Garry Kasparov, expert en IA, dévoile la terrible vérité sur la sécurité des données aujourd'hui et explique comment changer la donne.
En repensant à une journée de novembre où, comme souvent, je sillonnais Manhattan pour me rendre à une réunion matinale, à un déjeuner puis à l'école de ma fille, je me suis vu comme un tout petit point sur une carte de la ville. Comme si je clignotais en rouge ici, puis là, tout au long de la journée. Regroupés et croisés avec les autres données que je produis à travers par exemple les appels téléphoniques, les transactions bancaires, entre autres, ces points pourraient être facilement reliés par des traits en suivant mes mouvements pour devenir une représentation visuelle des activités de ma journée.
Je ne pensais pas à un scénario de science-fiction tiré par les cheveux. Ce type précis d'image interactive a été utilisé dans l'enquête récente du New York Times concernant la collecte des données de millions d'Américains par les applications de localisation. Les images surprenantes montrent les utilisateurs suivis dans les écoles, les hôpitaux, les postes de police et les maisons, sans aucun véritable système de consentement ou de surveillance. L'article a ouvert un vaste débat, marquant une première étape essentielle vers les réformes et réglementations nécessaires mais nous ne pouvons pas attendre des rapports opportuns pour amorcer notre approche de la confidentialité. Un phénomène aussi important exige une approche plus proactive.
J'aimerais d'abord signaler un point essentiel du rapport que j'ai rédigé précédemment : en tant qu'individus, nous devons nous-mêmes être proactifs en ligne. Nous ne devrions pas prendre le langage proposé par les développeurs au pied de la lettre. La plupart du temps, les messages qui demandent notre consentement pour activer le suivi de la localisation omettent des informations cruciales concernant l'utilisation des données. Apple, par exemple, demande uniquement aux développeurs d'indiquer une utilisation pertinente des informations, comme la surveillance du trafic ou la réception d'informations météorologiques locales. La vente ultérieure de ces données de localisation à des tiers, que ce soit des publicitaires ou pour des fonds spéculatifs, n'est indiquée dans quasiment aucun texte. Cette information est au contraire dissimulée quelque part dans les politiques de confidentialité hautement techniques auxquelles l'utilisateur lambda ne comprend pas grand-chose, même celui qui prend la peine de lire l'ensemble du texte avant de cliquer sur OK. Par conséquent, tout le monde devrait envisager le pire en choisissant de partager les données avec des développeurs ; il est fort probable qu'elles seront transmises, stockées et, quelle que soit l'intention de départ, piratées.
J'ai mentionné dans cet article un autre problème qui ne suscite peut-être pas l'intérêt qu'il mériterait : le problème de la sécurité et de la responsabilité dans les plus petites entreprises. Bien sûr, nous devons continuer à nous méfier des géants de la technologie connus qui ont accès à une mine de données de consommateurs, mais leurs homologues moins connus présentent souvent des risques encore plus importants. Parce qu'ils font moins la une, ils sont plus susceptibles d'utiliser des données de façon suspecte. Ils peuvent également avoir moins de ressources en place pour appliquer des pratiques de sécurité et de confidentialité à travers leurs activités. Ces facteurs concourent à placer les données sensibles dans les mains de plus petits acteurs, ce qui est beaucoup plus dangereux que de les transmettre à Google ou Facebook.
Apple et Google exercent notamment un immense pouvoir en tant que gardiens de leurs magasins d'applications respectifs et, c'est bien connu, un grand pouvoir implique de grandes responsabilités. Devraient-ils bannir des applications ou des sociétés entières qui enfreignent les normes en termes de confidentialité ? Après combien de délits ? Il est facile de rejeter la faute et d'espérer que le public oublie tout d'ici la prochaine histoire de ce type. Nous manquons cruellement de normes et de réglementations communes pour pouvoir les appliquer.
Ce qui m'inquiète également, et qui n'a pas encore pris trop d'ampleur, c'est la façon dont l'intelligence artificielle va s'intensifier et accélérer ces menaces. Les algorithmes actuels sont déjà puissants en termes de triangulation des dénominateurs communs à partir de points de données disparates. Au fil du temps, ils vont devenir de plus en plus intelligents et rapides et, si nous continuons à leur fournir plus de données, les conséquences peuvent devenir assez rapidement tragiques. Je suis le premier à dire que l'IA apportera beaucoup de points positifs en détectant des connexions et des relations de cause à effet cachées, notamment dans les données sur la santé, mais son côté obscur ne peut être ignoré. Les algorithmes qui en savent plus sur nous et nos comportements que nous-mêmes sont trop puissants pour qu'on puisse les laisser sans surveillance. Ils doivent au moins rendre des comptes en cas d'abus.
