Une menace à la vie privée?

Nos téléphones intelligents divulguent beaucoup de données personnelles… avec notre bénédiction! 

21 Mars 2017 à 14H23

Photo: iStock

Utilisez-vous davantage votre ordinateur portable ou votre téléphone intelligent? Depuis quelques années, on assiste à une migration de la vie numérique vers les téléphones mobiles, observe le professeur du Département d'informatique Sébastien Gambs. «On s'en sert de plus en plus pour accéder à notre courriel, à nos données bancaires et à plusieurs autres sites transactionnels.» Cette migration soulève toutefois des questions concernant la sécurité et la protection de la vie privée, auxquelles s'intéresse le chercheur, embauché à l'UQAM il y a un peu plus d'un an.

Qui dit téléphone intelligent dit applications. «Rares sont les personnes qui prennent le temps de lire les conditions d'utilisation de toutes les applications qu'elles téléchargent», souligne Sébastien Gambs. On se contente d'accorder les permissions demandées. Or, plusieurs applications collectent beaucoup plus de données que ce qui est nécessaire. «Certaines vont même jusqu'à copier vos contacts, la liste de vos déplacements, la liste des SMS que vous avez envoyés. Une étude française a démontré que plus de 30 % des applications demandent la permission de collecter les informations de géolocalisation, même si elles n'en ont pas besoin pour fonctionner.» Ces informations personnelles peuvent ensuite être monnayées auprès d'autres entreprises – pour les publicitaires, elles valent une petite fortune!

Sébastien GambsPhoto: Denis Bernier

Dans le cadre de ses recherches, financées par le CRSNG pour la période 2016-2021, Sébastien Gambs s'intéresse plus spécifiquement à ces données de géolocalisation. Celles-ci recèlent un potentiel d'inférence très important, explique-t-il, car les lieux que l'on fréquente permettent de déduire une foule d'informations sur qui l'on est, ce que l'on aime, où l'on habite, où l'on travaille, etc. «Je tente d'identifier et de quantifier les risques pour les individus si ces données venaient à fuiter, précise-t-il. Lorsqu'une application est un méga-succès, par exemple, il y a toujours un risque que sa base de données soit convoitée et donc piratée.»

La géolocalisation

Ses recherches l'amènent à se pencher sur les approches qui permettraient de minimiser l'échange de données personnelles. Prenons l'utilisation d'une application géolocalisée, illustre-t-il. Vous cherchez le resto le plus proche: votre appareil, positionné dans l'espace par GPS ou par signaux Wi-Fi, envoie vos données – votre position et votre requête pour trouver un resto – à l'entreprise qui fournit le service géolocalisé. Ce fournisseur renvoie alors les informations pertinentes à votre requête. «Les développeurs d'application pourraient intégrer des techniques cryptographiques avancées faisant en sorte que le fournisseur de service n'apprenne pas quelle est votre position exacte», suggère le chercheur, mais la manne que représente la collecte de données personnelles n'incitera sans doute pas les développeurs à emprunter cette avenue.

L'utilisateur n'est toutefois pas sans ressource: il peut installer une application proxy qui se place entre le système d'exploitation de son appareil et le tiers parti. «L'application en question récupère votre véritable localisation, mais au lieu de l'envoyer au fournisseur de service géolocalisé, comme dans l'exemple précédent, elle la modifie légèrement – disons de 500 mètres – avant de l'envoyer. Le fournisseur retourne les choix en fonction de cette position et comme votre téléphone connaît votre position réelle, il détecte les restos les plus près», explique le professeur.

«L'accès à des services gratuits a un coût: celui d'offrir nos données à une multitude de fournisseurs qui ne sont pas tous nécessairement rigoureux au sujet de la vie privée.»

Sébastien Gambs

Professeur au Département d'informatique

Une autre solution: utiliser des applications de géolocalisation payantes qui garantiraient aux utilisateurs qu'aucune position exacte ne serait transmise à un tiers. «L'accès à des services gratuits a un coût: celui d'offrir nos données à une multitude de fournisseurs qui ne sont pas tous nécessairement rigoureux au sujet de la vie privée», insiste-t-il. Le spécialiste espère que d'ici quelques années, les gens seront plus conscients des enjeux et qu'ils seront prêts à débourser pour protéger leur vie privée.

