Vous l’avez peut-être su, la compagnie de pièces informatique NCIX a fait faillite l’hiver dernier. Ce que vous n’avez peut-être pas vu passer, c’est que semblerait-il, le data de tous les serveurs serait à vendre, incluant des transactions, des mots de passe en md5 non salés, des t4, des NAS et des numéros de carte de crédit!

Pas besoin de faire un dessin, le fait que cette information soit en vente sur internet est alarmant, mais outre l’information qu’il est illégal de vendre de ces serveurs, le data légal pose aussi un problème…

En effet, les serveurs et sauvegardes (sauvegardes) à vendre semblent contenir l’entièreté des transactions de NCIX, une information qui peut être pratique pour un éventuel compétiteur pour avoir une étude de marché pratiquement parfaite (et à faible coût!). Par contre, si cette information venait à tomber entre de mauvaises mains, elle pourrait être utilisée pour la création de courriels d’hameçonnage qui utiliseraient de l’information véritable sur vos achats pour se légitimer. Cela soulève des questions importantes sur la manière que nous avons de récolter et de sauvegarder le data, ainsi que sur nos habitudes en ligne.

En fait, l’information des ventes de NCIX n’aurait pas été si grave si de bonnes mesures avaient été prises pour que l’information sensible ne soit pas ainsi exposée. L’information aurait pu servir à de la publicité ciblée ou à de l’hameçonnage, mais pas vraiment plus.

 

Un problème plus près de nous qu’on pourrait le croire…

Et si Snapchat était la prochaine entreprise à voir son data en vente dans le cas d’une faillite? Après tout, Snapchat vient d’enregistrer une baisse d’utilisation, ce pourrait être la première étape d’une longue mort pour le réseau social.

Bon, Snapchat jure que les photos sont belles et bien supprimées du serveur, mais le tout  comprend probablement d’éventuelles sauvegardes, qui ne sont pas accessibles présentement, qui pourraient l’être en cas de faillite.

De plus, notons que la seule manière efficace de supprimer de l’information d’un disque dur c’est de le détruire physiquement! C’est ainsi que l’armée procède, et aussi pour cette raison que l’article de Snapchat termine en mentionnant d’y penser à deux fois avant de snaper des secrets d’État….

Imaginons que les informations de Snapchat, un réseau social notoire pour son contenu explicite, tombent à vendre : il devient très facile pour certains mauvais acteurs de faire chanter d’anciens utilisateurs. Que ce soit pour des tentatives d’extorsions ou à des fins de salissage politique, l’information qu’on y retrouverait pourrait être potentiellement très dommageable.  Une brèche de sécurité a permis à des pirates de retrouver des photos dans des iCloud de plusieurs célébrités, il y a de cela quelques années. Parmi celles-ci figuraient plusieurs photos à caractère explicite, causant un chaos général dans plusieurs réseaux sociaux pour en stopper la dissémination. Une faillite de Snapchat serait vraisemblablement plus grave.

 

Quant aux géants…

Pire que Snapchat serait la vente de faillite d’entreprise dont le modèle d’affaires est la collection de données. Je doute que Google ou Facebook fassent faillite demain, mais le tout demeure une possibilité dans un futur plus ou moins rapproché.

Après tout, il y a de cela quelques années, les géants de l’internet social étaient Digg, Livejournal et Blogspot! Une telle chute n’est pas sans précédent. Un de ces réseaux, livejournal, a d’ailleurs été acheté par une compagnie Russe et a déjà été utilisée comme preuve pour emprisonner des dissidents politiques.

Bref, que se passe-t-il si cette information tombe dans les mains d’individus, ou gouvernement à la morale douteuse? L’information qui est(était) publique sur Facebook semble avoir déjà été utilisée pour influencer l’élection américaine, qu’est-ce que Cambridge Analytics aurait pu faire s’ils étaient tombés sur l’entièreté du data?

 

Photo by fotografierende on Unsplash

La loi

Peut-être une petite lueur d’espoir, l’Europe a récemment mis en place une série de lois concernant la protection de la vie privée sur internet(le GDPR). Cela nous affecte indirectement puisque les géants faisant affaire en Europe doivent s’y plier. Je pourrais donc faire valoir mon droit d’être oublié pour demander à Google, par exemple, d’effacer complètement l’information qu’il y a sur moi, ou de ne plus afficher un résultat de recherche me concernant. C’est un pas dans la bonne direction! Mais, comme la loi n’oblige pas à me supprimer des sauvegardes(puisque ce serait complètement impraticable comme demande), cela ne sauve personne du cas de NCIX.

Outre cette loi, il ne semble pas vraiment y avoir de loi pour protéger l’utilisateur à ce niveau, sauf si une clause dans la politique de vie privée d’un site promet de ne jamais vendre l’information recueillie. Ce fut le cas de True.com et de Radioshack, deux compagnies ayant une telle clause dans leur politique, qui ont tenté de la briser et se sont fait refuser en cours.

 

Plus ça change…

Ce n’est pas la première fois qu’un tel flot d’information se retrouve au beau milieu d’une controverse éthique et politique. En effet, lors de la chute de l’URSS, les nouvelles démocraties naissantes ont eu à faire un choix sur les informations récoltées par les agences secrètes des gouvernements précédents. L’information doit-elle être supprimée pour conserver la vie privée des dissidents politiques sous-surveillance? Est-ce que l’information doit être conservée  ? Doit-elle être accessible au public? La question est complexe à résoudre. L’Ukraine a passé une loi en 2015 concernant la publication de ces informations 25 ans après les faits. Adoptant une politique similaire à celle de l’Allemagne, l’information personnelle ne serait donnée uniquement qu’à la personne concernée ou des membres de la famille.

Les choix de l’Allemagne et de l’Ukraine concernant l’utilisation des informations ont été faits dans des cadres politiques. Les débats face à ce déluge d’informations personnelles ont été longs et semblent, somme toute, avoir mené à des choix éclairés. Ce que l’internet fait avec votre information vient de réalités physiques et budgétaires. Il est impossible d’effacer définitivement des informations d’un disque dur sans utiliser un marteau. Pour plusieurs entreprises, votre information personnelle est la chose ayant le plus de valeur qu’elles possèdent. Ces deux réalités mises ensemble semblent pointer vers le fait que toute information récoltée sera un jour à vendre. Mais maintenant que le chat est sorti du chapeau, il semble presque impossible de le faire entrer à nouveau, car nos appareils politiques ne sont tout simplement pas faits pour suivre la vitesse de l’évolution des technologies.

 

Où sont vos informations?

La question se pose :  y a-t-il trop d’informations sur nos vies personnelles sur internet? Règle générale, chaque action que vous posez sur un serveur quelque part est sauvegardée à jamais. Cette information va probablement se retrouver à vendre un jour l’autre.

Si les gouvernements de l’Ukraine et de l’Allemagne ont décidé que l’information que leurs prédécesseurs avaient accumulée serait conservée et régulée par un organisme, le zeitgeist de l’internet semble avoir décidé que l’information qu’il collecte est conservée à jamais et vendue au meilleur acheteur.

 

Autres articles

Plateformes gratuites de photos libres de droit : pourquoi pas!

Utiliser le même contenu sur plusieurs plateformes sociales : ingénieux ou paresseux?

Assistant(e) en communication-marketing