Les mesures que les entreprises prennent aujourd'hui pour protéger les consommateurs des violations de leur confidentialité ne sont pas adaptées aux capacités actuelles de l'IA, et encore moins dans l'avenir proche. Les entreprises peuvent affirmer protéger leurs utilisateurs en ne collectant pas de données telles que les noms, les e-mails et les adresses, en obscurcissant les données pour qu'elles soient moins précises ou en les supprimant après une certaine période (souvent après les avoir transmises à des publicitaires). Toutes ces méthodes ne sont que partielles et laissent quand même les utilisateurs vulnérables. Une bonne partie des données manquantes peuvent être facilement reconstruites pour devenir des informations d'identification personnelle et un risque majeur pour la sécurité. Nous devons développer de meilleures solutions tout en gardant à l'esprit que les technologies à notre disposition sont simultanément utilisées pour développer des moyens optimisés de détourner ces solutions. Nous avons déjà vu des têtes d'impression 3D contourner des systèmes de reconnaissance faciale et des empreintes générées par IA tromper des scanners biométriques.
Il n'est clairement pas suffisant d'effectuer une mise à niveau vers les protocoles de sécurité les plus récents et les plus avancés. En fait, le dispositif de sécurité dernier cri est souvent le plus vulnérable car il n'a pas encore été testé dans la réalité. Le plus important est de restaurer la simplicité des paramètres et la clarté des choix, même si ça n'a pas l'air tendance. J'ai récemment parlé de l'importance des réglages par défaut. Les meilleures mesures de sécurité sont complètement inutiles si elles ne sont pas appliquées. Les entreprises doivent expliquer avec franchise, dans un langage accessible à tous, ce qu'un utilisateur accepte lorsqu'il active des services de localisation ou tout autre paramètre à cette fin.
Les entreprises de technologie qui fournissent des plateformes pour les développeurs devraient exiger l'utilisation de tels avertissements clairs au lieu d'autoriser des divulgations vagues et trompeuses. Les législateurs ont aussi leur rôle à jouer et ne doivent pas se contenter de montrer leur indignation lorsque le secteur privé n'est pas à la hauteur des attentes. Si nous faisons face à une série noire de braquages de banques, le public exigerait l'intervention des autorités au lieu de simplement blâmer les banques. De la même façon, les corps législatifs et la Commission fédérale des communications des États-Unis devraient être tenus responsables partiellement de l'échec de la protection des données des consommateurs.
Comme toujours, la sécurité individuelle ne peut reposer sur de l'abstrait. Nous faisons partie de systèmes plus vastes qui peuvent être surveillés, piratés et manipulés. C'est ce que nous avons pu clairement constater au fil de l'enquête sur les interférences lors des élections de 2016. Le dernier rapport du Sénat fournit des détails sans précédent en expliquant comment les acteurs russes ont exploité certaines plateformes de réseaux sociaux américaines. Des célèbres Facebook, Twitter et Instagram aux plus petites plateformes comme Tumblr, Vine et Reddit, l'initiative a été complète et sophistiquée, visant avec soin des groupes comme les Afro-Américains en diffusant des messages pour influencer leur vote.
Ces révélations ont clairement montré que toute indifférence de la part des entreprises de technologie est considérée comme une opportunité par les pirates et les propagandistes. L'arène des réseaux sociaux est devenue le tout dernier champ de bataille entre la démocratie et l'autoritarisme tandis que ses architectes ne peuvent plus feindre l'ignorance ni l'incompétence. Dans le même temps, les toutes dernières révélations sur Facebook et la vente de l'accès à des messages privés me fait me demander si le modèle commercial de l'entreprise n'est pas pire que les pirates eux-mêmes. Des mécanismes ciblant une utilisation appropriée, protégeant chaque utilisateur et promouvant les valeurs de la société à plus large échelle, doivent être conçus dans la structure du système. Et pourtant, alors que nous demandons légitimement au secteur privé et aux organismes de régulation de prendre ces mesures, nous devons exiger la même chose de nous-mêmes en étant des consommateurs réfléchis et informés par rapport aux produits qui façonnent notre monde numérique.
Avast est le leader mondial de la cybersécurité, protégeant des centaines de millions d’utilisateurs dans le monde entier. Protégez tous vos appareils avec notre antivirus gratuit primé. Protégez votre confidentialité et chiffrez votre connexion en ligne avec le VPN SecureLine.
Apprenez-en davantage sur les produits qui protègent votre vie numérique sur avast.com. Obtenez toutes les dernières nouvelles sur les cybermenaces d’aujourd’hui et comment les vaincre sur blog.avast.com/fr
Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour connaître les dernières actualités, pensez à nous suivre sur Facebook et Twitter.