Le mouvement des données ouvertes

Si une partie de ses recherches visent une meilleure protection des données personnelles, Sébastien Gambs, comme d'autres chercheurs, se bute pourtant lui-même à des problèmes d'accès aux données. Car pour mener ses propres études, il a besoin… de données. «Certains étudiants acceptent de participer à des collectes de données, mais ces échantillons sont toujours trop petits pour être représentatifs de l'ensemble de la population», explique-t-il.

Il existe des bases de données publiques, comme celle mise sur pied à San Francisco, où les chauffeurs de taxi ont accepté qu'un GPS soit installé pendant un mois dans leur véhicule afin d'enregistrer tous leurs déplacements, autant professionnels que personnels. «De plus en plus, le mouvement pour les données ouvertes – open data – prend de l'ampleur, note-t-il. Plusieurs acteurs privés et gouvernementaux ont signifié leur intérêt à ouvrir leurs données au plus grand nombre dans le but de faciliter la création de nouvelles entreprises, de nouveaux services, de nouvelles applications, etc. Mais les défis sont nombreux.»

«Mon objectif n'est pas que les gens se privent de leur appareil et retournent à l'ère des cavernes. Je veux simplement les informer qu'il existe des solutions permettant de renforcer la sécurité informatique et de minimiser les échanges de données personnelles, tant du côté des développeurs que des utilisateurs.»

L'un de ces défis est d'anonymiser les données afin que l'on ne puisse pas les relier aux individus. C'est le mandat qu'a confié à des chercheurs, dont Sébastien Gambs, l'entreprise de télécommunications française Orange, qui compte plus de 260 millions de clients à travers le monde. «La compagnie possède des données de mobilité générées par les comptes rendus d'appels qu'elle doit obligatoirement fournir aux clients pour la facturation. Or, elle aimerait ouvrir sa base de données pour d'autres usages, mais elle doit trouver un moyen de les anonymiser», explique le professeur, qui avait amorcé ce projet alors qu'il était titulaire de la Chaire de recherche en sécurité des systèmes d'information, conjointe entre l'Institut national de recherche en informatique et en automatique et l'Université de Rennes 1, de 2009 à 2015. Avec les chercheurs d'Orange, le professeur a développé une méthode d'anonymisation des données dont il entend poursuivre le développement.

Enlever les informations nominatives – nom et prénom – n'est pas suffisant pour anonymiser des données, explique-t-il. «Votre lieu de résidence, par exemple, reviendra souvent parmi les données de géolocalisation. À partir de cette donnée, il me suffit de consulter un site comme Canada411 pour connaître votre identité, ou alors de poursuivre mes recherches. Les données géographiques de votre lieu de travail ne devraient pas être difficiles à trouver – vous vous y rendez chaque matin et en sortez chaque soir – et il ne risque pas d'y avoir plus d'une correspondance entre la rue où vous habitez et votre lieu de travail.»

Malgré le défi que représente l'anonymisation des données, Sébastien Gambs espère que d'autres entreprises ou organismes se joindront au mouvement des données ouvertes pour le bénéfice de la communauté de chercheurs. «Imaginez, par exemple, si la Société de transport de Montréal, portée par le milieu montréalais en faveur des données ouvertes, décidait d'ouvrir les données de mobilité de ses utilisateurs, illustre-t-il. Plusieurs chercheurs, mais aussi plusieurs entrepreneurs seraient ravis!»

Une bonne hygiène numérique

Le grand public n'est pas suffisamment sensibilisé aux périls liés à la sécurité informatique et à la protection de la vie privée, estime Sébastien Gambs. «Les gens ne font pas attention à toutes les mises en garde des experts, sauf lorsqu'il y a une grosse histoire de fuite, comme celle du site de rencontre Ashley Madison», déplore-t-il.

Une bonne hygiène numérique – choisir de bons mots de passe, savoir éviter les tentatives d'hameçonnage – est un bon début. «Mon objectif n'est pas que les gens se privent de leur appareil et retournent à l'ère des cavernes, dit-il en riant. Je veux simplement les informer qu'il existe des solutions permettant de renforcer la sécurité informatique et de minimiser les échanges de données personnelles, tant du côté des développeurs que des utilisateurs.»

PARTAGER
COMMENTAIRES 0 COMMENTAIRE