Pages

2.8.22

Prouvez votre identité sans récolte de données personnelles ni risque de piratage

 Les interlocuteurs commerciaux ou les services que vous sollicitez sur Internet ont besoin de savoir s'ils peuvent vous faire confiance. Comment vous présenter comme un interlocuteur crédible ?

Sans devoir :

  • multiplier les contrôles à l'infini
  • en étant, quand même, sécurisé pleinement
  • sans exploitation abusive de vos données personnelles
Est-ce possible et comment faire tout cela à la fois ?


Anonymat et piratage OU recueil de données et fichages abusifs ?


Anonymat et piratage

  • l'anonymat était si séduisant au début d'Internet, alors qu'il n'y avait pas encore d'enjeux commerciaux
  • il est maintenant, il faut le reconnaître, utilisé massivement par les pirates pour mener impunément leurs escroqueries
  • enfin, le commerce sur Internet a absolument besoin d'identification sécurisé

Pompages des données personnelles et utilisation abusive sans votre consentement


--> D'autre part, à l'occasion d'opérations commerciales, les sites et les applications recueillent un maximum de données personnelles bien au-delà de ce qui est nécessaire à sécuriser leurs transactions.

Pénibilité des multiples contrôles d'identité et de sécurité


--> Enfin, tous les contrôles surabondants et les demandes d'autorisations compliquées ou biaisées sont des repoussoirs à l'utilisation d'Internet 


Comment sortir de ces dilemmes et impasses ?


Que vous effectuiez une opération commerciale ou que vous vous connectiez à des services en ligne, vous devez être identifié par, le plus souvent, un compte que vous avez ouvert chez le commerçant ou le prestataire de service.

Pourtant, vous devez, aussi, déclarer votre nom, date de naissance, adresse postale, etc...

Évidemment, on comprend bien qu'il vaut mieux vérifier qui engage une dépense en votre nom. Sinon, cela vous mettrait en danger en permettant à tous les filous de vous faire payer leurs dépenses !

Vous êtes, à juste titre, autant préoccupé par :

  • la facilité d'accéder aux services d'Internet sans contrôles interminables 
  • le risque de se faire pirater son identité en devant payer pour des escrocs qui se font passer pour vous
  • la récolte et l'utilisation abusives, éventuellement crapuleuses de vos données personnelles avec la crainte de l'utilisation par des pirates de votre identité pour vous escroquer
  • Comment alors concilier ces objectifs, pour l'instant, apparemment, contradictoires ?


    3 règles pour protéger ses données personnelles 


    Règles simples : ne communiquez que :
    1. le minimum de renseignements personnels
    2. ne documentez uniquement ce qui est pertinent pour l'opération que vous menez. Exemple : pour un achat, votre adresse est indispensable pour la facturation et éventuellement la livraison, mais pas votre date de naissance.
      Cette date de naissance, elle, peut vous être demandée dans un service pour "prouver" que vous êtes majeur. (Vous n'êtes pas obligé de donner la "bonne" date)
    3. ne cédez pas à la facilité d'utiliser un compte existant pour éviter d'avoir à déclarer un nouveau compte demandé par un nouveau service

    Méfiez-vous de l'utilisation d'un compte Google ou pire encore Facebook (Facebook est le plus grand collecteur de données personnelles) pour servir de référence quand vous vous inscrivez à un nouveau service. 

    Il vaut mieux donner votre adresse mail et vous inscrire avec un nouveau mot de passe, quitte à l'enregistrer dans votre navigateur : pratique si votre ordinateur n'est accessible que par vous ou dans un coffre-fort (Lire : "Plus de mot de passe oublié ! Créer des mots de passe forts. Retrouvez-les facilement".

    En vous inscrivant séparément pour chacun de vos comptes, vous évitez le regroupement de tous les renseignements vous concernant. Chaque compte est ainsi cloisonné avec les seules informations pertinentes à l'activité en question.

     

    Quel rapport entre la récolte de données personnelles et votre identité ?


    En fait, nous sommes alors dans une ambiguïté qui est utilisée pour vous "pomper" indûment un maximum de données.

    Les renseignements qu'on vous demande sont censés prouver votre identité.

