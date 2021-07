Pour Bruce schneier

Note de l’éditeur: Bruce Schneier est technologue en sécurité et directeur de la technologie pour Co3 Systems. Les opinions exprimées dans ce texte appartiennent exclusivement à Bruce Schneier.

. – À l’ère d’Internet, nous n’avons pas d’autre choix que de confier nos données à des entreprises privées : fournisseurs de messagerie, fournisseurs de services, magasins de détail, etc.

Nous sommes conscients que ces données risquent d’être retrouvées par des pirates. Mais il y a aussi un autre risque : les employés des entreprises qui conservent nos données pour nous.

Dans les premières années de Facebook, les employés avaient un mot de passe principal qui leur permettait de voir tout ce qu’ils voulaient sur n’importe quel compte. Les employés de la NSA (National Security Agency) vérifiaient occasionnellement leurs amis et associés. L’agence a même un nom pour cela : LOVEINT. Et bien avant Internet, les personnes ayant accès à la police ou aux dossiers médicaux utilisaient parfois ce pouvoir pour rechercher des personnes célèbres ou des personnes qu’elles connaissaient.

L’entreprise la plus récente accusée d’avoir autorisé ce genre de chose est Uber, le service de transport de voitures sur Internet.

L’entreprise fait l’objet d’une enquête pour espionnage de voyageurs sans leur autorisation. Appelés « la vue de Dieu », certains employés d’Uber peuvent voir qui utilise le service et où ils vont ; et ils l’ont utilisé au moins une fois en 2011 comme gadget de fête pour montrer le service. Un cadre a également suggéré que l’entreprise embauche des personnes pour supprimer les critiques, rendant sa base de données sur les voyages des personnes plus “utile”.

Aucun de nous ne veut être harcelé ; qu’il s’agisse de consulter nos données de localisation, données médicales, e-mails et SMS ou quoi que ce soit, par des amis ou des étrangers qui y ont accès en raison de leur travail. Malheureusement, il y a peu de règles qui nous protègent.

Il est interdit aux employés du gouvernement de consulter nos données, bien qu’aucune des données LOVEINT de la NSA n’ait fait l’objet de poursuites. HIPAA protège la confidentialité des dossiers médicaux, mais nous n’avons rien pour protéger la plupart de nos informations.

Vos données Facebook et Uber ne sont protégées que par la culture d’entreprise. Il n’y a rien dans leurs accords de licence sur lequel vous avez cliqué sur « accepter » mais que vous n’avez pas lu qui empêche ces entreprises de violer votre vie privée.

Cela doit changer. Les bases de données d’entreprise qui contiennent nos données doivent être sécurisées de tous ceux qui n’ont pas besoin d’y accéder pour leur travail. Les personnes qui voient nos données sans raison légitime doivent être punies.

Il existe des technologies d’audit qui peuvent détecter cela, et elles devraient être obligatoires. Tant que nous devons fournir nos données à des entreprises et à des agences gouvernementales, nous en avons besoin pour nous assurer que notre vie privée sera protégée.

D’un autre côté, nous avons besoin de limites légales sur ce qui peut être fait avec nos données. Les entreprises commencent à analyser nos données personnelles et à publier les résultats, parfois dans le but d’obtenir des commentaires positifs.

Et bien qu’il puisse être amusant pour Uber de publier des données sur les voyageurs partant pour des rencontres d’un soir et des rencontres avec des prostituées (Uber a récemment supprimé les deux messages) ou pour OKCupid de publier les préférences et habitudes sexuelles de ses utilisateurs, ce sont des informations très intimes. .

Si OKCupid ou Uber étaient une université, cette analyse devrait être approuvée par un conseil d’éthique chargé de protéger la vie privée des sujets. Les recherches des entreprises privées ne sont en aucun cas encadrées, ce qui signifie que personne ne revoit ces recherches dans un souci de protection des sujets.

Changer cela n’a pas besoin d’un acte du Congrès. C’est quelque chose que la Federal Trade Commission des États-Unis peut faire sous les auspices de la protection des consommateurs. Tant que les entreprises collectent et stockent nos données, elles doivent respecter des normes de sécurité et de professionnalisme.

Le problème général de l’accessibilité de nos données ne disparaîtra pas. Il y a de grands avantages à mettre vos données dans le cloud, et cela ne va pas changer. Des entreprises comme Google et Facebook doivent pouvoir travailler sur les ordinateurs et les réseaux qui contiennent vos données, les ingénieurs auront donc besoin d’y accéder. À moins que vos données dans ces autres sociétés ne soient cryptées ; Et dans de nombreux cas, ils ne le seront jamais car cela sera inutile, les personnes intéressées pourront accéder à vos informations personnelles.

Nous vivons maintenant dans un monde où beaucoup de données intimes sont stockées quelque part dans une base de données tierce ; les e-mails et SMS que nous envoyons et recevons, les données de localisation de nos téléphones portables, les articles que nous achetons, les pages Web que nous consultons et les termes de recherche que nous utilisons. Ces données sont achetées et vendues, et utilisées pour nous manipuler avec des publicités personnalisées.

Mais il y a quelque chose de plus effrayant dans le fait que les gens l’utilisent pour nous harceler ou analyser nos modes de vie. La collecte de nos données par les entreprises a largement dépassé les lois qui nous protègent. Nous devons réécrire ces lois pour l’ère de l’information.