Garry Kasparov étudie la façon dont les réglementations peuvent nous protéger et l'importance du développement de bonnes habitudes personnelles en matière de cybersécurité.
J'ai parlé des politiques et des droits de l'homme à l'occasion d'un forum important à New York, en mai dernier, et parmi mes pairs figuraient de nombreux politiciens et universitaires, en exercice ou à la retraite, présents pour parler de tous les sujets, de la Corée du Nord à la liberté de la presse, en passant par la cybersécurité. Mike Rogers, ancien membre du Congrès aux États-Unis, en faisait partie. Il a décrit avec maîtrise les nombreux risques que nous encourons dans le contexte numérique actuel, à la fois au niveau de la sécurité personnelle et de la sécurité nationale. En tant qu'ancien Président de la Commission House Intelligence Committee, il a été confronté à ces questions urgentes au quotidien. (Malheureusement, la Commission est devenue un lieu d'affrontement politique, une situation très dangereuse car la sécurité ne devrait pas être un problème de partis).
J'ai beaucoup apprécié écouter Rogers parler d'une grande partie des thèmes que j'ai évoqués, notamment les dangers présentés par les acteurs à l'échelle nationale qui considèrent le piratage agressif comme une priorité nationale. Rogers a cité la Russie, la Chine, l'Iran et la Corée du Nord comme les sources les plus communes de ces menaces, dont les objectifs visent à rassembler des renseignements, à dérober des études et de l'argent et, dans certains cas, à provoquer des dommages physiques en sabotant des systèmes comme les réseaux électriques.
Rogers a également abordé la sécurité et la confidentialité des particuliers, apportant une perspective amusante pour éclaircir ses propos. Il a demandé à l'audience qui était « l'espion le plus célèbre de l'histoire » et a apporté une poupée Barbie. La version « Hello Barbie » est sortie en 2015 et pouvait parler aux enfants en utilisant le Wi-Fi et la reconnaissance vocale. Deux problèmes ont été mis en exergue. D'abord, le jouet a collecté beaucoup d'informations personnelles au cours de ces conversations. (« Parle-moi de ta famille ! ») Ensuite, des défaillances en matière de sécurité ont été découvertes qui permettraient aux pirates d'accéder aux données des utilisateurs, transformant effectivement Barbie en une super-espionne de maison.
L'année dernière, une autre poupée connectée, appelée Cayla, a été bannie en Allemagne pour des questions de confidentialité, qui sont bien sûr renforcées lorsqu'il s'agit de protéger des enfants. Il y a quelques jours, une situation similaire a forcé des revendeurs américains majeurs à interrompre la vente d'un jouet CloudPets, après que Mozilla Foundation a contesté ses capacités d'espionnage et ses violations de données. Ces cas ont attiré l'attention, mais le problème principal réside dans le manque de normes pour informer les utilisateurs et de responsabilité quand les choses tournent mal. Comme l'a dit un représentant de Mozilla, « Certains jouets intelligents sont plus performants en termes de sécurité que d'autres, mais nous avions l'impression que CloudPets était un exemple flagrant. Notre objectif était d'entrer en contact avec les revendeurs pour nous assurer qu'ils savaient exactement quel type de produit ils vendaient. »
Un rapport (lien en anglais) cite des avis en ligne sur Hello Barbie qui illustrent parfaitement les avertissements de Rogers et moi-même, à savoir que les consommateurs s'inquiètent plus des fonctionnalités et de « gagner deux secondes », pour reprendre les termes de Rogers, que de leur vie privée. « De nombreux parents ont malgré tout décidé d'acheter la poupée. "J'ai lu les articles sur le piratage mais, désolé de vous le dire, si Big Brother veut espionner, il le fait déjà à travers votre smartphone." » À chaque fois qu'un consommateur a de tels propos, un pirate prend de l'ampleur...
Paradoxalement, nous nous préoccupons beaucoup moins de notre confidentialité en tant qu'adultes, alors que nous avons beaucoup plus d'informations précieuses à protéger. Nous ne semblons pas non plus avoir davantage de retenue que les enfants qui exigent le tout dernier jouet à la mode. Nous téléchargeons des applications et des mises à jour, cliquons sur les informations de sécurité sans arrêt et sommes tout de même choqués quand les médias dévoilent le nombre d'informations personnelles que ces applications collectent et revendent à d'autres entreprises et organisations politiques.
Nous possédons même des espions de maison de nature moins amusante, c'est-à-dire des appareils beaucoup plus populaires et éventuellement plus intrusifs que n'importe quel jouet. Lorsque Rogers a posé sa question rhétorique concernant « l'espion le plus célèbre au monde », de nombreuses personnes du public ont murmuré « Alexa ! », l'assistante virtuelle omniprésente installée sur les appareils Echo d'Amazon, ainsi que les téléphones et n'importe quel appareil informatique. Ajoutez Siri d'Apple, Google Home, Cortana de Microsoft et vous verrez que nous sommes quasiment tous entourés par ces assistants virtuels. Des incidents amusants comme le dernier épisode de South Park qui s’est servi d’Amazon Echo et de Google Home pour rendre fou les téléspectateurs, et d'autres moins amusants se sont déjà produits avec ces appareils.