    Les escrocs, il est vrai, se renseignent soigneusement avant de contacter leur future victime, car ils ont besoin de donner confiance dans le rôle qu'ils veulent jouer pour vous abuser.

    Vous voyez bien qu'on vous demande de plus en plus de renseignements est un cercle vicieux et pernicieux qui ne sécurise pas beaucoup, mais vous pille vos données personnelles.


    Qui peut certifier votre identité sans collectionner vos données personnelles ?


    Jusqu'à aujourd'hui, c'est-à-dire, jusqu'à ce que le pouvoir des GAFAM dépasse celui de beaucoup d'États, les identités des citoyens est gérée par les États.

    Est-ce une garantie ?

    Cela, en tout cas, devrait l'être puisque le fonctionnement des États est déterminé par le système politique décidé par des citoyens, avec ses failles et ses insuffisances.

    Dans un État totalitaire :

    La centralisation des données personnelles dans les mains d'un État dictatorial, on le voit en Chine, est au service d'un flicage généralisé. 

    Le Monde (dans "Le contrôle des données numériques, ambition totale pour la Chine")  décrit la façon dont les "centres de stockage des données, équipements de la 5G, câbles, logiciels de connectivité des objets du quotidien, capteurs de son et d’image, voitures intelligentes ou smart cities : développées sur toute la planète, ces infrastructures visent, par la collecte des data, un contrôle global des peuples et du commerce, comme l’attestent les documents du Parti communiste chinois (PCC)".

    Dans un État démocratique :

    Dans un État démocratique, les données personnelles doivent être protégées des grandes puissances économiques, mais aussi des abus de pouvoir étatiques.   

    La caution de l'État n'est donc pas une garantie en soi. Et l'exemple de l'utilisation des fichiers étatiques par le gouvernement de Vichy est resté dans les mémoires comme un risque que constitue tout moyen de contrôle par la collecte des données personnelles.

    Concrètement, la CNIL, avec la loi "loi Informatique et Libertés" de janvier 1978, les premières lois européennes RGPD (Règlement Général sur la Protection des Données) d'avril 2016 et maintenant DPA 


    Les GAFAM rivalisent avec les états pour s'approprier leurs fonctions régaliennes



    Avec les moyens techniques et financiers colossaux dont ils disposent, les Google Apple Facebook Amazon Microsoft et consorts s'attaquent aux prérogatives régaliennes : un petit groupe de dirigeants américains décident pour le monde entier
     ce qui est juste ou pas de publier (Facebook), font payer des droits exorbitants (Apple), constituent un empire de données personnelles pour la publicité (et leurs dévoiements comme l'affaire Facebook Analytica)... (Lire :"Qui est Cambridge Analytica ? l’aspirateur de données Facebook")


    Ils possèdent les moyens d'identifier tous les citoyens américains et certainement d'une bonne partie du monde industrialisé.

    La lutte pour ne pas permettre la généralisation des identifications faciales automatiques a donc un sens. 

    L'utilisation, le traitement des données personnelles doivent absolument rester sous le contrôle des états, eux-mêmes sous la surveillance des élus et des citoyens.


    Où en est-on des cartes d'identité et moyens d'identification ?


    La situation est à la fois complexe et confuse.

    Et la confusion sert évidemment les pires intérêts.

    Reprenons les principes énoncés dans les paragraphes précédents :

    Les 3 règles pour se protéger et protéger ses données personnelles :
    • ne donner que le minimum de renseignements personnels
    • ne documentez uniquement ce qui est pertinent pour l'opération que vous menez. Exemple : pour un achat, votre adresse est indispensable pour la facturation et éventuellement la livraison, mais pas votre date de naissance
    • ne cédez pas à la facilité d'utiliser un compte existant  pour tous vos autres comptes
    Ces 3 règles, je le reconnais, sont des pis-aller, des solutions du moindre mal.
    Elles sont limitées et pénibles à mettre en œuvre.

    Je vous les recommande pourtant, car, à l'heure actuelle, c'est la prudence personnelle à respecter.

