En juin dernier, le sulfureux site de rencontres extraconjugales Ashley Madison a été la victime d’un piratage de grande envergure mené par « The Impact Team », un groupe de hackers expérimentés. Ce scandale soulève une interrogation plus globale quant à la sécurité de nos données personnelles sur Internet.
L’affaire Ashley Madison
Ce ne sont pas moins de 9,7 gigaoctet de données liés à trente-deux millions de comptes qui ont été mis en ligne par « The Impact Team », contenant des données très personnelles, allant des coordonnées aux préférences sexuelles des utilisateurs.
Ce scandale a fait trembler les Etats-Unis. On trouve en effet dans les données rendues publiques les coordonnées de membres de l’armée américaine et de la Maison Blanche. Il a également eu des répercussions humaines tout à fait regrettables : de nombreux cas de dépressions et de chantages, ainsi que trois suicides ont été répertoriés.
« The Impact Team » dénonçait des pratiques amorales menées par le site de rencontres, avec en premier lieu Established Men, autre site du groupe, qu’elle qualifie de « site de prostitution et de trafic d’êtres humains pour que des hommes riches s’achètent du sexe » (d’après un article du Monde). Venait ensuite une autre pratique d’Ashley Madison, symptomatique d’un phénomène plus global : le site propose une option payante pour qu’un utilisateur supprime toutes ses données du site, mais n’effacerait rien.
Suite à l’affaire Ashley Madison, treize sites de rencontres français ont été mis en demeure par la CNIL (Commission Nationale de l’Informatique et des Libertés), dont Meetic, Attractive World, et AdopteUnMec pour des manquements à la Loi Informatique et Libertés datant de 1978. Ces manquements consistant à ne pas totalement supprimer les données des personnes ayant clos leur compte. Le site américain Fusion explique dans un article que ce phénomène est enclin à se démultiplier, et qu’il ne se limite pas aux seuls sites de rencontre « dans un monde où les détails de nos vies sont stockés sur nos téléphones et dans le cloud, ainsi que dans les métadonnées de tout ce que l’on poste sur les réseaux sociaux ».
La sécurité sur Internet, une problématique double
Le problème de la confidentialité de nos données dépend de deux facteurs. D’une part la fiabilité technique des serveurs qui stockent une quantité colossale de données, à tel point que l’on parle de Big Data, difficilement contrôlables. D’autre part l’éthique des détenteurs de ces serveurs, qui peuvent utiliser nos données à des fins commerciales, voire politiques.
Le problème de la fiabilité technique
La sécurité de nos données sur Internet est une question qui touche l’ensemble de la population, à l’ère de l’hyper-digitalisation. Presque la moitié de la population mondiale est sur Internet (42%, soit 3, 025 milliards d’internautes), et concentre son usage sur un nombre extrêmement restreint de sites avec Google, Facebook, et YouTube en tête. Ces sites ont un point commun : chaque fois que nous les visitons, nous y laissons des traces. Or une étude de NetNames réalisée en 2013 estime le nombre d’internautes ayant effectué des piratages sur un mois à 432 millions, ce qui nous permet de nous inquiéter quant aux potentielles failles de ces systèmes. En effet Internet est à la base un canal non sécurisé pour l’échange d’informations. Les pare-feux de ces serveurs ne sont pas infaillibles, comme le prouve le cas d’Ashley Madison. Cela ne semble pourtant pas nous inquiéter, puisque ce sont chaque jour des millions de données qui sont digitalisées.
De plus en confiant nos données à ces sites, nous leur octroyons davantage de pouvoir, et augmentons le risque d’un piratage d’envergure. Aujourd’hui toutes les informations sont sur Internet, et ce même au plus haut niveau. Le cas d’Amazon est édifiant. La firme a remporté en février 2013 un marché en or contre IBM : son service de « cloud computing », Amazon Web Services, est en charge de construire un serveur visant à accueillir les données de la CIA.

Le problème de l’éthique des sites web
Quels genres de données sont collectés lorsque nous visitons ces plateformes ? La question est vaste, mais si l’on s’attarde sur les « Règles de confidentialité » de Google, on peut trouver quelques éléments de réponse.
Quatre grands types de données sont collectés par Google : des données relatives à l’appareil utilisé (le modèle, le système d’exploitation, le numéro de téléphone) ; des fichiers journaux (nos recherches, ainsi que la durée et les correspondants de nos conversations téléphoniques) ; des données de localisation ; des cookies, petits fichiers de texte stockés sur notre terminal contenant souvent des informations personnelles. Les cookies sont très controversés car ils sont souvent exploités par les sites à des fins commerciales. C’est en réponse à ce phénomène qu’une réglementation a été mise en place en 2002 par la Directive Vie Privée et Communications Electroniques, puis actualisée en 2009, mais elle ne parvient pas à être appliquée – les géants d’Internet possèdent bien trop de pouvoir pour être inquiétés.

Pourtant Google indique dans ses règles de confidentialité que ces cookies servent avant tout à son service d’analyse d’audience de sites web, Google Analytics¸ gratuit et utilisé par 80% des sites sur la toile. On pourrait s’étonner que ce service soit gratuit, mais Google le rentabilise avec sa régie publicitaire créée en 2000, AdWords. Fonctionnalité payante proposée aux sites utilisant Google Analytics, elle permet d’afficher des publicités correspondant aux mots-clés tapés par leurs utilisateurs.
Le moteur de recherche nous rassure, en affirmant ne communiquer « des données personnelles [nous] concernant qu’avec [notre] consentement ». Hélas notre consentement ne nous est demandé qu’une seule fois, et est quelque peu contraint (puisque nous ne pouvons utiliser le service sans cela), lorsque nous acceptons les conditions générales d’utilisation.
La puissance de tels sites est indéniable, ce qui peut parfois les amener à jouer de leur pouvoir. Les seigneurs de la Silicon Valley ont par exemple minimisé leur implication dans le scandale des écoutes de la NSA, déclenché par les révélations d’Edward Snowden en 2013, selon un article du Figaro. Voulant redorer leur blason, la publication d’un rapport rendant compte du nombre de requêtes judiciaires qu’ils ont reçu pour fournir des données sur des internautes suspectés par la NSA a été décidée par ces sites. On apprend ainsi que Yahoo ! a reçu des demandes pour trente mille comptes d’utilisateurs, Microsoft quinze mille, et Google neuf mille. Ce rapport ne révèle cependant pas le nombre de réponses positives à ces demandes.
La sécurité de nos données sur Internet relève par conséquent d’une problématique double, entre fiabilité technique des serveurs et éthique de ces sites, questionnant ainsi nos pratiques et nos usages quotidiens d’un outil qui nous dépasse. En effet peut-être devrions-nous, dans le doute, être plus attentifs aux données que nous laissons derrière nous sur la toile.
Clément Mellouet
Sources :
Le Monde, Le piratage du site Ashley Madison et la question de la moralité des « hackers », 19/08/2015
Le Figaro Tech, Les géants du web minimisent leur implication dans le scandale de la NSA, 4/02/2014, 
Crédits images :
Ashley Madison.
Google.
marketingdonut.co.uk