La compétition farouche entre ces géants américains de la technologie implique deux circonstances opposées. La première, c'est qu'ils travailleront sans relâche pour garantir la sécurité car toute violation entraînerait la perte de clients pour la concurrence. La seconde concerne l'urgence d'introduire de nouveaux appareils et fonctionnalités pour garder une longueur d'avance sur la concurrence, ce qui conduit inévitablement à des failles de la sécurité. C'est un équilibre délicat à obtenir qui peut basculer en fonction de la réaction des consommateurs et du gouvernement face à des violations de la sécurité et de la confidentialité. Si les entreprises constatent qu'elles ne sont pas sanctionnées pour des failles de la sécurité, elles feront peu d'efforts pour les empêcher. C'est la loi du libre marché, pour le meilleur et pour le pire.
Le bon sens veut que plus ces appareils deviennent communs, plus les problèmes de sécurité le deviennent aussi. Mais, comme souvent, le bon sens n'est pas entièrement juste. Il est probable que plus d'incidents se produisent au début mais, paradoxalement, il y a de fortes chances que le pourcentage de problèmes baisse au fil de l'évolution et de la normalisation des technologies. Les règlementations seront plus claires, les consommateurs et les entreprises connaîtront leurs obligations et les risques, et la chaîne de responsabilité ne sera plus si obscure.
Cette tendance me rappelle ce que les chercheurs en structure du trafic appellent le « Dutch cycling effect » ou, plus généralement, la sécurité au niveau des chiffres. Dès que des villes envisagent d'ajouter plus de pistes cyclables, les détracteurs clament qu'il y aura plus d'accidents. Et, même si une hausse initiale peut être observée dans les chiffres bruts, les études montrent que le pourcentage d'accidents par cycliste baisse et donc les chiffres eux-mêmes commencent à baisser, eux aussi. Si les conducteurs et les piétons s'habituent aux cyclistes et si les lois et les pratiques s'adaptent à eux, tout le monde peut circuler en sécurité. Les conducteurs circulant dans des villes comptant relativement peu de cyclistes, comme New York, ne s'attendent généralement pas à rencontrer des vélos, n'y font pas attention et ne savent pas qui a le droit, la possibilité ou la responsabilité d'interagir avec eux. Mais à Amsterdam ou Copenhague, où les vélos sont aussi voire plus nombreux que les voitures sur la route, tout le monde connaît les règles et les conventions sont en vigueur et respectées. (Sauf par les touristes étrangers, souvent surpris par les autoroutes à vélos.)
Ces mesures créent un cercle vertueux alors que la sécurité renforcée aboutit à l'augmentation du nombre de cyclistes. Ou, pour terminer cette métaphore filée, elle aboutit à l'augmentation de l'adoption d'appareils numériques par les consommateurs qui constatent leur sûreté et comprennent le « code de la route » numérique pour leur propre sécurité et celle des données.
Nous n'y sommes pas encore mais, à en juger par la récente vague de nouvelles conditions générales publiées par tous les sites et services, nous avançons à grands pas. Ces initiatives surviennent en réponse au Règlement général sur la protection des données, ou RGPD, entré en vigueur le 25 mai 2018. Il est probable que des changements et des améliorations aient lieu, comme c'est le cas quand de nouvelles lois si vastes et globales entrent en vigueur, mais c'est un bon début pour encourager les entreprises à se responsabiliser afin de sensibiliser davantage les utilisateurs et leur donner plus de contrôle sur leurs propres données. Ma prochaine rubrique se concentrera sur les avantages et les inconvénients du RGPD et d'autres législations. Plus important encore, ce règlement ne libère pas les consommateurs de leur responsabilité à rester informés et actifs concernant leur confidentialité et sécurité. Les informations ne valent pas grand-chose si elles ne sont pas exploitées.
Les réglementations peuvent contribuer à notre protection à tous sur le long terme mais elles sont aussi essentielles au développement de bonnes habitudes personnelles en matière de cybersécurité, tout comme un conducteur ou un cycliste expérimenté développe de bonnes habitudes. Même si brûler un feu rouge est illégal, vous devez quand même regarder des deux côtés avant de traverser. Autrement, même si la loi peut tenir le conducteur pour responsable de l'accident, c'est une maigre consolation si vous vous retrouvez aplati comme une crêpe sur l'autoroute de l'Internet.
Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières nouvelles, n’oubliez pas de nous suivre sur Facebook, Twitter et Google+.