    Mais, malheureusement, les mesures de protection personnelle sont de plus en plus dépassées  

    • les données qui ne sont pas piratées dans votre ordinateur ou votre smartphone le sont ailleurs : dans les fichiers de votre banque, de la Poste, des centres médicaux et hospitaliers, dans les organismes d'achats, de locations, de prestations de services
    • les fichiers sont croisés pour définir les profils
    • les robots automatisés fouillent Internet et toutes les données disponibles pour constituer des bases de données sur tout et n'importe quoi puisqu'aujourd'hui, c'est le monde entier qui est numérisé

    Alors ? Tout est fichu ?


    Non. Toutes les nouvelles techniques ont connu des situations d'excès et de débordements où tout leur était permis tant que les lois et les régulations n'étaient pas mises en place, avec les contrôles et les répressions dissuasives.


    Il faut à la fois :
    1. limiter les utilisations abusives des données
    2. mettre en œuvre des solutions les plus sûres possible

    1 - limiter les utilisations abusives des données

    Encadrement et régulation progressent trop lentement, mais progressent réellement


    Le RGPD européen, alors que les extrémistes libertariens le dénonçaient comme un anachronisme absurde, a ouvert la réflexion et la voie de l'action dans le monde entier et surprise ! Aux États-Unis.

    D'autres lois européennes s'imposent aux GAFAM et les menacent de lourdes sanctions s'ils ne les respectent pas. On peut penser qu'entrer en conflit ouvert avec les Européens ne leur profiterait pas.


    2 - mettre en œuvre des solutions les plus sûres possible


    Deux objectifs : la sécurité et la commodité d'utilisation

    Ces 2 objectifs sont complémentaires et, en même temps, interdépendants.

    Pourquoi interdépendants ?

    Parce que, quand les procédures de sécurité sont trop lourdes et trop pénibles à utiliser, elles ne sont pas respectées et cela ouvre la voie royale aux pirates et aux collecteurs de données personnelles.

    Si les mesures de sécurité proposées sont inefficaces, elles seront discréditées et non suivies.

    Dans un monde qui évolue si vite que le monde numérique, on comprend alors la difficulté de l'enjeu de proposer :
    • des solutions fiables, sécures 
    • ET faciles à mettre en oeuvre

    Pourquoi les meilleurs penseurs et théoriciens les plus éminents n'ont aucune chance de trouver une solution "idéale"

    • parce qu'ils n'ont pas de visibilité sur ce qui va se passer, s'inventer, se créer dans les prochaines années si ce n'est dans les prochains mois !
    • parce que les hypothèses qu'ils font pour construire leur dispositif sont dépassées avant qu'il ne soit prêt 
    • à cause du jeu des sécurités sans cesse dépassées par les piratages, ce qui nécessite des mises à jour et des remises en cause incessantes
    Il s'agit donc d'investir non dans une "solution" , mais dans des structures, des fonctionnements sécurisés par un travail sérieux et permanent.

    De la sécurisation des accès à un site à la preuve de votre identité


    Si l'État français n'est pas exempt de reproches, on ne peut pas dire qu'il n'a rien fait.

    L'accès, par exemple, au site de déclaration des impôts est solidement sécurisé.

    Quand vous voulez aller sur d'autres sites, comme AMELI, par exemple, il vous est proposé :
    • soit de vous identifier en créant un compte spécifique AMELI
    • soit de vous identifier à travers votre compte des impôts puis de continuer dans AMELI avec cette authentification
    Autrement dit, votre identification par votre compte des impôts peut remplacer votre identification sur les autres sites.

    L'étape suivante : une identification unique pour les autres sites


    À la suite de cette identification par le site des impôts, un service spécifique est maintenant proposé : le service FranceConnect.



    Les explications sont claires et convaincantes. Malheureusement, est-ce le fonctionnement de FranceConnect ou les difficultés de prise en main d'utilisateurs novices, mais les critiques sont nombreuses.

    Le dispositif s'améliore pourtant de façon malheureusement empirique.


    L'identité Numérique de La Poste postule aussi à devenir l'outil universel d'authentification


    À partir d'une identification solide et bien contrôlée, La Poste est la première, depuis 2020, à vous proposer une "clé" d'accès à tous les services qui vous demandent de vous identifier.

    Tout au moins, "tous" les services qui accepteront cette identification. Ce sont d'abord, principalement, les services postaux, évidemment.

    Le nombre d'utilisateurs va dépasser le million.

