraiment supposer que les portes dérobées, la surveillance gouvernementale et les mesures de sécurité mal conçues nous protègent juste parce que nous faisons confiance aux gens qui les utilisent et les mettent en place, si ? Parce que si c’est le cas, alors vous devriez jeter un œil à cette fuite qui a compromis 20 000 employés du FBI et 9 000 du DHS, et imaginer à quel point votre vie serait en sécurité si vous la laissiez entre les mains de quelqu’un d’autre : https://motherboard.vice.com/read/hacker-plans-to-dump-alleged-details-of-20000-fbi-9000-dhs-employees

À regarder : https://www.youtube.com/watch?v=VPBH1eW28mo. Cela explique les serrures + la technologie.

À regarder : https://www.youtube.com/watch?v=V9_PjdU3Mpo. Cela explique la surveillance de masse.