    Ce qui est trop peu pour s'imposer face aux multiples intérêts privés qui veulent continuer à vous extorquer des données personnelles.

    La concurrence est rude. Chacun préfère créer sa propre identification pour recueillir, à cette occasion, un maximum de renseignements collatéraux.

    Les intérêts des consommateurs sont de :
    • profiter d'une identification simple et sûre
    • éviter de devoir créer de multiples comptes que vous oubliez ensuite et qui risquent d'être donc piratés ensuite
    • limiter la dispersion de vos données personnelles chez de multiples acteurs avec les risques d'utilisations frauduleuses et de piratage
    Les intérêts des fournisseurs de services sont de :
    • de vous obliger à créer un compte spécifique chez eux pour collecter un maximum de renseignements, de vos données personnelles, au-delà de l'utilité immédiate du service proposé. Ces données pourront être utilisées pour tracer des profils commerciaux ou les revendre malgré l'interdiction légale
    • de rendre incompatibles les autres moyens d'identification pour vous obliger à l'exclusivité de leurs services

    Comment va-t-on sortir de l'antagonisme entre intérêts privés des  auteurs du marché et intérêts des consommateurs


    Comme vous l'avez compris, l'opposition de ces intérêts est totale.

    Seule une restauration de la fonction régalienne des états garante de la certification et du contrôle des identités pourrait protéger les consommateurs des prédateurs libertariens des marchés.

    Ce problème me rappelle celui de la monnaie : pour qu'un commerce se développe, il a besoin d'une monnaie sûre, reconnue, universelle et protégée des contrefaçons par la loi.

    N'est-ce pas la même chose aujourd'hui pour la certification de l'identité individuelle ?

    La volonté et la puissance politiques sont donc indispensables.


    Comment, dans l'idéal pourrait fonctionner un système d'identification le plus universel possible ?


    Répondre aux besoins des consommateurs c'est donc :
    • une identification robuste, sûre et pratique
    • une compatibilité avec un maximum de services (tous les services, pourquoi pas !)

    Nouvelle étape de l’identité numérique de La Poste à France Connect


    Ce sont 1.300 services publics qui sont accessibles aujourd'hui alors que l’identité numérique de La Poste va se connecter à France Connect. 

    FranceConnect + sera la plateforme gouvernementale de sécurité pour s'identifier.

    La  création de le d’identité numérique peut se faire de trois façons différentes :
    1. en bureau de poste par une identification entièrement physique
    2. en s'enregistrant sur Internet et en faisant valider cette inscription par le passage d'un facteur
    3. ou entièrement par Internet, avec un contrôle par caméra et envoi de mail + un délai de vérification de 24 heures
    Tous ces processus d'identification ont déjà été testés en vraie grandeur et sont utilisés par les banques et les offices notariaux pour travailler à distance. La COVID ayant accéléré le processus d'adoption de ces moyens numériques.


    Les différents niveaux de sécurité


    Suivant les besoins, le niveau de sécurité n'est pas le même.

    De la même façon que les transferts d'argent nécessitent des contrôles d'autant plus importants que les sommes sont conséquentes.

    C'est  l’Agence Nationale de la Sécurité des Systèmes d’Information qui définissent et classent en trois niveaux la solidité de la sécurité mise en oeuvre :
    • Premier niveau faible : contrôle facile permettant de réduire les risques de détournement d'identité 
    • Deuxième niveau : réduction  substantielle des risques, plus sécurisé avec des contrôles plus poussés
    • Troisième niveau : qui devrait être capable d'empêcher les fraudes avec les meilleurs dispositifs de sécurité. Son usage plus lourd sera réservé aux plus gros enjeux
    Le niveau de sécurité proposé par l’identité numérique de La Poste est, par exemple, actuellement classé en niveau 2.

    La carte nationale d’identité électronique (CNIe) sera progressivement mise en place à partir de 2023.


    L'identité numérique comme un service interactif protecteur de vos données 


    Les échanges de données personnelles pourront alors se faire "au juste nécessaire".

    Si un site a, par exemple, besoin de contrôler une limite d'âge : le contrôle sera fait efficacement sans aucun besoin de donner votre date de naissance ni d'autres renseignements.

    Si c'est votre adresse postale qu'on vous demande : seule celle-ci sera transmise.

    D'ailleurs la demande de renseignements, pour être acceptée, pourrait (et même devrait !) être autorisée elle-même.
    Seuls les interlocuteurs habilités et s'étant engagés sur l'usage qu'ils font de vos données pourront ainsi y avoir accès "au strict nécessaire". 


    Et on est protégé ainsi de tous les piratages ?


    Bien sûr, on cherche toujours la baguette magique et les solutions idéales.

    Dois-je vous répéter qu'elles n'existent pas et n'existeront jamais ?


    "Des personnes se faisant passer pour le ministère de la Santé ou l'ANSM tenteraient de récupérer, par téléphone, vos identifiants Ameli, en vue de réinitialiser votre compte France Connect".

    Le but des escrocs est alors de collecter le maximum de renseignements sur vous pour vous dérober le mot de passe vous identifiant puis de se faire passer pour vous dans différentes escroqueries.

    Mais, rassurez-vous, ils doivent passer par des étapes très difficiles à franchir pour vous arracher des confidences en gagnant votre confiance.

    Je raconte les trésors d'ingéniosité déployés dans : "Éviter d'être victime d'arnaques avec les leçons d'un maître escroc".

    On est protégé quand on prendre de bonnes habitudes en utilisant systématiquement des sites et des outils connus

    Les piratages sur Internet se font par phishing (hameçonnage), en imitant les sites de confiance :
    • si vous allez vous-même sur vos sites de référence, vous serez protégé du phishing. Ne cliquez jamais sur des liens dans des sites dont vous n'êtes pas sûr !
    Les piratages se font par usurpation d'identité :
    • vous en serez protégé si vous ne vous identifiez que sur des sites connus sur lesquels vous allez de vous-même et dont vous êtes sûr 

    Exemple de piratage visant à voler votre identité à partir de vos identifiants en profitant de votre naïveté :

     Le site de "ouest france" a relevé une des escroqueries que dénonce régulièrement le site "Signal Arnaques" qui est un site communautaire de protection contre les escroqueries sur Internet, signale les sites internet frauduleux, informe sur les arnaques et permet de les signaler.

    • incite à utiliser France Connect, plateforme permettant avec un seul identifiant d'accèder aux services officiels et sociaux
    • dénonce et décrit les arnaques pratiquées pour voler les identifiants
    • signale le message d’alarme : "France Connect alerte également les utilisateurs" prévenant de la " campagne de phishing en cours ». Celle-ci prend « la forme d’e-mails imitant les notifications envoyées par FranceConnect après chaque connexion. Ces e-mails malhonnêtes tentent de récupérer vos identifiants"
    • en décrivant la façon dont on est contacté, le conseil est "Pour éviter d’être piraté, ne communiquez jamais vos identifiants (numéro de sécurité sociale ou mot de passe), est-il écrit. Vous devez rester seul à accéder à votre compte.
      Dans le cas contraire, vos droits à formation pourraient être piratés !
      Soyez attentifs aux tentatives d’arnaques (sollicitations répétées, parrainages, offres d’emploi trompeuses)"

    Il est donc assez simple de contrer les tentatives de piratages qui vous visent 


    Cela demande une certaine discipline systématique, mais simple à suivre : 
    • ne jamais répondre directement aux sollicitations, mais recontactez vous-même vos interlocuteurs
    • ne jamais communiquer des renseignements "hors sujet" comme je vous l'ai expliqué ci-dessus

    Pour aller plus loin sur la façon d'assurer votre sécurité sur Internet avec votre smartphone (et sur ordinateur)


    Consultez ces articles :



    "Tous les articles sur la façon que vous pouvez et devez assurer votre sécurité" en utilisant votre smartphone, votre ordinateur et au-delà dans le mon de numérique dans lequel on vit (quoi qu'on en pense et quoi qu'on fasse !).


    Octobre 2022 :



    Une "solution, à la fois simple et hautement sécurisée, pour transposer dans le monde numérique, la confiance qu'inspire déjà la carte d’identité plastifiée dans la vie quotidienne" ?

    Il s'agit en effet, qu'enfin, les états exercent leurs devoirs régaliens de garantir l'identification des citoyens sans que ces fichiers soient pillés et soumis aux intérêts privés.